蠕虫病毒特点分析之网络蠕虫病毒检测与防治

全站搜索

首页 -> 技术学院 -> 系统安全 -> 病毒剖析

蠕虫病毒特点分析之网络蠕虫病毒检测与防治

2004-11-05 作者：天极网阅读量：

2．蠕虫的行为特征

2.1 蠕虫的工作流程

2.1.1 蠕虫的工作流程：

蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段，如图2所示。蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括：隐藏、信息搜集等。同时，蠕虫程序生成多个副本，重复上述流程。不同的蠕虫采取的IP生成策略可能并不相同，甚至随机生成。各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单。

图2 蠕虫的工作流程

2.2 蠕虫的行为特征

通过对蠕虫的整个工作流程进行分析，可以归纳得到它的行为特征：

自我繁殖：

蠕虫在本质上已经演变为黑客入侵的自动化工具，当蠕虫被释放（release）后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。就自主性而言，这一点有别于通常的病毒。

利用软件漏洞：

任何计算机系统都存在漏洞，这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。这些漏洞是各种各样的，有操作系统本身的问题，有的是应用服务程序的问题，有的是网络管理人员的配置问题。正是由于漏洞产生原因的复杂性，导致各种类型的蠕虫泛滥。

造成网络拥塞：

在扫描漏洞主机的过程中，蠕虫需要：判断其它计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递，或者向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量。即使是不包含破坏系统正常工作的恶意代码的蠕虫，也会因为它产生了巨量的网络流量，导致整个网络瘫痪，造成经济损失。

消耗系统资源：

蠕虫入侵到计算机系统之后，会在被感染的计算机上产生自己的多个副本，每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源，导致系统的性能下降。这对网络服务器的影响尤其明显。

留下安全隐患：

大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。这些都会导致未来的安全隐患。

责任编辑：水蜜桃
文章来源：天极网 2004-11-05