蠕虫病毒深度解析

蠕虫病毒深度解析

日期：2004-11-22 15:44 作者：天极网来源：天极网

1．引言

近年来，蠕虫、病毒的引发的安全事件此起彼伏，且有愈演愈烈之势。从2001年爆发的CodeRed蠕虫、Nimda蠕虫，SQL杀手病毒（SQL SLAMMER蠕虫），到近日肆掠的“冲击波” 蠕虫病毒，无不有蠕虫的影子，并且开始与病毒相结合了。蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统，如果不及时预防，它们就可能会在几天内快速传播、大规模感染网络，对网络安全造成严重危害。看来，蠕虫病毒不再

是黑暗中隐藏的"黑手"，而是已露出凶相的"狼群"。

各类病毒各有特色，大有长江后浪推前浪之势：CodeRed蠕虫侵入系统后留下后门，Nimda一开始就结合了病毒技术，而SQL杀手病毒与“冲击波”病毒有着惊人的相似之处，此次病毒大规模爆发是从装有WINDOWS 2000以上操作系统的计算机，尤其是从网络服务器上向外扩散的，利用微软存在的系统漏洞，不同的是，SQL杀手病毒用“缓存区溢出”进行攻击，病毒传播路径都是内存到内存，不向硬盘上写任何文件。“冲击波”病毒则会发送指令到远程计算机，使其连接被感染的主机，下载并运行Msblast.exe。

由此可见，计算机蠕虫和计算机病毒联系越来越紧密，许多地方把它们混为一谈，然而，二者还是有很大不同的，因此，要真正地认识并对抗它们之前，很有必要对它们进行区分。只有通过对它们之间的区别、不同功能特性的分析，才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素；

可以找出有针对性的有效对抗方案；同时也为对它们的进一步研究奠定初步的理论基础。

2．蠕虫原始定义

蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本特征：“可以从一台计算机移动到另一台计算机”和“可以自我复制”。他们编写蠕虫的目的是做分布式计算的模型试验，在他们的文章中，蠕虫的破坏性和不易控制已初露端倪。1988年Morris 蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”（Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. ）。

3．病毒原始定义

在探讨计算机病毒的定义时，常常追溯到David Gerrold在1972年的发表的科幻小说《When Harlie Was One》，但计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的，“计算机病毒是一种程序，它可以感染其它程序，感染的方式为在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础上演变过来的。” （A program that can infect other programs by modifying them to include a possibly evolved copy of itself.）。1988年Morris蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，将病毒的含义作了进一步的解释。“计算机病毒是一段代码，能把自身加到其它程序包括操作系统上。它不能独立运行，需要由它的宿主程序运行来激活它。”（virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.）。

4．蠕虫/病毒

计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致二者之间是非常难区分的，尤其是近年来，越来越多的病毒采取了部分蠕虫的技术，另一方面具有破坏性的蠕虫也采取了部分病毒的技术，更加剧了这种情况。下表1给出了病毒和蠕虫的一些差别：/article_03090033a

5．蠕虫完整定义

上述蠕虫原始定义和病毒原始定义中，都忽略了相当重要的一个因素，就是计算机使用者，定义中都没有明确描述计算机使用者在其整个传染机制中所处的地位。

计算机病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的触发者，是传染的关键环节，使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。而蠕虫主要是利用计算机系统漏洞（vulnerability）进行传染，搜索到网络中存在漏洞的计算机后主动进行攻击，在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关。

另外，蠕虫的定义中强调了自身副本的完整性和独立性，这也是区分蠕虫和病毒的重要因素。可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒。

目前很多破坏性很强的病毒利用了部分网络功能，例如以信件作为病毒的载体，或感染Windows系统的网络邻居共享中的文件。通过分析可以知道，Windows系统的网络邻居共享本质上是本地文件系统的一种扩展，对网络邻居共享文件的攻击不能等同与对计算机系统的攻击。而利用信件作为宿主的病毒同样不具备独立运行的能力。不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病毒，因为它们不具备

上面提到的蠕虫的基本特征。

通过以上的分析和比较，重新给出的Internet蠕虫完整定义为：“Internet蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。”

通过简单的分析，可以得出结论，一些常见的以蠕虫为名的病毒，如“Happy99蠕虫病毒”、“Mellisa网络蠕虫宏病毒”、“Lover Letter网络蠕虫病毒”、“SirCam蠕虫病毒”，“NAVIDAD网络蠕虫”、“Blebla.B网络蠕虫”、“VBS_KAKWORM.A蠕虫”等等，都是病毒，而不是蠕虫。

6．蠕虫发展现状

从1988年CERT（计算机紧急响应小组）由于Morris蠕虫事件成立以来，统计到的Internet安全威胁事件每年以指数增长。这些安全威胁事件给Internet带来巨大的经济损失。美国每年因为网络安全造成的经济损失超过170亿美元，使网络信息安全问题得到了世界各国的重视。2001年美国投资20亿美元加强网络安全建设，同样其它各国也都投入了巨大的人力和物力。在全球信息化浪潮的冲击下，我国信息化建设也已进入高速发展阶段，电子商务、电子政务、网络金融和网络媒体等蓬勃发展起来，这些与国民经济、社会稳定息息相关的领域急需信息安全的保障。因此，解决我国的信息安全问题刻不容缓。

在Internet安全问题中，恶意软件（malware）造成的经济损失占有最大的比例。恶意软件主要包括计算机病毒（Virus）、蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等。另外，许多人提出，要把恶意软件作为网络战的一种攻击手段，这时的网络安全问题已经上升到国家安全的高度了。Internet蠕虫是目前危害最大的恶意软件，几乎每次蠕虫发作都会因其造成的巨大经济损失：1988年11月2日，Morris 蠕虫发作，几天之内6000台以上的Internet服务器被感染而瘫痪，损失超过一千万美元；2001年7月19日，CodeRed蠕虫爆发，在爆发后的9小时内就攻击了25万台计算