蠕虫病毒
蠕虫病毒是一种广义的计算机病毒,但它与一般的计算机病毒在模式、目的、途径和危害性上有很大不同。随着互联网的快速发展,蠕虫对网络安全的威胁越来越严重,出现了许多有害病毒,如利用微软系统漏洞攻击计算机网络的红队、Nimda、sql蠕虫王病毒,以及利用电子邮件快速传播的Love Bug病毒和cover letter病毒。还有一些蠕虫对网络危害很大。例如,一些蠕虫发送大量DoS攻击包,造成网络拥塞,一些蠕虫可以破坏网络传输,一些蠕虫设置后门并成为黑客攻击的工具。
概述定义
蠕虫病毒是一种通过网络传播的恶性计算机病毒。与特洛伊病毒和宏病毒相比,它的出现相对较晚,但在速度、范围和损害方面都是传统病毒无法比拟的。
病毒可以自我复制,独立运行,通过IP地址不断寻找网络中存在漏洞的计算机,然后通过部分或全部控制权进行传播。蠕虫病毒由两部分组成:主程序和引导程序。主程序的主要功能是搜索和扫描,读取系统的公共配置文件,并获取连接到本地计算机的客户端的信息,从而通过系统漏洞在远程计算机上建立引导程序。通过引导程序收集与当前机器联网的其他机器的信息,并向网络传播“蠕虫”病毒。引导程序是蠕虫主程序(或程序段)的副本。通过重复这种复制,蠕虫可以在短时间内爆发并带来严重的后果。
为了传播病毒,必须找到可以攻击的目标宿主。病毒会有选择地随机扫描整台电脑的IP地址,目标主机被感染后可以按顺序扫描。假设被感染主机的IP地址是A,它将按照a+1或a-1I顺序扫描,被感染的计算机在扫描后将独立传播感染。例如W32。Blaster是一种典型的顺序扫描蠕虫。
发展起源
早期蠕虫不是病毒,也没有破坏性。它只是一个网络自动化工具。1972年,为军事目的而开发的阿帕网开始走向世界,发展成现在的互联网,开启了互联网时代。
互联网上有大量的信息。为了解决用户可以在互联网上快速搜索信息的问题,一群热心的技术人员开始编写“蠕虫”程序。原型来自经典科幻小说《无线电骑士》,书中描述了一种名为“绦虫”的程序,该程序可以成群结队地在互联网上出没,导致网络拥堵。该蠕虫程序可以在局域网中的计算机上并行运行,可以快速有效地检测网络状态并收集相关信息。后来出现了专门检测网络的爬虫程序和专门收集信息的蜘蛛程序。直到现在,这两种网络搜索技术仍在广泛使用。随着网络的发展,作为网络小工具的蠕虫程序和技术也得到了极大的发展,直到1989年“莫里斯蠕虫”事件的出现。
22岁的罗伯特·莫里斯是康奈尔大学的研究生,他从小就痴迷于可以控制整个网络的程序,由于他的父亲是贝尔实验室的研究人员,他可以接触到计算机和网络,对Linux系统非常熟悉。当他发现当时的操作系统存在几个严重的漏洞时,他开始编写“莫里斯蠕虫”,这种蠕虫没有任何实用价值,只是利用系统的漏洞在网络上进行自我复制。在实践中,莫里斯在编程中将控制复制速度的变量值设置得太大,导致蠕虫在短时间内快速复制,最终导致大部分互联网瘫痪。自此,蠕虫也是计算机病毒的概念被确立,这种利用系统漏洞进行传播的方式成为蠕虫的主要传播方式。
病毒特征
文件病毒:文件病毒是寄生的,需要感染主机操作系统中的文件系统才能传播(如:带有后缀的文件。com,。exe、。博士。sys等。).这种计算机病毒在主机运行可执行文件或系统进行任何读写操作时传播计算机病毒。
宏病毒是一种典型的文件病毒。宏病毒是一种主要攻击Microsoft office系列办公软件的病毒。它通过电子邮件和软盘入侵系统。这种病毒不会传染。EXE文件或。COM文件,但仅针对数据文件或文档文件(文字处理文档、数据表单、演示文档等)。).当用户打开被感染的文件时,宏病毒会转移并感染其他文件。感染后,文件无法导出为任何格式,而只能保存为模板文件(即*。点文件)。由于数据文件和模板文件被许多用户使用并跨越多个平台,宏病毒被广泛传播。
导向病毒:引导区计算机病毒在系统加载或启动时侵入磁盘引导区或主引导区,从而控制系统。病毒首先执行程序,然后执行系统的指令。有两种感染途径。第一种方法是将原始扇区信息转移到特定位置,然后将病毒程序写入该位置。此类病毒包括“小球”病毒、“大麻”病毒、“巴基斯坦”病毒和“磁盘杀手”病毒。二是只保留原扇区的部分内容(如分区信息和提示信息),其余部分直接被病毒程序覆盖,如“2708”病毒。
混合病毒:混合病毒兼具文件病毒和引导病毒的特点,可以通过感染系统引导区和文件来传播病毒,破坏性和危害性更大。“新世纪”病毒是一种典型的混合病毒,不仅可以感染系统引导区,还可以进行攻击。EXE文件和。COM文件。当病毒被激活时,它会删除所有正在运行的程序,并在屏幕上留下一个字母,这是非常有害的。
