蠕虫王 蠕虫王电影

一、2003蠕虫王**的介绍

2003年1月25日，互联网上出现一种**高危蠕虫**——“2003蠕虫王”(Worm.NetKiller2003)，其**远远超过曾经肆*一时的红色代码**。**该蠕虫**后网络带宽被大量占用，导致网络瘫痪，该蠕虫是利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞，对其网络进行攻击。由于“2003蠕虫王”具有*强的传播能力，目前在亚洲、美洲、澳大利亚等地迅速传播，已经造成了全球*的网络灾害。由于1月25日正值周末，其造成的恶果首先表现为公用互联网络的瘫痪，预计在今后几天继续呈迅速蔓延之势。

二、研究蠕虫**意义

凡能够引起计算机故障，破坏计算机数据的程序统称为计算

机**。所以从这个意义上说，蠕虫也是一种**！网络蠕虫**,

作为对互联网**严重的一种计算机程序,其破坏力和传染*不容忽

视.与传统的**不同，蠕虫**以计算机为载体，以网络为攻击对

象！本文中将蠕虫**分为针对企业网络和个人用户2类，并从企业

用户和个人用户两个方面探讨蠕虫**的特征和一些防范措施!

本文根据蠕虫**的发作机制，将其分为利用系统级别漏洞（主动传

播）和利用社会工程学(**传播)两种，并从用户角度中将蠕虫**

分为针对企业网络和个人用户2类，从企业用户和个人用户两个方面

探讨蠕虫**的特征和一些防范措施!

计算机**自出现之日起，就成为计算机的一个巨大威胁，而当网络

迅速发展的时候，蠕虫**引起的**开始显现！从广义上定义，凡

能够引起计算机故障，破坏计算机数据的程序统称为计算机**。所

以从这个意义上说，蠕虫也是一种**！但是蠕虫**和一般的**

有着很大的区别.对于蠕虫,现在还没有一个成套的理论体系,一般认

为,蠕虫是一种通过网络传播的恶***,它具有**的一些共*,如

传播*,***,破坏*等等,同时具有自己的一些特征，如不利用文

件寄生（有的只存在于内存中）,对网络造成拒绝服务，以及和**

技术相结合等等！在产生的破坏*上，蠕虫**也不是普通**所能

比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造

在本论文中,根据使用者情况将蠕虫**分为2类,一种是面向企业用

户和*域网而言，这种**利用系统漏洞,主动进行攻击,可以对整个

互联网可造成瘫痪*的后果!以“红色代码”，“尼姆达”，以及*

新的“sql蠕虫王”为代表。另外一种是针对个人用户的,通过网络(

主要是电子邮件,**网页形式)迅速传播的蠕虫**,以爱虫**,求

职信**为例.在这两类中，**类具有很大的主动攻击*，而且爆

发也有一定的突然*，但相对来说，查杀这种**并不是很难。第二

种**的传播方式比较复杂和多样，少数利用了微软的应用程序的漏

洞，更多的是利用社会工程学()对用户进行**和*使，这样的**

造成的损失是非常大的，同时也是很难根除的，比如求职信**，在

2001年就已经被各大杀*厂商发现，但直到2002年底依然排在**危

害排行榜的首位就是证明！出得在接下来的内容中,将分别分析这两

蠕虫也是一种**，因此具有**的共同特征。一般的**是需要的

寄生的,它可以通过自己指令的执行，将自己的指令代码写到其他程

序的体内，而被**的文件就被称为”宿主”,例如,windows下可执

行文件的格式为pe格式(Portable Executable),当需要**pe文件时

,在宿主程序中，建立一个新节，将**代码写到新节中，修改的程

序入口点等，这样，宿主程序执行的时候，就可以先执行**程序，

**程序运行完之后，在把控制权交给宿主原来的程序指令。可见，

**主要是**文件，当然也还有像DIRII这种链接型**，还有引

导区**。引导区**他是**磁盘的引导区，如果是软盘被**，

这张软盘用在其他机器上后，同样也会**其他机器，所以传播方式

蠕虫一般不采取利用pe格式插入文件的方法,而是**自身在互联网

环境下进行传播，**的传染能力主要是针对计算机内的文件系统而

言,而蠕虫**的传染目标是互联网内的所有计算机.*域网条件下的

共享文件夹，电子邮件e**il,网络中的**网页,大量存在着漏洞的

服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫**可

以在几个小时内蔓延全球!而且蠕虫的主动攻击*和突然爆发*将使

可以预见,未来能够给网络带来重大灾难的主要必定是网络蠕虫!

