计算机病毒分析与对抗————5、 网络蠕虫

1、蠕虫定义

蠕虫主要利用系统漏洞进行传播，感染并执行其恶意功能的，它可以独立运行，并且能把自身的一个包含所有功能的版本传播到另外的计算机上。

2、蠕虫、病毒之间的区别与联系：

相同点：网络蠕虫和计算机病毒都具有传播性和破坏性

不同点：

3、蠕虫的行为特征

主动攻击、行踪隐蔽、利用系统或网络服务漏洞、造成网络拥塞、破坏性、反复性、产生安全隐患

4、蠕虫程序的功能结构

基本功能有五个模块构成：

（1） 搜索模块：寻找下一台要感染的机器；为提供搜素效率，可以采用一系列的搜索算法

（2） 攻击模块：在被感染的机器上建立传输通道（传输途径），为减少第一次传染数据的传输量，可以采用引导式结构

（3） 传输模块：计算机间的蠕虫程序复制

（4） 信息搜集模块：搜集和建立传染机器上的信息。

（5） 繁殖模块：建立自身的多个副本，在同一台机器上提高传染效率、判断避免重现传染。

扩展功能有四个功能模块构成：

（1） 隐藏模块：隐藏蠕虫程序，使简单的检测不能发现。

（2） 破坏模块：摧毁或破坏被感染计算机，或在被感染的计算机上留下后门程序，等等。

（3） 通信模块：蠕虫间、蠕虫同黑客之间进行交流，可能是未来蠕虫发展的侧重点。

（4） 控制模块：调整蠕虫行为，更新其他功能模块，控制被感染计算机，可能是未来蠕虫发展的侧重点。

5、蠕虫的传播方式

扫描网络——探测存在漏洞的主机

攻击 ——发送恶意数据包

破坏 ——在远程计算机上运行自身恶意代码，重复这个过程

蠕虫的扫描方式以及扫描策略

6、蠕虫的攻击手段

• 缓冲区溢出攻击——堆栈、堆
• ?格式化字符串攻击
• ?拒绝服务攻击
• ?弱口令攻击
• 默认设置脆弱性攻击

7、蠕虫的防治周期

• 预防阶段
• 检测阶段(网络流量、TCP连接异常等)
• 遏制阶段
• 清除阶段