6.4.1 蠕虫病毒概述
1.蠕虫病毒的原始定义
蠕虫病毒这个生物学名词在1982年由Xerox PARC的John.F.Shoch等人最早引入计算机领域,并给出了计算机蠕虫病毒的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。他们编写蠕虫病毒的目的是做分布式计算的模型试验,在他们的文章中,蠕虫病毒的破坏性和不易控制已经初露端倪。1988年Morris蠕虫病毒爆发后,Eugene.H.Spafford为了区分蠕虫病毒和一般病毒,给出了蠕虫病毒的技术角度的定义:“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上”。
2.蠕虫病毒的危害
计算机网络系统的建立是为了使数台计算机能够共享数据资料和外部资源,然而这也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。在网络环境下,蠕虫病毒可以按指数增长模式进行传染。它侵入计算机网络,可以导致计算机网络效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。因此网络环境下蠕虫病毒防治曾经是计算机防毒领域的研究重点。
1988年11月发生了第一起蠕虫病毒事件。美国康奈尔大学的学生罗伯特·莫里斯编写了第一个网络恶意代码——莫里斯蠕虫病毒(Morris Worm)。莫里斯蠕虫病毒尝试以多种手段取得进入新网络的权限,其中最著名的是finger和sendmail漏洞。该恶意代码在美国感染了超过6 000台计算机(包括美国国家航空和航天局研究院、军事基地和部分大学的计算机),并使它们部分瘫痪。由于网络瘫痪造成的损失预计超过9 600万美元。
1999年,Sir Cam蠕虫病毒爆发。该恶意代码依靠电子邮件传播。打开带毒附件后,它会自动附着在正常文件里。发作时会删除计算机中的所有文件,并根据用户的邮件地址自动发送病毒附件。据不完全统计,Sir Cam所造成的经济损失约为12亿美元。
2001年7月“红色代码(Code Red)”以及“红色代码二代(Code Red II)”出现。该恶意程序主要针对互联网上的服务器。该恶意代码能够迅速传播,井造成大范围的访问速度下降甚至阻断。“红色代码”造成的破坏主要是修改网页,攻击网络上的其他服务器。被攻击的服务器又可以继续攻击其他服务器。
据统计,“求职信”“情书”“红色代码”等蠕虫病毒的生产性损失额分别为90亿、88亿、26亿美元。轰动全世界的“2003蠕虫王”造成的全世界范围内损失额也高达12亿美元。
2003年下半年在全球发作的“冲击波”蠕虫病毒,当选为当年危害最大的计算机恶意代码。“冲击波”又名Lovsan或MSBlast,它利用Windows 2000/XP的漏洞进行传播,被激活后会向用户展示一个恶意对话框,提示系统将关闭。该恶意代码的另一个特点是,它可以在特定日期向Windows升级网站发起DDoS(分布式拒绝服务)攻击。
2004年“震荡波”蠕虫病毒出现,其破坏力、影响力更大。与之前的多数恶意代码不同的是,“震荡波”蠕虫病毒的传播并非通过电子邮件,也不需要用户的交互动作。它是利用了未升级的Windows 2000/XP的一个系统漏洞。该恶意代码曾导致法国一些新闻机构关闭卫星通信、Delta航空公司取消数个航班。其带来的经济损失以千万美元计算。
2010年的“震网”蠕虫病毒以全新的视角给世人展示了蠕虫病毒这种恶意代码的震慑力。该蠕虫病毒综合利用了Windows系统的7个漏洞进行传播,其最终目标是攻击安装了Simatic WinCC软件的主机。据赛门铁克统计,2010年7月,伊朗感染“震网”蠕虫病毒的主机为25%,同年9月则高达60%。据称该恶意代码专门定向破坏伊朗核电站离心机等要害目标,具有鲜明的地域性和目的性。
2011年年底又发现了“震网”蠕虫病毒的新变种“Duqu”,其攻击目标通常是工业控制领域的元器件制造商。2012年,又出现了迄今为止威力量强大的恶意代码“火焰(Flame)”蠕虫病毒,它也是震网的变种,并在中东地区大范围传播。
3.蠕虫病毒的特征