1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫**蔓延造

成了数千台计算机停机，蠕虫**开始现身网络;而后来的红色代码

，尼姆达**疯狂的时候，造成几十亿美元的损失;北京时间2003年1

月26日,一种名为“2003蠕虫王”的电脑**迅速传播并**了全球

，致使互联网网路严重堵塞，作为互联网主要基础的域名服务器

（DNS）的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅

减缓,同时**自动提款机的运作中断,机票等网络预订系统的运作

中断,***等收付款系统出现故障!专家估计,此**造成的直接经

莫里斯蠕虫 1988年 6000多台计算机停机,直接经济损失达9600万美

美丽** 1999年3月政府部门和一些大公司紧急关闭了网络服务器,

爱虫** 2000年5月至今众多用户电脑被**，损失超过100亿美元

红色代码 2001年7月网络瘫痪，直接经济损失超过26亿美元

求职信 2001年12月至今大量**邮件堵塞服务器，损失达数百亿美

Sql蠕虫王 2003年1月网络大面积瘫痪,**自动提款机运做中断,直

由表可以知道,蠕虫**对网络产生堵塞作用,并造成了巨大的经济损

通过对以上蠕虫**的分析,可以知道,蠕虫发作的一些特点和发展趋

1.利用操作系统和应用程序的漏洞主动进行攻击..此类**主要是

“红色代码”和“尼姆达”,以及至今依然肆*的”求职信”等.由于

IE浏览器的漏洞(Iframe ExecCom**nd)，使得感

染了“尼姆达”**的邮件在不去手工打开附件的情况下**就能激

活，而此前即便是很多防**专家也一直认为，带有**附件的邮件

，只要不去打开附件，**不会有**。“红色代码”是利用了微软

IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播。Sql蠕虫王

**则是利用了微软的数据库系统的一个漏洞进行大肆攻击!

2传播方式多样如“尼姆达”**和”求职信”**，可利用的传播

途径包括文件、电子邮件、Web服务器、网络共享等等.

3.**制作技术新与传统的**不同的是，许多新**是利用当

前**的编程语言与编程技术实现的，易于修改以产生新的变种，从

而逃避反**软件的搜索。另外，新**利用Java、ActiveX、VB

script等技术，可以潜伏在HTML页面里，在上网浏览时触发。

4.与**技术相结合!潜在的威胁和损失更大!以红色代码为例,

**后的机器的web目录的\scripts下将生成一个root.exe,可以远程

执行任何命令,从而使**能够再次进入!

蠕虫和普通**不同的一个特征是蠕虫**往往能够利用漏洞，这里

的漏洞或者说是缺陷，我们分为2种，软件上的缺陷和人为上的缺陷

。软件上的缺陷，如远程溢出，微软ie和outlook的自动执行漏洞等

等，需要软件厂商和用户共同配合，不断的升级软件。而人为的缺陷

，主要是指的是计算机用户的疏忽。这就是所谓的社会工程学

(social engineering),当收到一封邮件带着**的求职信邮件时候

，大多数人都会报着好奇去点击的。对于企业用户来说，威胁主要集

中在服务器和大型应用软件的安全上，而个人用户而言，主要是防范

2.1利用系统漏洞的恶*蠕虫**分析

在这种**中,以红色代码,尼姆达和sql蠕虫为代表!他们共同的特征

是利用微软服务器和应用程序组件的某个漏洞进行攻击,由于网上存

在这样的漏洞比较普遍,使得**很容易的传播!而且攻击的对象大都

为服务器,所以造成的网络堵塞现象严重!

