蠕虫病毒

蠕虫语病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。

蠕虫病毒是自金电包含的程序(或是一套程序),它能来自传播它自身功能的拷贝或它的某些360百科部分到其他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，蠕虫病毒一般是通过1434端口漏洞传播。

比如近几年危害很大的"尼姆亚"病毒就是蠕虫病毒套钟单值八的一种，2007年1月流行的充洋量达汽"熊猫烧香"以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统(windows系统)的漏洞，计算机蛋胶新观修取政感染这一病毒后，会不断自动拨号上网，并利用文件广营胜己中的地址信息或者网络共享进行传播，最终破坏用户来盐情二吧认绍假的大部分重要数据。

• 中文名 蠕虫病毒
• 类型 计算机病毒
• 传播方式 利用网络进行复制和传播
• 传染途径 网络和电子邮件
• 本质 自包含的程序

形成原因

漏洞攻击

　　利用操作系统松放和应用程序的漏洞来自主动进行攻击此类病毒主要是"红注婷挥皮色代码"和"尼姆亚"，以及依然肆虐的"求职信"等。由于IE浏览器的漏洞(IFRAMEEXECCOMMAND)，360百科使得感染了"尼姆亚"病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即觉导直是四零便是很多防病毒专家也一直认为，带有病毒附件的邮件，只神运往白移承夜引就极氧要不去打开附件，病毒不会有危害。"红色代码"是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫夫知度效王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。

蠕虫病毒

方式多样

　　科显示样章理弱感选二态如"尼姆亚"病毒和"求职信"病毒，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。

新技术

　　与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技台肉吗波活包皮置术实现的，易于修改以产朝构散生新的变种，从而逃避反病毒软件的搜索。另外，新病毒充检胡和核九利用Java、Active虽械德笑附否女主者观久X、VBScript等技术，可以潜伏在HTML页面里，在上网浏览时触发。

黑客技术

　　与黑客技术相结合，潜在的威胁和损失更大

　　以红色代码为例，感染后的机器的web目录的\scripts下将生成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入。蠕虫和普通病毒不同的一个特征是蠕虫病毒往往势随见思计杆两白验能够利用漏洞，这稳燃度洲预组兵去升里的漏洞或者说是缺陷，可以分为两种，即软件上的缺陷和人为的缺陷。软件上的缺陷，如远程溢出、微软IE务均联限映识和Outlook的自动执行漏洞等等，需要软件厂商和用户共同配合，不断地升级软件。而人为的缺陷，主要指的是计算机用户的疏忽。这就是所谓的社会工程学(socialengineering)，当收到一封邮件带着病毒的求职信邮件时候，大多数人都会抱着好奇去点击的。对于企业用户来说，威胁主要集中在服务器和大型应用软件的安全上，班消每责输械皮阿胞长而对个人用户而言，主要是防范第二种缺陷。

蠕虫病毒

　　在以上分析的蠕虫病毒中，只对安装了特定的微软组件的系统进行攻击，而对广大个人用户而言，是不会安装IIS(微软的因特网服务器程序，可以允许在网上提供web服务)或者是庞大的数据库系统的。因此，上述病毒并不会直接攻击个人用户的电脑(当然能够间接的通过网络产生影响)。但接下来分析的蠕虫病毒，则是对个人用户威胁最大，同时也是最难以根除，造成的损失也更大的一类蠕虫病毒。对于个人用户而言，威胁大的蠕虫病毒采取的传播方式，一般为电子邮件(Email)以及恶意网页等等。 对于利用电子邮件传播的蠕虫病毒来说，通常利用的是各种各样的欺骗手段诱惑针妈现脸司促小陈用户点击的方式进名执英刘越些行传播。恶意网页确切地讲是一段黑客破坏代阳艺指码程序，它内嵌在网页中，当钢群茶右坐抓赵用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂，所以会被很多怀不良企图者利用，在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛，并提供破坏程序代码下载，从而造成了恶意网页的大面积泛滥，也使越来越多的用户遭受损失。对于恶意网页，常常采取vbscript和javascript编程的形式，由于编程方式十分的简单，所以在网上非常的流行。

