蠕虫病毒是一种常见的计算机病毒,是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。当这些新的被蠕虫入侵的计算机被控制之后,蠕虫会以这些计算机为宿主继续扫描并感染其他计算机,这种行为会一直延续下去。
蠕虫病毒的独特性
蠕虫病毒传播与一般病毒不同,蠕虫病毒不需要将其自身附着到宿主程序,它是一种独立智能程序。一般有两种类型的蠕虫:主机蠕虫与网络蠕虫。
蠕虫病毒的历史
1975年,“蠕虫”一词最早出现在约翰·布伦纳(John Brunner)的小说《冲击波骑士》(The Shockwave Rider)中。在小说中,尼古拉斯·哈夫林格(Nicholas Haflinger)设计并引爆了一种收集数据的蠕虫,用来报复运营全国电子信息网络的人。
1982年,Shock和Hupp根据《冲击波骑士》(The Shockwave Rider)书中的概念提出了“蠕虫”程序的思想。他们论证了“蠕虫”程序不一定是有害的,可作为Ethernet网络设备的一种诊断工具。他可以像普通蠕虫一样传播,但不会造成伤害。
1988年11月2日,康奈尔大学计算机科学研究生罗伯特·塔潘·莫里斯(Robert Tappan Morris)释放了一种病毒,该病毒后来被称为“莫里斯蠕虫”(Morris worm)。他中断了大量计算机网络,预估为所有联网计算机的十分之一。莫里斯蠕虫促使了CERT协调中心和Phage邮件列表的诞生,而莫里斯本人也成为第一个根据1986年《计算机欺诈和滥用法案》而受审并被定罪的人。
蠕虫病毒的分类及传播过程
蠕虫主要通过寻找系统漏洞进行传播。他常驻于一台或多台计算机中,扫描其他计算机是否感染同种蠕虫,如果没有,就会感染该计算机。他可以通过不同的方式从一台计算机传播到另一台计算机,例如电子邮件附件、恶意链接或局域网等。以下是蠕虫最常见的分类和传播方式:
1.电子邮件蠕虫:电子邮件蠕虫通过创建邮件,将自身的副本附加到虚假电子邮件的附件中,发送到用户联系人列表中的所有地址。这些附件允许蠕虫在具有感染性的可执行文件中传播自身。感染用户系统后,他们会获取系统电子邮件的控制权,并在本地安装蠕虫副本,修改注册表,搜索本地及局域网中特定的文件,通过文件进行传播。
2.文件共享蠕虫:文件共享蠕虫将自身复制到共享文件夹中,并通过文件共享网络传播。用户下载共享文件,从而使蠕虫进入到计算机。蠕虫利用文件或者信息在系统中传播的特性,对计算机造成感染。
3.加密蠕虫:加密蠕虫会加密受感染设备上的文件,并要求受害者支付赎金以换取解密代码。一旦受害者的计算机上感染这种蠕虫,他就会对用户计算机、服务器或硬盘驱动器上的大量文件进行加密,阻止用户访问关键文件,警告用户必须通过支付费用换取私钥,否则会永久销毁文件。
4.即时通讯蠕虫:与恶意电子邮件附件类似,即时消息中有伪装成无害链接或附件的蠕虫,通过发送消息,将蠕虫传播到受感染者的联系人列表。
如何预防蠕虫病毒
预防蠕虫的关键在于计算机系统的防御性能以及个人安全意识,建议采取如下手段防御蠕虫攻击。
- 安装防火墙和防病毒软件,并及时更新病毒特征库。
- 从官方市场下载正版软件,及时给操作系统和其他软件安装补丁。
- 为计算机系统账号设置密码,加强个人账户信息的安全意识,使用字符、大小写字母、数字的组合方式设置密码,及时删除或禁用过期账号。
- 在打开任何移动存储器前用杀毒软件进行检查。
- 定期备份电脑、手机的系统和数据,留意异常告警,及时进行修复。
- 执行或安装新软件前,先使用杀毒软件对新软件进行扫描。
- 不要打开来历不明的网页、邮箱链接或短信中的链接。
- 不要打开QQ等聊天工具上收到的不明文件。
- 不要轻信浏览网页时弹出的支付风险、垃圾、漏洞等提示。
蠕虫病毒攻击事件
蠕虫自互联网诞生以来就已经存在。有些蠕虫导致了大量的网络和业务中断,造成严重影响。以下列举一些近年来著名的蠕虫攻击事件:
- 莫里斯蠕虫(Morris)莫里斯蠕虫首次被发现于1988 年,被广泛认为是第一个计算机蠕虫。他针对不同UNIX系统的漏洞,多次感染系统,影响了大量的UNIX系统。其目的不是破坏,而是耗尽资源,对当时的计算机网络造成了严重破坏。
- 我爱你蠕虫(ILOVEYOU)我爱你蠕虫首次被发现在2000年的电子邮件中,以ILOVEYOU标题出现,并携带脚本附件“LOVE-LETTER-FOR-YOU.TXT.vbs”,该脚本在Microsoft Outlook中运行并默认启用,且添加Windows 注册表数据以在系统启动时自动启动,使用自身副本替换计算机中的其他文件,同时附加文件扩展名VBS,并将其他文件隐藏。然后,通过邮件地址列表再次发送其副本,造成再次传播。
- 震网蠕虫(Stuxnet)震网蠕虫首次被发现在2010年,他由两个部分组成,分别是针对监控和数据采集系统的恶意软件,以及通过感染USB设备传播恶意软件的蠕虫。震网蠕虫利用Windows操作系统的缺陷进行传播,最终导致核离心机发生故障。
- WannaCry(Wanna Decryptor)WannaCry蠕虫首次被发现在2017年,是一款蠕虫勒索式恶意软件,利用Windows系统远程安全漏洞进行传播。WannaCry会扫描开放445文件共享端口的Windows计算机,无需用户任何操作,只要开机上网,就能在存在漏洞的计算机或服务器中植入恶意程序。当侵入组织或机构内部时,WannaCry会不停地探测存在漏洞的计算机,并感染他们,因此受感染的计算机数量飞速增长。当计算机被感染后,WannaCry勒索蠕虫会锁定该计算机,并加密包括照片、图片、文档、压缩文件、音频、视频、可执行程序等多种类型的文件。加密成功后,蠕虫制造者向受害者勒索比特币进行文件解密,否则进行文件销毁。
