蠕虫病毒的传播原理

《计算机系统安全》

课程结课论文《蠕虫病毒的传播原理》

学生姓名陈军辉

学号**********

所属学院信息工程学院

专业计算机科学与技术

班级计算机16-5

指导教师李鹏

塔里木大学教务处制

摘要:蠕虫病毒发展迅速，现在的蠕虫病毒融入了黑客、木马等功能，还能阻止安全软件的运行，危害越来越大。本文介绍了蠕虫病毒的定义，特点，结构及其在传播过程中的功能，最后介绍了蠕虫病毒的传播机制。

关键词：计算机蠕虫；传播；

目录

引言 (1)

正文 (1)

1.蠕虫病毒的定义及特点 (1)

2.蠕虫病毒的构成及在传播过程中的功能 (2)

3. 攻击模式 (3)

3.1 扫描-攻击-复制 (3)

3.2模式的使用 (5)

3.3蠕虫传播的其他可能模式 (5)

4.从安全防御的角度看蠕虫的传播模式 (5)

总结 (6)

参考文献： (7)

蠕虫病毒的传播原理

引言

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序（或是一套程序），它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中（通常是经过网络连接）。

正文

1.蠕虫病毒的定义及特点

蠕虫病毒的定义：蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之中后，蠕虫会以这些计算机为宿主继续扫描并感染其他计算机，这种行为会一直延续下去。蠕虫使用这种递归的方法进行传播，按照指数增长的规律分布自己，进而及时控制越来越多的计算机。蠕虫病毒有如下特点：（1）较强的独立性。计算机病毒一般都需要宿主程序，病毒将自己的代码写到宿主程序中，当该程序运行时先执行写入的病毒程序，从而造成感染和破坏。而蠕虫病毒不需要宿主程序，它是一段独立的程序或代码，因此也就避免了受宿主程序的牵制，可以不依赖于宿主程序而独立运行，从而主动地实施攻击。

（2）利用漏洞主动攻击。由于不受宿主程序的限制，蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。例如，“尼姆达”病毒利用了 IE 浏览器的漏洞，使感染了病毒的邮件附件在不被打开的情况下就能激活病毒；“红色代码”利用了微软 IIS 服务器软件的漏洞(idq.dll 远程缓存区溢出)来传播；而蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。

（3）传播更快更广。蠕虫病毒比传统病毒具有更大的传染性，它不仅仅感染本地计算机，而且会以本地计算机为基础，感染网络中所有的服务器和客户

端。蠕虫病毒可以通过网络中的共享文件夹、电子邮件、恶意网页以及存在着大量漏洞的服务器等途径肆意传播，几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致，因此，蠕虫病毒的传播速度可以是传统病毒的几百倍，甚至可以在几个小时内蔓延全球。

（4）更好的伪装和隐藏方式。为了使蠕虫病毒在更大范围内传播，病毒的编制者非常注重病毒的隐藏方式。在通常情况下，我们在接收、查看电子邮件时，都采取双击打开邮件主题的方式浏览邮件内容，如果邮件中带有病毒，用户的计算机就会立刻被病毒感染

（5）技术更加先进。一些蠕虫病毒与网页的脚本相结合，利用 VB Script、Java、ActiveX 等技术隐藏在 HTML 页面里。当用户上网浏览含有病毒代码的网页时，病毒会自动驻留内存并伺机触发。还有一些蠕虫病毒与后门程序或木马程序相结合，比较典型的是“红色代码病毒”，它会在被感染计算机 Web 目录下的\scripts 下将生成一个 root.exe 后门程序，病毒的传播者可以通过这个程序远程控制该计算机。这类与黑客技术相结合的蠕虫病毒具有更大的潜在威胁。

（6）使追踪变得更困难。当这 10000 个系统在蠕虫病毒的控制之下时，攻击者利用一个极为迷惑的系统来隐藏自己的源位置。可以轻易地制造一个蠕虫，它可以在这个蠕虫的段与段之间任意连接。当这个蠕虫感染了大部分系统之后，攻击者便能发动其他攻击方式对付一个目标站点，并通过蠕虫网络隐藏攻击者的位置。这样，在不同的蠕虫段之间的连接中，要抓住攻击者就会非常困难。

2.蠕虫病毒的构成及在传播过程中的功能

探测部分：探测部分是用来获得入侵目标的访问权，他实际上是一些入侵到计算机的代码，进入目标计算机之后探测部分会自动探测攻击点，并尽可能的利用计算机的漏洞侵占系统。探测部分获得访问权的技术，有缓存一处探测，文件共享攻击，电子邮件以及计算机的配置错误。

传播引擎：通过探测部分获得目标机的访问权后，蠕虫必须传输自身的其

他部分到目标机。有些蠕虫的探测部分可以将整个蠕虫载入目标机，有些蠕虫则需要利用探测部分的传播引擎代码执行一个用来传输蠕虫代码的命令将蠕虫的其他部分传播到计算机中。当蠕虫传播到计算机中，便运行蠕虫代码，改变系统配置，用来在系统中隐藏自己。

目标选择算法：蠕虫在进入到目标机之后，便开始寻找新的攻击目标，这部分工作是由目标选择算法完成。蠕虫会自动扫描由目标选择算法确定的地址，然后检查是否有合适的易攻击的对象。蠕虫的选择算法有如下方法：电子邮件地址：一个蠕虫可以从受害计算机的邮件阅读器或邮件服务器中得到电子邮件地址，任何发送信息到受害计算机或从受害计算机接收信息的计算机都将成为下一个潜在的目标。

主机列表：一些蠕虫从本地主机上的各种计算机列表中获得地址，例如存储在主机文件(UNIX 中的/etc/hosts 和 Windows 中的 LMHOSTS)中的那些。

域名服务(DNS)查询：蠕虫可以连接到包含其它计算机地址的本地域名服务器，这些计算机地址即成为蠕虫的攻击对象。

任意选择一个目标网络地址：蠕虫可以任意地选择一个目标网络地址。由于网络延时，在局域网上传播速度要远距离传播蠕虫快得多，因此，许多目标选择算法优先选择当前蠕虫所在的较近的网络地址。

扫描引擎。目标引擎获得攻击目标的地址后，蠕虫便可以利用扫描引擎对目标传送数据包，以此来判断此目标是否适合攻击。

有效载荷。进入到计算机之后，蠕虫的有效载荷可以实施某种行为，如打开一个后门，然后攻击者就可以远程控制目标计算机。或者安装一个分布式的拒绝服务淹没代理，攻击者可以命令他侵占其它受害计算机。

3.攻击模式

3.1 扫描-攻击-复制

从新闻中看到关于蠕虫的报道，报道中总是强调蠕虫如何发送大量的数据包，造成网络拥塞，影响网络通信速度。实际上这不是蠕虫程序的本意，造成网络拥塞对蠕虫程序的发布者没有什么好处。如果可能的话，蠕虫程序的发布者更