　　Vbscript是由微软操作系统的wsh(WindowsScriptingHostWindows脚本主机)解析并执行的，由于其编程非常简单，所以此类脚本病毒在网上疯狂传播，疯狂一时的爱虫病毒就是一种vbs脚本病毒，然后伪装成邮件附件诱惑用户点击运行。更为可怕的是，这样的病毒是以源代码的形式出现的，只要懂得一点关于脚本编程的人就可以修改其代码，形成各种各样的变种。

背景信息

　　计算机蠕虫(Worm)与病毒、木马等类似，都是在用户不知情的情况下，偷偷执行预期外的恶意行为，以达到破坏电脑环境、窃取用户信息或传播自身等操作。

　　从传播方式上来说，病毒和木马需要破坏者进行主动的传播;感染型病毒可以搜索并感染同一台电脑上能够访问到的其它文件。与它们不同的是，蠕虫的主要行为是努力通过各种途径将自身或变种传播到其它电脑终端上，因此可能造成更广泛的危害。

　　蠕虫的传播方式有:通过操作系统漏洞传播、通过电子邮件传播、通过网络攻击传播、通过移动设备进行传播、通过即时通讯等社交网络传播。

　　除此之外，蠕虫通常还会在传播的同时执行一些其它的恶意行为，以达到自己的目的。

行为查杀

龙载调续宁谁买皮和革恶意行为

　　样本会在QQ群共享文件中上传诱导性的网站链接。如果用户被其欺骗，则会点击进入蠕虫的诱导下载网站，此时不来自管用户点击什么位置，都会触发蠕360百科虫的下载，得到一个压缩包。虽然压缩包不大，仅有1、2M，但是会解压出一个100多M的巨加字朝学也季尼物大的可执行文件。在QQ群下载的分享文件打开后会跳转到色情网站。不仅会感染PC，安卓手机甚至未越狱的iPhone和iPad也无法不稳周幸免。

　　安全专家分析后发现州岩效血，在PC端，该蠕虫病毒会下载大量流氓软件，试图欺骗网友安装;而在Android手机上则会于亚院如官干树延攻弹出全屏广告，并在后台偷偷下载拉修境密清谈定福色情应用，严重影响手机的正常使用;一向"百毒不侵"的iOS也未能幸免，同样会出现全屏广告，诱导用户下载应用。

　　这是因为蠕虫会在自身中填充大量的无用数据，用于改变自己的指纹，从而对抗杀毒软件的云查杀策略。

　　解压出来的可执行文件拥花有一个诱惑的名称，并且为了迷惑用户，还会使用一些安全软件常见的信息和数字签名来伪装自己。

　　当蠕虫运行起给来之后，会使用特殊技术手段，尝试获取临时的QQ权限。值得一提的是，虽然QQ已经采用了很多方式来对抗这种非法的访问请求，还给网页加上了验证码等限制，但是此蠕虫会利用打码组件乙左秋绿级略自动识别验证码，在用户还未察觉的情况下绕过这些限制。

　　当蠕虫拿到临时QQ权限之后，会主动上传色情链接文件到用户QQ群共享空间，等到群里的其他用户成员看到之后点击进入蠕虫诱导下载网站，完成下一次的传播，从费功落内齐而使越来越多的用户中毒。