以2003年1月26号爆发的sql蠕虫为例,爆发数小时内席卷了全球网络,

造成网络大塞车.亚洲**中以人口上网普及率达七成的韩国所受影

响较为严重。韩国两大网络业KFT及南韩电讯公司，系统都陷入了瘫

痪，其它的网络用户也被迫断线,更为严重的是许多**的自动取款

机都无**常工作,美国许美国**统计，该行的13000台自动柜员

机已经无法提供正常提款。网络蠕虫**开始对人们的生活产生了巨

这次sql蠕虫攻击的是微软数据库系Microsoft SQL Server 2000的，

利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞, Microsoft SQL

Server 2000是一款由Microsoft公司开发的商业*质大型数据库系统

。 SQL Server**UDP的1434端口，客户端可以通过发送消息到这个

端口来查询目前可用的连接方式（连接方式可以是命名管道也可以是

TCP），但是此程序存在严重漏洞，当客户端发送超长数据包时，将

导致缓冲区溢出，**可以利用该漏洞在远程机器上执行自己的**

微软在200年7月份的时候就为这个漏洞发布了一个安全公告,但当sql

蠕虫爆发的时候,依然有大量的装有ms sqlserver 2000的服务器没有

安装**的补丁,从而被蠕虫**所利用,蠕虫**通过一段376个字

节的**代码,远程获得对方主机的系统控制权限,取得三个Win32

API地址，GetTickCount、socket、sendto，接着**使用

GetTickCount获得一个随机数，进入一个死循环继续传播。在该循环

中蠕虫使用获得的随机数生成一个随机的ip地址，然后将自身代码发

送至1434端口(Microsoft SQL Server开放端口)，该蠕虫传播速度*

快，其使用广播数据包方式发送自身代码，每次均攻击子网中所有

255台可能存在机器。由于这是一个死循环的过程，发包密度仅和机

器*能和网络带宽有关，所以发送的数据量非常大。该蠕虫对被**

机器本身并没有进行任何**破坏行为，也没有向硬盘上写文件，仅

仅存在与内存中。对于**的系统，重新启动后就可以清除蠕虫，但

是仍然会重复**。由于发送数据包占用了大量系统资源和网络带宽

，形成Udp Flood，**了该蠕虫的网络*能会**下降。一个百兆

网络内只要有一两台机器**该蠕虫就会导致整个网络访问阻塞。

通过以上分析可以知道,此蠕虫**本身除了对网络产生拒绝服务攻

击外,并没有别的破坏措施.但如果**编写者在编写**的时候加入

此次sql蠕虫**，利用的漏洞在2002年7月份微软的一份安全公告中

就有详细说明！而且微软也提供了安全补丁提供下载，然而在时隔半

年之后互联网上还有相当大的一部分服务器没有安装**的补丁，其

网络管理员的安全防范意识可见一斑！

当前，企业网络主要应用于文件和打印服务共享、办公自动化系统、

企业业务（MIS）系统、Internet应用等领域。网络具有便利信息交

换特*，蠕虫**也可以充分利用网络快速传播达到其阻塞网络目的

。企业在充分地利用网络进行业务处理时，就不得不考虑企业的**

防范问题，以保证关系企业命运的业务数据完整不被破坏。

企业防治蠕虫**的时候需要考虑几个问题：**的查杀能力，**

的监控能力，新**的反应能力。而企业防*的一个重要方面是是管

理和策略。推荐的企业防范蠕虫**的策略如下：

1．加强网络管理员安全管理水平，提高安全意识。由于蠕虫**利

用的是系统漏洞进行攻击，所以需要在**时间内保持系统和应用软

件的安全*,保持各种操作系统和应用软件的更新！由于各种漏洞的

出现，使得安全不在是一种一劳永逸的事，而作为企业用户而言，所

经受攻击的危险也是越来越大，要求企业的管理水平和安全意识也越

2．建立**检测系统。能够在**时间内检测到网络异常和**攻

3．建立应急响应系统，将风险减少到*小！由于蠕虫**爆发的突

然*，可能在**发现的时候已经蔓延到了整个网络，所以在突**

况下，建立一个紧急响应系统是很有必要的，在**爆发的**时间

4．建立灾难备份系统。对于数据库和数据系统，必须采用定期备份

，多机备份措施，防止意外灾难下的数据丢失！

5．对于*域网而言，可以采用以下一些主要手段：（1）在因特网

接入口处安装防火墙式防杀计算机**产品，将**隔离在*域网之

外。（2）对邮件服务器进行监控，防止带*邮件进行传播！（3）对

*域网用户进行安全培训。（4）建立*域网内部的升级系统，包括

各种操作系统的补丁升级，各种常用的应用软件升级，各种杀*软件

.3对个人用户产生直接威胁的蠕虫**

在以上分析的蠕虫**中，只对安装了特定的微软组件的系统进行攻

击，而对广大个人用户而言，是不会安装iis(微软的因特网服务器程

序，可以使允许在网上提供web服务)或者是庞大的数据库系统的！因

此上述**并不会直接攻击个个人用户的电脑(当然能够间接的通过

网络产生影响)，但接下来分析的蠕虫**，则是对个人用户威胁*

大，同时也是*难以根除，造成的损失也更大的一类蠕虫**！

