蠕虫病毒深度解析日期：2004-11-22 15:44 作者：天极网来源：天极网1．引言近年来，蠕虫、病毒的引发的安全事件此起彼伏，且有愈演愈烈之势。

从2001年爆发的CodeRed蠕虫、Nimda蠕虫，SQL杀手病毒（SQL SLAMMER蠕虫），到近日肆掠的“冲击波” 蠕虫病毒，无不有蠕虫的影子，并且开始与病毒相结合了。

蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统，如果不及时预防，它们就可能会在几天内快速传播、大规模感染网络，对网络安全造成严重危害。

看来，蠕虫病毒不再是黑暗中隐藏的"黑手"，而是已露出凶相的"狼群"。

各类病毒各有特色，大有长江后浪推前浪之势：CodeRed蠕虫侵入系统后留下后门，Nimda一开始就结合了病毒技术，而SQL杀手病毒与“冲击波”病毒有着惊人的相似之处，此次病毒大规模爆发是从装有WINDOWS 2000以上操作系统的计算机，尤其是从网络服务器上向外扩散的，利用微软存在的系统漏洞，不同的是，SQL杀手病毒用“缓存区溢出”进行攻击，病毒传播路径都是内存到内存，不向硬盘上写任何文件。

“冲击波”病毒则会发送指令到远程计算机，使其连接被感染的主机，下载并运行Msblast.exe。

由此可见，计算机蠕虫和计算机病毒联系越来越紧密，许多地方把它们混为一谈，然而，二者还是有很大不同的，因此，要真正地认识并对抗它们之前，很有必要对它们进行区分。

只有通过对它们之间的区别、不同功能特性的分析，才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素；可以找出有针对性的有效对抗方案；同时也为对它们的进一步研究奠定初步的理论基础。

2．蠕虫原始定义蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本特征：“可以从一台计算机移动到另一台计算机”和“可以自我复制”。

他们编写蠕虫的目的是做分布式计算的模型试验，在他们的文章中，蠕虫的破坏性和不易控制已初露端倪。

1988年Morris 蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。

”（Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. ）。

3．病毒原始定义在探讨计算机病毒的定义时，常常追溯到David Gerrold在1972年的发表的科幻小说《When Harlie Was One》，但计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的，“计算机病毒是一种程序，它可以感染其它程序，感染的方式为在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础上演变过来的。

” （A program that can infect other programs by modifying them to include a possibly evolved copy of itself.）。

1988年Morris蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，将病毒的含义作了进一步的解释。

“计算机病毒是一段代码，能把自身加到其它程序包括操作系统上。

它不能独立运行，需要由它的宿主程序运行来激活它。

”（virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.）。

4．蠕虫/病毒计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致二者之间是非常难区分的，尤其是近年来，越来越多的病毒采取了部分蠕虫的技术，另一方面具有破坏性的蠕虫也采取了部分病毒的技术，更加剧了这种情况。

下表1给出了病毒和蠕虫的一些差别：/article_03090033a5．蠕虫完整定义上述蠕虫原始定义和病毒原始定义中，都忽略了相当重要的一个因素，就是计算机使用者，定义中都没有明确描述计算机使用者在其整个传染机制中所处的地位。

计算机病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的触发者，是传染的关键环节，使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。

而蠕虫主要是利用计算机系统漏洞（vulnerability）进行传染，搜索到网络中存在漏洞的计算机后主动进行攻击，在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关。

另外，蠕虫的定义中强调了自身副本的完整性和独立性，这也是区分蠕虫和病毒的重要因素。

可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒。

目前很多破坏性很强的病毒利用了部分网络功能，例如以信件作为病毒的载体，或感染Windows系统的网络邻居共享中的文件。

通过分析可以知道，Windows系统的网络邻居共享本质上是本地文件系统的一种扩展，对网络邻居共享文件的攻击不能等同与对计算机系统的攻击。

而利用信件作为宿主的病毒同样不具备独立运行的能力。

不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病毒，因为它们不具备上面提到的蠕虫的基本特征。

通过以上的分析和比较，重新给出的Internet蠕虫完整定义为：“Internet蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。

”通过简单的分析，可以得出结论，一些常见的以蠕虫为名的病毒，如“Happy99蠕虫病毒”、“Mellisa网络蠕虫宏病毒”、“Lover Letter网络蠕虫病毒”、“SirCam蠕虫病毒”，“NAVIDAD网络蠕虫”、“Blebla.B网络蠕虫”、“VBS_KAKWORM.A蠕虫”等等，都是病毒，而不是蠕虫。

