蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,它是一种独立智能程序。网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,无须计算机使用者干预即可运行的攻击程序或代码,它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点。下面介绍几种典型的蠕虫病毒以及网络蠕虫的检测技术。
一、莫里斯蠕虫
莫里斯是美国一所大学的研究生,由于父亲是贝尔实验室的研究员,因此他从小就开始接触计算机和网络,对Linux系统非常了解。不可否认的是他对那种能够控制整个网络的程序非常着迷,于是当他发现了当时操作系统中存在的几个严重漏洞时,便开始着手编写"莫里斯蠕虫",这种蠕虫没有任何实用价值,只是利用系统的漏洞将自己在网络上进行复制。由于莫里斯在编程中出现了一个错误,将控制复制速度的变量值设得太大,从而造成了蠕虫在短时间内迅速复制,最终使大半个互联网陷入了瘫痪。由于这件事情影响太大,社会反响非常强烈,因此作者本人也受到了法律制裁。从此以后,蠕虫也是一种病毒的概念被确立起来,而这种利用系统漏洞进行传播的方式就成了现在蠕虫病毒的主要传播方式。
二、熊猫烧香
熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。而大多数是中等病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
三、震网Stuxnet
Stuxnet 是一种计算机蠕虫,大约写于 2005 年到 2010 年之间。这种蠕虫一开始可能只存在于 U 盘里,有人捡到或收到邮寄来的 U 盘,然后插到电脑上看看有什么在里面。当 U 盘插到 Windows PC,它会悄悄运行拷贝到机器上。它有三种运行方法,如果一种无效就切换到另一种。至少两种方法在当时没人知道,它利用了两种 Windows 0day 漏洞。一旦蠕虫在计算机上运行,它会尝试获得管理员权限,不管机器上是否安装杀毒软件。它能绕过大部分杀毒软件,然后根据运行的 Windows 版本利用两种方法之一获取管理权限。它能隐藏痕迹,杀毒软件无法探测到它的存在。它会检查计算机有没有联网,如果能联网,它会尝试访问 http://www.mypremierfutbol.com 或 http://www.todaysfutbol.com。当时这两个网站服务器托管在马来西亚和丹麦。在很长一段潜伏期以后,最终震网病毒通过感染伊朗核设施中的工业控制程序,取得关键设备的控制权,并进行伪装。核工厂的正常运作离不开离心机的正常运转,而震网病毒就是为了破坏离心机而生。导致伊朗的核工业部门才不得不停止核工厂的运转。人们普遍认为是美国和以色列为了扼制伊朗发展核武器发动了此次攻击。
四、网络蠕虫的检测技术
1.基于特征串匹配的检测
在网络中捕获流经网络出入口的所有数据包,根据已掌握的网络蠕虫的特征串或规则表达式对数据包进行扫描匹配。
2.基于关联分析的检测
在基于蠕虫目标选择研究的基础上,通过收集计算机和网络活动的数据以及它们之间的连接等信息来检测。
3.基于扫描行为的检测
在网络中网络蠕虫通常会盲目地利用随机扫描、分解扫描、混合扫描或完全扫描等方式扫描大量的IP地址为寻找易攻击的目标,从而.导致网络充斥大量的扫描数据包,在一定程度上引起网络异常,因此通过检测网络数据的异常可检测网络蠕虫,一般通过监测网络中的ICMP-T3、TCP- SYN、TCP-RST报文来实现。
4.基于人工智能技术的检测
近些年迅猛发展的人工智能技术也被用于网络蠕虫的检测,常见的有基于神经网络和基于免疫系统的网络蠕虫检测。
相关信息来源:网络
网络蠕虫的检测技术研究[J]. 张宏琳. 电子世界. 2014(10)
https://www.zhihu.com/question/316942202/answer/629193189