脚本病毒:脚本病毒是用脚本语言编写的具有恶意操作意图的计算机病毒,通过电子邮件附件、局域网共享和受感染的web文件传播。比如《红队》《欢乐时光》《14号》。
蠕虫病毒:蠕虫是一种能够自我复制、独立运行并利用系统漏洞和网络服务器漏洞发起主动攻击的网络病毒。蠕虫可以通过各种方式传播,如电子邮件、局域网共享文件、Web服务器等。由于蠕虫会发送大量的传播包来搜索目标计算机,因此被蠕虫感染的网络非常缓慢,并且CPU和内存也会因为占用太多资源而死锁。感染后,计算机将运行缓慢,丢失文件,破坏文件或有新文件。
特洛伊马病毒:特洛伊木马病毒是一种可以隐藏在正常程序下的恶意代码,具有独立运行的特定功能。病毒有时通过电子邮件附件传播,有时隐藏在捆绑的免费软件中并下载到用户的计算机上,有时通过脚本、ActiveX和Asp植入。CGI交互式脚本,有时通过利用系统漏洞攻击服务器。当用户安装此软件或点击病毒邮件时,特洛伊木马会自动安装。随着科技的发展,特洛伊病毒还可以与蠕虫病毒、黑客病毒和后门病毒相结合,窃取用户计算机上的各种文件、程序、信息帐户和密码,收集用户的浏览器、电子邮件客户端、屏幕截图和按键记录。2023年,一个名为DogeRAT的新开源特洛伊可以在未经授权的情况下远程控制受感染的电子设备,并发起了一场主要针对印度安卓用户的网络安全攻击。主要是窃取个人信息。
计算机病毒:黑客病毒经常与特洛伊病毒联系在一起。特洛伊马负责入侵用户的计算机,黑客病毒可以通过这种特洛伊病毒远程控制客户端。
后门病毒:后门是一种绕过系统现有安全设置以管理员身份登录的方法。在通过一些方法成功绕过安全控制,然后控制目标主机后,黑客可以在对方的系统中植入特定的程序或修改一些设置,这样黑客就可以轻松地与这台计算机建立连接,然后重新控制这台计算机。后门是一个形象的比喻,就像黑客也有一把钥匙,他可以随意进入别人的电脑而不被发现。
病毒特征
独立性:它具有计算机病毒的一些共性,如传播性、隐蔽性、破坏性等。,但同时它也有自己的一些特点。计算机病毒一般需要一个宿主程序,宿主程序运行时可以触发病毒。蠕虫可以在没有计算机用户干预的情况下运行,通过大规模扫描复制和传播来获得网络中存在漏洞的计算机的控制权,并在受感染的计算机中设置后门或执行恶意代码来破坏计算机系统或信息。
感染目标:计算机病毒感染本地文件,而蠕虫病毒感染网络计算机。
传播机制:与依赖宿主程序运行的计算机病毒不同,蠕虫可以主动攻击目标。其感染机制是通过网络复制和传播,感染途径有共享文件夹、电子邮件、网络中的恶意网页、存在大量漏洞的服务器等。例如,近年来危害很大的“尼姆达”病毒就是一种蠕虫病毒。这种病毒利用了Windows操作系统的漏洞。电脑感染此病毒后,会自动拨号上网,并利用文件或网络共享中的地址信息进行传播,最终破坏用户的大部分重要数据。
破坏性:每个蠕虫都包含一个扫描功能模块,负责检测易受攻击的主机,并在扫描网络中易受攻击的计算机后立即发起攻击。由于蠕虫会发送大量的传播数据包,因此被蠕虫感染的网络非常缓慢,并且受感染的计算机会因为CPU和内存的高比例而接近崩溃。
先进技术:与传统病毒不同的是,许多新型病毒是通过使用最新的编程语言和技术实现的,这些语言和技术易于修改,变异速度快,并能逃脱反病毒软件的搜索。此外,这种新型病毒可以潜伏在HTML页面中,并通过使用Java、ActiveX、VB Script等技术在上网时触发。病毒和黑客技术的结合具有更大的潜在威胁和损失。以“红队”为例,受感染机器的web目录的\scripts下将生成一个root.exe,它可以远程执行任何命令,从而使黑客可以再次进入。
病毒原理
工作原理:蠕虫病毒的一般攻击分为以下步骤:首先随机生成IP地址进行扫描,然后由蠕虫的扫描功能模块负责检测易受攻击的主机。找到后,你得到一个可以攻击的对象;将蠕虫体迁移到目标主机上,并重复上述操作以准备下一轮攻击。
机能结构:所有蠕虫都具有相似的功能结构,分为基本功能模块和扩展功能模块。基本功能模块的蠕虫程序可以完成复制和传播过程,而扩展功能模块的蠕虫程序具有更强的生存能力和破坏能力。基本功能模块可分为五个阶段:搜索模块、攻击模块、传输模块、信息模块和再现模块。搜索模块通过选择性随机扫描和顺序扫描来搜索易受攻击的主机,并在扫描后攻击易受攻击的计算机系统。攻击模块主要完成蠕虫主体的迁移和病毒程序的执行。计算机蠕虫病毒进入系统后,应进行现场处理,如修改注册表、更改文件后缀、收集信息和隐藏自身。最后一步是自我复制,生成多个副本并重复上述过程。其次,计算机蠕虫的扩展功能主要是实现计算机蠕虫的攻击和破坏能力。不同蠕虫的基本功能基本相同,但扩展功能不同,可以进一步增强病毒的攻击和防御能力。