查杀

　　哈勃文件分析系统能够对该类样本进行安全警示。

　　腾讯电脑管家能对该类样顺组海有鲁委困倍本准确识别和查杀。

　　360杀毒、360安全卫士能对该类样本准确识别和查杀和安全警示。

或项可续象形达青查杀软件

病毒

　　是一种利用QQ群或网络文件共享漏洞传播流氓软件和变果接多哥兰底迅司即劫持IE主页的恶意程序，QQ群用户一旦感染了该蠕虫病毒，便会向其他QQ群内上传该病毒。2013年4月，"QQ群蠕虫病毒"第三代变种伪般程谓便组月将计机侵装成"刷钻软件"大量传播，用钟亮本打杀愿每天中毒的电脑达到2-3万台，通过腾讯电脑管家、金山等安全厂商的联合打击，第三代QQ群蠕虫基本已经在网络上销声匿迹。腾讯电脑管家云安全检测中心发布消息，发现"QQ群蠕虫病毒"第四代伪装成"视频偷窥软件"正大肆传播，某安全软件以对此病毒发布橙色预警准边范调探先开力苏植化并进行查杀。

　　安全软件专家介绍， "QQ群蠕虫病毒"第四代多以"XX视频助手.exe "或 "XX视频偷看神器.exe"关既个财绍拿为伪装，由于文件名极具训皮诱惑性，吸引了大量网民点击。

　　如果网民信以为真，双击运行，蠕虫病毒就会劫持网民的QQ，把推广消息转发到QQ群共享和空间说说，甚至发送病毒邮件给好友。 该病毒的最终目的是在中毒电脑上安装一大堆流氓软件以牟取暴利。

　　"QQ群蠕虫病毒"第四代利用大众猎奇心理，将病毒程序改名为偷窥管家，以欺骗点击。已知的病毒传播渠道除了QQ群、电子邮件等常见载体外，还在视频网站上也做了一系列的"教程"视频以诱导网民强行下载使用。

比较异同

　　蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为"宿主"，例如，windows系统下可执行文件的格式为pe格式(Portable Executable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，再把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。

　　随着网络和病毒编写技术的发展，综合利用多种途径的蠕虫也越来越多，比如有的蠕虫病毒就是通过电子邮件传播，同时利用系统漏洞侵入用户系统。还有的病毒会同时通过邮件、聊天软件等多种渠道传播。

熊猫烧香

　　病毒名称:熊猫烧香

熊猫烧香蠕虫病毒

　　Worm.WhBoy.(金山称)，Worm.Nimaya. (瑞星称)

　　病毒别名:尼姆亚，武汉男生，后又化身为"金猪报喜"，国外称"熊猫烧香"

　　危险级别:★★★★★

　　病毒类型:蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。

　　影响系统:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista

　　发现时间:2006年10月16日

　　来源地:中国武汉东湖高新技术开发区关山

　　"熊猫烧香"还可以通过共享文件夹、系统弱口令等多种方式进行传播。

　　金山分析:这是一个感染型的蠕虫病毒，它能感染系统中exe,com,pif,src,html,asp等文件，它还能中止大量的反病毒软件进程

　　1.拷贝文件

　　病毒运行后，会把自己拷贝到

　　C:\WINDOWS\System32\Drivers\spoclsv.exe

　　2.添加注册表自启动

　　病毒会添加自启动项

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe

　　3.病毒行为

　　a:每隔1秒

　　寻找桌面窗口，并关闭窗口标题中含有以下字符的程序

　　QQKav

　　QQAV

　　防火墙

　　进程

　　VirusScan

　　网镖

　　杀毒

　　毒霸

　　瑞星

　　江民

　　黄山IE

　　超级兔子

　　优化大师

　　木马克星

　　木马清道夫

　　QQ病毒

　　注册表编辑器

　　系统配置实用程序

　　卡巴斯基反病毒

　　Symantec AntiVirus

　　Duba

　　esteem proces

　　绿鹰PC

　　密码防盗

　　噬菌体

　　木马辅助查找器

　　System Safety Monitor

　　Wrapped gift Killer

　　Winsock Expert

　　游戏木马检测大师

　　msctls_statusbar32

　　pjf(ustc)

　　IceSword

　　并使用的键盘映射的方法关闭安全软件IceSword

　　添加注册表使自己自启动

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe

　　并中止系统中以下的进程:

　　Mcshield.exe

　　VsTskMgr.exe

　　naPrdMgr.exe

　　UpdaterUI.exe

　　TBMon.exe

　　scan32.exe

　　Ravmond.exe

　　CCenter.exe

　　RavTask.exe

　　Rav.exe

　　Ravmon.exe

　　RavmonD.exe

　　RavStub.exe

　　KVXP.kxp

　　kvMonXP.kxp

　　KVCenter.kxp

　　KVSrvXP.exe

　　KRegEx.exe

　　UIHost.exe

　　TrojDie.kxp

　　FrogAgent.exe

　　Logo1_.exe

　　Logo_1.exe

　　Rundl132.exe

　　b:每隔18秒

　　点击病毒作者指定的网页，

　　并用命令行检查系统中是否存在共享

　　共享存在的话就运行net share命令关闭admin$共享

　　c:每隔10秒

　　下载病毒作者指定的文件，

　　并用命令行检查系统中是否存在共享

　　共享存在的话就运行net share命令关闭admin$共享

　　d:每隔6秒

　　删除安全软件在注册表中的键值

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　RavTask

　　KvMonXP

　　kav

　　KAVPersonal50

　　McAfeeUpdaterUI

　　Network Associates Error Reporting Service

　　ShStartEXE

　　YLive.exe

　　yassistse

　　并修改以下值不显示隐藏文件

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

　　CheckedValue -> 0x00

　　删除以下服务:

　　navapsvc

　　wscsvc

　　KPfwSvc

　　SNDSrvc

　　ccProxy

　　ccEvtMgr

　　ccSetMgr

　　SPBBCSvc

　　Symantec Core LC

　　NPFMntor

　　MskService

　　FireSvc

　　e:感染文件

　　病毒会感染扩展名为exe,pif,com,src的文件，把自己附加到文件的头部

　　并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址，

　　用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到

　　增加点击量的目的，但病毒不会感染以下文件夹名中的文件:

　　WINDOW

　　Winnt

　　System Volume Information

　　Recycled

　　Windows NT

　　WindowsUpdate

　　Windows Media Player

　　Outlook Express

　　Internet Explorer

　　NetMeeting

　　Common Files

　　ComPlus Applications

　　Messenger

　　InstallShield Installation Information

　　MSN

　　Microsoft Frontpage

　　Movie Maker

　　MSN Gamin Zone

　　g:删除文件

　　病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件

　　使用户的系统备份文件丢失.

　　瑞星最新病毒分析报告:"Nimaya(熊猫烧香)"

　　这是一个传染型的DownLoad 使用Delphi编写

传播途径

　　蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传 播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!本文中将蠕虫病毒分为针对企业网络和个人用户2类，并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施。防止系统漏洞类蠕虫病毒的侵害，最好的办法是打好相应的系统补丁，可以应用瑞星杀毒软件的"漏洞扫描"工具，这款工具可以引导用户打好补丁并进行相应的安全设置，彻底杜绝病毒的感染。 通过电子邮件传播，是病毒作者青睐的方式之一，像"恶鹰"、"网络天空"等都是危害巨大的邮件蠕虫病毒。这样的病毒往往会频繁大量的出现变种，用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。

蠕虫病毒

防范措施

　　蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件，防范邮件蠕虫的最好办法 ，就是提高自己的安全意识，不要轻易打开带有附件的电子邮件。另外，可以启用瑞星杀毒软件的"邮件发送监控"和"邮件接收监控"功能，也可以提高自己对病毒邮件的防护能力。

　　从2004年起，MSN 、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。"性感烤鸡"病毒就通过MSN软件传播，在很短时间内席卷全球，一度造成中国大陆地区部分网络运行异常。

　　对于普通用户来讲，防范聊天蠕虫的主要措施之一，就是提高安全防范意识，对于通过聊天软件发送的任何文件，都要经过好友确认后再运行;不要随意点击聊天软件发送的网络链接。

　　病毒并不是非常可怕的，网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞!所以防范此类病毒需要注意以下几点:

　　1、选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的"文件级实时监控系统"落伍，杀毒软件必须向内存实时监控和邮件实时监控发展!另外，面对防不胜防的网页病毒，也使得用户对杀毒软件的要求越来越高!

