实例解析蠕虫病毒的原理

实例解析蠕虫病毒的原理（精选5篇）

实例解析蠕虫病毒的原理 篇1

“蠕虫QQ传输”(Worm.QQMsgSend.op)该病毒是一个通过QQ传播的蠕虫病毒，该病毒会拷贝自身到系统目录，并添加启动项，使能随开机启动。

“代理RB”(Troj.Agent.rb)这是一个木马病毒，对用户正常上网生活学习有很大的影响。

一、“蠕虫QQ传输”(Worm.QQMsgSend.op)威胁级别：

病毒特征：该病毒是一个通过QQ传播的蠕虫病毒，

发作症状：该病毒会结束阿拉QQ大盗进程，并删除其启动项;该病毒会释放一个 病毒，进行键盘记录并打开后门，供 连接控制;该病毒通过监测QQ发送窗口，发送消息给好友，达到传播目的。该病毒会不停写注册表添加启动项，使得用户无法手工删除注册表启动项。

二、“代理RB”(Troj.Agent.rb)威胁级别：

病毒特征：这是一个木马病毒。

实例解析蠕虫病毒的原理 篇2

一、蠕虫病毒的定义及特点

蠕虫是一种可以自我复制的代码, 并且通过网络传播, 通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后, 就会把这台机器作为宿主, 进而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之后, 蠕虫会以这些计算机为宿主继续扫描并感染其他计算机, 这种行为会一直延续下去。蠕虫使用这种递归的方法进行传播, 按照指数增长的规律分布自己, 进而及时控制越来越多的计算机。

(一) 较强的独立性

计算机病毒一般都需要宿主程序, 病毒将自己的代码写到宿主程序中, 当该程序运行时先执行写入的病毒程序, 从而造成感染和破坏。而蠕虫病毒不需要宿主程序, 它是一段独立的程序或代码, 因此也就避免了受宿主程序的牵制, 可以不依赖于宿主程序而独立运行, 从而主动地实施攻击。

(二) 利用漏洞主动攻击

由于不受宿主程序的限制, 蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。例如, “尼姆达”病毒利用了IE游览器的漏洞, 使感染病毒的邮件附件在不被打开的情况下就能激活病毒;“红色代码”利用了微软IIS服务器软件的漏洞 (idq.dll远程缓存区溢出) 来传播;而蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。

(三) 传播更快更广

蠕虫病毒比传统病毒具有更大的传染性, 它不仅仅感染本地计算机, 而且会以本地计算机为基础, 感染网络中所有的服务器和客户端。蠕虫病毒可以通过网络中的共享文件夹、电子邮件、恶意网页以及存在着大量漏洞的服务器等途径肆意传播, 几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致。因此, 蠕虫病毒的传播速度可以是传统病毒的几百倍, 甚至可以在几个小时内蔓延全球。

(四) 更好的伪装和隐藏方式

为了使蠕虫病毒在更大范围内传播, 病毒的编制者非常注重病毒的隐藏方式。在通常情况下, 我们在接收、查看电子邮件时, 都采取双击打开邮件主题的方式来浏览邮件内容, 如果邮件中带有病毒, 用户的计算机就会立刻被病毒感染。

(五) 技术更加先进

一些蠕虫病毒与网页的脚本相结合, 利用VB Script, Java, ActiveX等技术隐藏在HTML页面里。当用户上网游览含有病毒代码的网页时, 病毒会自动驻留内存并伺机触发。还有一些蠕虫病毒与后门程序或木马程序相结合, 比较典型的是“红色代码病毒”, 它会在被感染计算机Web目录下的scripts下生成一个root.exe后门程序, 病毒的传播者可以通过这个程序远程控制该计算机。这类与黑客技术相结合的蠕虫病毒具有更大的潜在威胁。

(六) 使追踪变得更困难

当蠕虫病毒感染了大部分系统之后, 攻击者便能发动多种其他攻击方式对付一个目标站点, 并通过蠕虫网络隐藏攻击者的位置, 这样要抓住攻击者会非常困难。

二、蠕虫病毒的构成及在传播过程中的功能

(一) 探测部分

探测部分是用来获得入侵目标的访问权, 它实际上是一些入侵到计算机的代码, 进入目标计算机之后探测部分会自动探测攻击点, 并尽可能地利用计算机的漏洞侵占系统。

(二) 传播引擎

通过探测部分获得目标机的访问权后, 蠕虫必须传输自身的其他部分到目标机。有些蠕虫的探测部分可以将整个蠕虫载入目标机, 有些蠕虫则需要利用探测部分的传播引擎代码执行一个用来传输蠕虫代码的命令来将蠕虫的其他部分传播到计算机中。当蠕虫传播到计算机中, 便运行蠕虫代码改变系统配置, 从而在系统中隐藏自己。

(三) 目标选择算法

蠕虫在进入到目标机之后, 便开始寻找新的攻击目标, 这部分工作是由目标选择算法完成。蠕虫会自动扫描由目标选择算法确定的地址, 然后检查是否有合适的易攻击的对象。蠕虫的选择算法有以下几种方法。

1.电子邮件地址。一个蠕虫可以从受害计算机的邮件阅读器或邮件服务器中得到电子邮件地址, 任何发送信息到受害计算机或从受害计算机接收信息的计算机都将成为下一个潜在的目标。

2.主机列表。一些蠕虫从本地主机上的各种计算机列表中获得地址, 例如存储在主机文件 (Unix中的/etc/hosts和Windows中的LMHOSTS) 中的那些。