6．蠕虫发展现状从1988年CERT（计算机紧急响应小组）由于Morris蠕虫事件成立以来，统计到的Internet安全威胁事件每年以指数增长。

这些安全威胁事件给Internet带来巨大的经济损失。

美国每年因为网络安全造成的经济损失超过170亿美元，使网络信息安全问题得到了世界各国的重视。

2001年美国投资20亿美元加强网络安全建设，同样其它各国也都投入了巨大的人力和物力。

在全球信息化浪潮的冲击下，我国信息化建设也已进入高速发展阶段，电子商务、电子政务、网络金融和网络媒体等蓬勃发展起来，这些与国民经济、社会稳定息息相关的领域急需信息安全的保障。

因此，解决我国的信息安全问题刻不容缓。

在Internet安全问题中，恶意软件（malware）造成的经济损失占有最大的比例。

恶意软件主要包括计算机病毒（Virus）、蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等。

另外，许多人提出，要把恶意软件作为网络战的一种攻击手段，这时的网络安全问题已经上升到国家安全的高度了。

Internet蠕虫是目前危害最大的恶意软件，几乎每次蠕虫发作都会因其造成的巨大经济损失：1988年11月2日，Morris 蠕虫发作，几天之内6000台以上的Internet服务器被感染而瘫痪，损失超过一千万美元；2001年7月19日，CodeRed蠕虫爆发，在爆发后的9小时内就攻击了25万台计算机，造成的损失估计超过20亿美元；随后几个月内产生了威力更强的几个变种，其中CodeRed II造成的损失估计超过12亿美元；2001年9月18日，Nimda蠕虫被发现，对Nimda造成的损失评估数据从5亿美元攀升到26亿美元后，继续攀升，到现在已无法估计。

自从它诞生以来到现在，无论哪里、无论以什么因素作为评价指标排出的十大病毒排行榜，它都榜上有名。

日前全球爆发的“冲击波” 蠕虫病毒及其变种，它们传播速度及危害之大是史无前例的，与以前的蠕虫病毒相比，“冲击波”的感染潜力大得多，由于全球微软操作系统这一漏洞影响的电脑数量庞大。

从因此，其危害很难在近期内统计出。

目前蠕虫爆发的频率越来越快，尤其是近两年来，越来越多的蠕虫出现，其传播速度成几何级增长，危害也大有过之而无不及。

7．蠕虫研究概况Internet蠕虫虽然早在1988年就显示出它巨大破坏力和危害性，但当时Internet没有普及，因而也没有引起人们更多的注意。

从1990年开始，对抗恶意软件破坏的主要内容锁定在个人电脑的防病毒上，而且这种状况一直延续到现在。

科研人员的主要精力放在如何预防、检测和消除攻击个人电脑文件系统的病毒。

虽然邮件病毒的出现，使人们认识到了Internet已经使病毒的性质发生了一些变化，需要调整研究方法和目标，但对于蠕虫的研究和防御到目前为止还比较少；近年来，新蠕虫层出不穷，危害越来越大，其造成的危害程度远远超过传统的病毒，由于对蠕虫研究的滞后，使人们在蠕虫面前手忙脚乱。

通过对蠕虫的研究，可以扩大反病毒技术涵盖的范围，推进反病毒技术的发展。

对蠕虫的实体特征、功能结构模型的研究，可以直接的转化应用到安全产品和反病毒产品中去，为减少恶意软件造成的经济损失提供相应的手段。

2001年CodeRed蠕虫爆发后，针对蠕虫的研究逐渐成为热点。

比较突出的有Nicholas Weaver，并预言了可以在半个小时之内感染整个Internet的蠕虫将要出现。

Slammer的出现证实了他的预言，但值得注意的是Slammer没有采用任何一种他提到的快速传播策略，而依然使用的是最原始的随机目标选择策略。

Cliff Changchun Zou以CodeRed蠕虫为例，讨论了基于微分方程描述的蠕虫传播模型，考虑了人为因素对蠕虫传播的影响，他的工作可以看作是SIR传播模型的一种扩展。

David Moore（CAIDA, the Cooperative Association for Internet Data Analysis）提出了衡量防治蠕虫的技术有效性的三个参数：响应时间、防治策略、布置策略，他认为目前的防治技术在这三个参数上都远远达不到对蠕虫防治的要求。

Dug Song等人对蠕虫引起的网络流量统计特征做了研究。

这些工作中，一个比较突出的问题是，缺少对蠕虫整体特征的系统性分析，基本上都是针对特定的蠕虫（如CodeRed蠕虫）进行研究讨论和建模。