对于个人用户而言，威胁大的蠕虫**采取的传播方式一般为电子邮

对于利用e**il传播得蠕虫**来说，通常利用的是社会工程学

(Social Engineering),即以各种各样的**手段那**用户点击的

**网页确切的讲是一段**破坏代码程序，它内嵌在网页中，当用

户在不知情的情况下打开含有**的网页时，**就会发作。这种病

*代码镶嵌技术的原理并不复杂，所以会被很多怀不良企图者利用，

在很多**网站竟然出现了关于用网页进行破坏的技术的论坛，并提

供破坏程序代码下载，从而造成了**网页的大面积泛滥，也使越来

对于**网页，常常采取vb script和java script编程的形式！由于

编程方式十分的简单！所以在网上非常的流行！

Vb script和java script是由微软操作系统的wsh（Windows

scripting HostWindows脚本主机）解析并执行的，由于其编程非常

简单，所以此类脚本**在网上疯狂传播，疯狂一时的爱虫**就是

一种vbs脚本**，然后伪装成邮件附件**用户点击运行，更为可

怕的是，这样的**是以源代码的形式出现的，只要懂得一点关于脚

本编程的人就可以修改其代码，形成各种各样的变种。

Set objFs=CreateObject（“scripting.FileSystemObject”）(创

建一个文件系统对象) objFs.CreateTextFile

（"C:\virus.txt", 1）(通过文件系统对象的方法创建了TXT文件)

如果我们把这两句话保存成为.vbs的VB脚本文件，点击就会在C盘

中创建一个TXT文件了。倘若我们把第二句改为：

objFs.GetFile（Wscript.scriptFullName）.Copy

就可以将自身**到C盘virus.vbs这个文件。本句前面是打开这个脚

本文件，Wscript.scriptFullName指明是这个程序本身，是一个完整

的路径文件名。GetFile函数获得这个文件，Copy函数将这个文件复

制到C盘根目录下virus.vbs这个文件。这么简单的两句就实现了自我

**的功能，已经具备**的基本特征——自我**能力。

此类**往往是通过邮件传播的，在vb script中调用邮件发送功能

也非常的简单，**往往采用的方法是向outlook中的地址薄中的邮

件地址发送带有包含自身的邮件来达到传播目的，一个简单的实例如

Set objOA=Wscript.CreateObject（"Outlook.Application"）（创

Set objMapi=objOA.GetNameSpace（"MAPI"）（取得MAPI名字空间

For i=1 to objMapi.AddressLists.Count（遍历地址簿）

Set objAddList=objMapi.AddressLists（i）

For j=1 To objAddList. AddressEntries.Count

Set objMail=objOA.CreateItem（0）

objMail.Recipients.Add（objAddList. AddressEntries（j））

（取得收件人邮件地址） objMail.Subject="你好!"（设置邮

件主题，这个往往具有很大的***质）

objMail.Body="这次给你的附件，是我的新文档！"（设置信件内容

objMail.Attachments.Add（“c:\virus.vbs"）（把自己作为附件

Set objMapi=Nothing（清空objMapi变量，释放资源）

set objOA=Nothing(清空objOA变量)

这一小段代码的功能是向地址簿中的用户发送电子邮件，并将自

己作为附件扩散出去。这段代码中的**行是创建一个Outlook的对

象，是必不可少的。在其下是一个循环，在循环中不断地向地址簿中

的电子邮件地址发送内容相同的信件。这就是蠕虫的传播*。

由此可以看出，利用vb script编写**是非常容易的，这就使得此

类**的变种繁多，破坏力**，同时也是非常难以根除的！

2.4个人用户对蠕虫**的防范措施

通过上述的分析，我们可以知道，**并不是非常可怕的，网络蠕虫

**对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏

洞！所以防范此类**需要注意以下几点：

1．购合适的杀*软件！网络蠕虫**的发展已经使传统的杀*软件

的“文件级实时监控系统”落伍，杀*软件必须向内存实时监控和邮

件实时监控发展！另外面对防不胜防的网页**，也使得用户对杀*

软件的要求越来越高！在杀*软件市场上，赛门铁克公司的norton系

列杀*软件在全球具有很大的比例！经过多项测试,norton杀*系列

软件脚本和蠕虫阻拦技术能够阻挡大部分电子邮件**,而且对网页

**也有相当强的防范能力!目前国内的杀*软件也具有了相当高的

水平.像瑞星,kv系列等杀*软件,在杀*软件的同时整合了防火强功

能,从而对蠕虫兼**程序有很大克制作用.