　　2、经常升级病毒库，杀毒软件对病毒的查杀是以病毒的特征码为依据的，而病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒。3、提高防杀毒意识。不要轻易去点击陌生的站点，有可能里面就含有恶意代码!

蠕虫病毒

　　当运行IE时，点击"工具→Internet选项→安全→ Internet区域的安全级别"，把安全级别由"中"改为"高" 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止，就可以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击"工具"→"Internet选项"，在弹出的对话框中选择"安全"标签，再点击"自定义级别"按钮，就会弹出"安全设置"对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择"禁用"。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。

　　4、不随意查看陌生邮件，尤其是带有附件的邮件。由于有的病毒邮件能够利用ie和outlook的漏洞自动执行，所以计算机用户需要升级ie和outlook程序，及常用的其他应用程序。

　　最新蠕虫病毒"蒙面客"被发现，可泄漏用户隐私

造成损失

　　1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络;而后来的红色代码，尼姆达病毒疯狂的时候，造成几十亿美元的损失;北京时间2003年1月26日，一种名为"2003蠕虫王"的电脑病毒迅速传播并袭击了全球，致使互联网网路严重堵塞，作为互联网主要基础的域名服务器(DNS)的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障!专家估计，此病毒造成的直接经济损失至少在12亿美元以上!

　　病毒名称初始出现日期造成损失

　　莫里斯蠕虫1988年 6000多台计算机停机，直接经济损失达9600万美元!

　　美丽杀手1999年 政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元!

　　爱虫病毒2000年5月至今 众多用户电脑被感染，损失超过100亿美元以上

　　红色代码2001年7月 网络瘫痪，直接经济损失很大

　　求职信2001年12月至今 大量病毒邮件堵塞服务器，损失达数百亿美元

　　Sql蠕虫王2003年1月 网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元

　　2号病毒2012年3月 北京某公司内部网络大面积瘫痪，公司紧急关闭网络服务器，直接经济损失无法估算，大量内部机密文件丢失外漏。

最新变种

变种介绍

　　国家计算机病毒应急处理中心通过对互联网的监测发现，2013年3月，蠕虫病毒Worm_Vobfus及其变种出现，提醒用户小心谨防。

　　该蠕虫及其变种利用社会工程学通过社交网站进行传播，诱骗计算机用户点击下载从而感染操作系统，还会通过加入垃圾代码和修改代码的方式来不断生成新的变种。

　　该蠕虫及其变种一旦感染操作系统，会进行如下的恶意行为:

　　1、在所有可移动设备上释放自身副本。这些副本名字会使用受感染操作系统上的文件夹和文件，其扩展名分别:avi、bmp、doc、gif、txt、exe等等;

　　2、隐藏上面列举类型的原始文件和文件夹，致使计算机用户将病毒文件误认为正常文件而点击;

　　3、释放一个自启动配置文件，文件名:autorun.inf，当可移动设备安装成功后，自动运行恶意文件;

　　4、部分变种会利用快捷方式漏洞MS10-046自动运行恶意文件，其扩展名分别是.lnk和.dll ;

　　5、蠕虫变种会连接恶意Web站点，下载并执行恶意软件;

　　6、某些变种会连接互联网络中指定的服务器，从而与一个远程恶意攻击者进行互联通讯。

防范措施

　　对已经感染该蠕虫及其变种的计算机用户，专家建议立即升级系统中的防病毒软件，进行全面杀毒。未感染的用户建议打开系统中防病毒软件的"系统监控"功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。