3.域名 (DNS) 查询。蠕虫可以连接到包含其他计算机地址的本地域名服务器, 这些计算机地址即成为蠕虫的攻击对象。

(四) 扫描引擎

目标引擎获得攻击目标的地址后, 蠕虫便可以利用扫描引擎对目标传送数据包, 以此来判断此目标是否适合攻击。

(五) 有效载荷

进入到计算机之后, 蠕虫的有效载荷可以实施某种行为, 如打开一个后门, 然后攻击者就可以远程控制目标计算机。或者安装一个分布式的拒绝服务淹没代理, 攻击者可以命令它侵占其他受害计算机。

三、蠕虫病毒的预防与治理

(一) 预防蠕虫病毒

预防蠕虫病毒是非常重要的一环, 预防比感染了蠕虫病毒再治更为重要, 一般预防手段包括以下几种。

1.经常升级操作系统及其自带软件的安全补丁。有9 0%的蠕虫是通过操作系统及其自带软件的各种漏洞非法入侵电脑的, 所以只要勤装补丁程序, 就能将绝大数的蠕虫拒之门外。

2.使用防火墙。防火墙可以监控电脑所有的网络端口, 只要设置好其安全策略, 蠕虫在一般情况下是不容易攻破的。一些杀毒软件自带的病毒防火墙还有自学功能, 可以在用户使用的过程中主动积累经验, 为用户自动设置, 它们是电脑初级用户防范蠕虫的好帮手。

3.使用邮件监控程序。Email是蠕虫最常用的传播载体, 很多蠕虫都利用邮件系统的漏洞, 将自己偷偷地藏身于Email, 并以好看的标题来引诱收信息人点击。不少杀毒软件现在也自带了邮件监控程序, 所以通过它们也能过滤绝大部分的蠕虫。

4.经常查看系统目录。可以经常查看C盘根目录和系统目录, 观察其是否存在陌生或可疑的文件。

5.经常查看内存。通过Windows任务管理器可以查看内存中的所有进程 (采用其他进程显示工具也可以) , 可以在这些进程中查找可疑的蠕虫。

6.经常查看注册表。可以经常用系统自带的注册表编辑器查看注册表的自启动项[HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVemionRun], 看是不是有可疑的程序出现。Run], 看是不是有可疑的程序出现。

(二) 主机感染蠕虫的防治策略

1.与防火墙互动。通过控制防火墙的策略, 对感染主机的对外访问数据进行控制, 防止蠕虫对外网的主机进行感染。

2.交换机联动。通过SNMP协议进行联动, 当发现内网主机被蠕虫感染时, 可以切断感染主机同内网的其他主机的通信, 防止蠕虫在内网的大肆传播。

3.通知HIDS (基于主机的入侵监测) 。装有HIDS的服务器接收到监测系统传来的信息, 可以对可疑主机的访问进行阻断, 这样可以阻止受感染的主机访问服务器, 使服务器上的重要资源免受损坏。

、木马、蠕虫病毒联手感染电脑 篇3

、木马、蠕虫病毒联手感染电脑

。今日提醒用户特别注意以下病毒：“普罗斯特变种rq”(Hack.Prosti.rq)和“下载者变种nk”(Troj.Downloader.nk)。

“普罗斯特变种rq”(Hack.Prosti.rq) 病毒，运行该病毒会在被感染用户系统留下后门，后门种植者可以通过该后门控制感染的机器，

“下载者变种nk”(Troj.Downloader.nk木马病毒，病毒运行后通过可用的网络连接特定的网站下载其它病毒。

实例解析蠕虫病毒的原理 篇4

北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》指出，有关部门监测发现，WannaCry 勒索蠕虫出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了所谓的Kill Switch，不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快，该变种的有关处置方法与之前版本相同，建议立即进行关注和处置。

据称，5月12日22：30左右，因全球比特币勒索病毒爆发，中石油公司所属部分加油站正常运行受到波及。病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用，加油及销售等基本业务运行正常，加油卡账户资金安全不受影响。5月13日1：00，为确保用户数据安全和防止病毒扩散，中石油会同有关网络安全专家连夜开展处置工作，全面排查风险，制定技术解决方案。

实例解析蠕虫病毒的原理 篇5

勒索蠕虫毒”(WannaCry)是一种新型病毒，主要以邮件、程序木马、网页挂马的形式传播，一旦感染该病毒，中病毒的电脑文件就会被病毒加密，被感染者一般无法解密，必须支附高额费用拿到解密私钥才能解密，危害性极大。

据有关部门监测发现，WannaCry 勒索蠕虫病毒出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了所谓的Kill Switch，不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,为此，建议使用网络的单位和个人立即进行关注和处置。

一、一旦发现中毒机器，立即断网处置，目前看来对硬盘格式化可清除病毒。

二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑安装此补丁，网址为technet.microsoft.com/zh-cn/library/security/MS17-010;对于XP、等微软已不再提供安全更新的机器，建议升级操作系统版本，或使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址：dl.360safe.com/nsa/nsatool.exe。

三、启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口，关闭网络文件共享。

四、单位内网严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。

五、尽快备份自己电脑中的重要文件资料到存储设备上。

六、及时更新操作系统和应用程序到最新的版本。

七、加强电子邮件安全，有效的阻拦掉钓鱼邮件，可以消除很多隐患。