2。经常升级**库,杀*软件对**的查杀是以**的特征码为依

据的,而**每天都层出不穷,尤其是在网络时代,蠕虫**的传播速

度快,变种多,所以必须随时更新**库,以便能够查杀**的**!

3．提高防杀*意识.不要轻易去点击陌生的站点，有可能里面就含有

当运行IE时，点击“工具→Internet选项→安全→ Internet区域的

安全级别”，把安全级别由“中”改为“高”。、因为这一类网页

主要是含有**代码的ActiveX或Applet、 javascript的网页文件

，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可

以大大减少被网页**代码**的几率。具体方案是：在IE窗口中点

击“工具”→“Internet选项”，在弹出的对话框中选择“安全”标

签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把

其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”

。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用

4．不随意查看陌生邮件，尤其是带有附件的邮件，，由于有的**

邮件能够利用ie和outlook的漏洞自动执行，所以计算机用户需要升

级ie和outlook程序，及常用的其他应用程序！

网络蠕虫**作为一种互联网高速发展下的一种****，必将对网

络产生巨大的危险。在防御上，已经不再是由单*的杀*厂商所能够

解决，而需要网络安全公司，系统厂商，防**厂商及用户共同参与

蠕虫和**技术的结合，使得对蠕虫的分析，检测和防范具有一定的

难度，同时对蠕虫的网络传播*，网络流量特*建立数学模型也是有

虽然**都有网络化的趋势，但是蠕虫才是真正意义上的网络**．因为它从诞生的那一天起就没有离开网络。简单的说蠕虫**就是利用系统漏洞在网络上疯狂传播的一种计算机**，蠕虫名字形象地说明了它的特点——就像虫子一样，从网络的一台电脑爬行到另一台电脑．不停地繁殖自己

蠕虫**现在越来越多，有没有什么好办法减少它们带来的危险呢!小编给大家一法，大家看看效果怎么样？

纵观今年全球**的发展，不难发现蠕虫**接踵而至，着实让杀*市场火了一把。蠕虫**信手拈来，如库尔尼科娃、Sircam、红色代码、蓝色代码、***等等，一个比一个厉害，一个比一个恶*，令人防不胜防，只要你上网，不经意之间就有可能染上**而浑然不知。下面的技巧教你如何有效地避开这些**：

1．大多数蠕虫通过都是利用了微软Outlook的漏洞进行传播的，因此需要特别注意微软网站提供的补丁。及时打补丁是一个良好的习惯，可以让你的系统**保持**、*安全。注意补丁*好从信任度高的网站下载。如果你生*懒惰，那干脆不要用Outlook了，改用Fox**il是一个不错的选择。

2．对于邮件附件尽可能小心，还是安装一套杀*软件吧，在你打开邮件之前对附件进行预扫描。因为有的**邮件恶*之*，只要你将鼠标移至邮件上，哪怕并不打开附件，它也会自动执行。

3．设置文件夹选项，显示文件名的扩展名。这样一些有害文件，如VBS文件就会原形毕露。

4．千万别打开扩展名为VBS、SHS和PIF的邮件附件。这些扩展名从未在正常附件中使用，但它们经常被**和蠕虫使用。对于有2个扩展名的附件，比如*.BMP.EXE或者*.TXT.VBS文件，亦要万分小心。

5．一般情况下勿将磁盘上的目录设为共享，如果确有必要，请将权限设置为只读，读操作须指定口令。

6.如果你觉得从朋友那里来的邮件有点奇怪，暂不要打开，待向朋友确认之后再处理不迟。

7．当你收到邮件广告或者主动提供的电子邮件时，不要打开附件以及它提供的链接。

8、将游览器的**设置设为“高”。

9．不要从****系统的陌生人那里接受附件，比如ICQ或QQ中传来的东西。