蠕虫病毒和普通病毒不同的是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,可以分为两种,即软件上的缺陷和人为的缺陷。软件上的缺陷,如远程溢出、微软IE和Outlook的自动执行漏洞等,需要软件厂商和用户共同配合,不断地升级软件。而人为的缺陷,主要是指计算机用户的疏忽。这就是所谓的社会工程学,当收到一封带着病毒的求职信邮件时,大多数人都会抱着好奇去单击打开。对于企业用户来说,威胁主要集中在服务器和大型应用软件的安全上,而对个人用户而言,主要是防范第二种缺陷。蠕虫病毒的特性如下。
(1)利用漏洞主动进行攻击
这类病毒主要是“红色代码”和“尼姆达”蠕虫病毒,以及至今依然肆虐的“求职信”蠕虫病毒等。由于IE浏览器的漏洞(IFRAME ExecCommand),使得感染了“尼姆达”蠕虫病毒的邮件在不去手工打开附件的情况下就能激活病毒,而此前即使是很多防病毒专家也一直认为“带有病毒附件的邮件,只要不去打开附件,病毒就不会有危害”。“红色代码”病毒是利用了微软lIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播的,“SQL蠕虫王”病毒则是利用于微软的数据库系统的一个漏洞进行大肆攻击。
(2)与黑客技术相结合
以红色代码为例,感染后计算机的Web目录的Scripts下将生成一个root.exe文件,可以远程执行任何命令,使黑客能够再次进入。
(3)传染方式多
蠕虫病毒的传染方式比较复杂,可利用的传播途径包括文件、电子邮件、Web服务器、Web脚本、U盘和网络共享等。
(4)传播速度快
在单机上,病毒只能通过被动方法(如复制、下载、共享等)从一台计算机扩散到另一台计算机,而在网络中则可以通过网络通信机制,借助高速电缆进行迅速扩散。由于蠕虫病毒在网络中传染速度非常快,因此其扩散范围很大。蠕虫病毒不但能迅速传染局域网内所有计算机,还能通过远程工作站将蠕虫病毒在一瞬间传播到千里之外。
(5)清除难度大
在单机中,再顽固的病毒也可通过删除带毒文件、低级格式化硬盘等措施将病毒清除。而网络中只要有一台工作站未能将病毒查杀干净就可使整个网络重新全部被病毒感染,甚至刚刚完成杀毒工作的一台工作站马上就能被网上另一台工作站的带毒程序所传染。因此,仅对单机进行病毒杀毒不能彻底解决网络蠕虫病毒的问题。
(6)破坏性强
在网络中蠕虫病毒将直接影响网络的工作状态,轻则降低速度,影响工作效率,重则造成网络系统的瘫痪,破坏服务器系统资源,使多年的工作毁于一旦。
4.蠕虫病毒的分类
根据攻击对象不同可以将蠕虫病毒分为两类:一类是面向企业用户和局域网的,这类恶意代码利用系统漏洞,主动进行攻击,可以使整个互联网瘫痪。它主要以“红色代码”“尼姆达”及最新的“SQL蠕虫王”为代表;另一类是针对个人用户的,通过网络(主要是电子邮件、恶意网页形式)迅速传播的蠕虫病毒,以“爱虫”和“求职信”为代表。
在这两类蠕虫病毒中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种代码并不是很难。第二类恶意代码的传播方式比较复杂和多样,少数利用了微软应用程序的漏洞,更多的是利用社会工程学对用户进行欺骗和诱使,这样的蠕虫病毒造成的损失是非常巨大的,同时也是很难根除的。
5.蠕虫病毒和其他恶意代码的关系
蠕虫病毒一般不采取利用PE格式插入文件的方法,而是复制自身并在互联网中进行传播。传统计算机病毒的传染能力主要是针对单台计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、大量存在漏洞的服务器等都是蠕虫病毒传播的良好途径。互联网的发展也使得蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫病毒的主动攻击性和突然爆发性使得人们手足无措。
特洛伊木马病毒也是一类特殊的恶意代码。蠕虫病毒和特洛伊木马病毒之间的联系也是非常有趣的。一般而言,这两者的共性都是自我传播,都不感染其他文件,即不需要把自己附着在其他宿主文件上。在传播特性上,它们之间的微小区别是特洛伊木马病毒需要用户上当受骗来进行传播,而蠕虫病毒则不是。蠕虫病毒包含自我复制程序,它利用所在的系统进行传播。
蠕虫病毒和一般病毒的比较见表4.3。
表6.3 蠕虫病毒和一般病毒的比较
