局域网蠕虫病毒的传播方式和保护方法

局域网蠕虫病毒的传播方式和保护方法

近来，威金(w32.looked系列)、熊猫烧香（w32.fujacks系列）等局域网蠕虫病毒大肆流行，这种病毒具有传播速度快，覆盖面广，破坏性大，自我恢复功能强等特点，并且还会自动连接到Internet升级变种并下载其它木马和恶意软件，给广大计算机用户带来了很大的麻烦。良好的基本安全习惯配合具有最新病毒定义和扫描引擎的杀毒软件，能够最大限度地保护您的电脑不受此类蠕虫病毒的影响，以及重复感染。了解蠕虫病毒的在局域网内传播机制，能让我们采用更有针对性的防护，下面就介绍这种局域网蠕虫的传播机制和保护方法：局域网蠕虫的传播安先后顺序分为扫描、攻击、复制三个过程。假设您局域网中有一台电脑感染了蠕虫，而这台脑又没有安装杀毒软件或者杀毒软件的病毒定义比较旧，没有办法检测出这个蠕虫病毒，那么它就会成为一个局域网内的攻击源。

第一步：扫描的过程就是用扫描器扫描主机，探测主机的操作系统类型、版本，主机名，用户名，开放的端口，开放的服务，开放的服务器软件版本等。这一过程中，扫描的范围一般是随机选取某一段IP地址，然后对这一地址段上的主机扫描。但是有些蠕虫会不断的重复扫描过程，就会造成发送大量的数据包，造成网络拥塞，影响网络通信速度等危害。但是这样，管理员也会很快找出感染源所在的地址，因此有些蠕虫会有意的减少数据发送量，包括不重复扫描几次以上，随机选择扫描时间段，随机选择小段IP地址段等等。根据扫描返回的结果确定可以攻击的电脑。

第二步：攻击的过程一般分为两种类型。一种是利用漏洞的攻击，如果扫描返回的操作系统信息或者某些软件的信息是具有漏洞的版本，那么就可以直接用对该漏洞的攻击代码获得相应的权限。例如利用windows的MS04-011漏洞的震荡波（w32.sasser系列）病毒，利用MS06-040漏洞的魔鬼波

（w32.ircbot系列）等。另外一种就是基于文件共享和弱密钥的功击，这种攻击需要根据搜集的信息试探猜测用户密码，一般的蠕虫都有试探空密码，简单密码，与已知密码相同密码等机制。猜出正确的密码后也就有了对远端主机的控制权。威金、熊猫烧香等病毒都基于这种攻击方式。

第三步：复制的实际上就是一个文件传输的过程，就是用相应的文件传输的协议和端口进行网络传输。

为了防止您的电脑受到局域网蠕虫病毒的攻击而感染此类病毒，赛门铁克现建议用户采取以下基本安全措施：1）开启个人防火墙：无论是SCS的防火墙，还是其它安全厂商的个人防火墙，还是windows系统自带的防火

墙，都可以对扫描、攻击、复制三个过程起到保护的

作用。例如，在一般的默认规则下，供击者扫描后不

会得到返回结果；攻击代码不会到达被防火墙保护的

电脑；无法向被防火墙保护的电脑复制病毒文件等。

如果管理员根据公司的应用情况和针对某类病毒，设

定诸如一些协议、端口、程序、入侵检测等的防护规

则，其防护效果就会更佳。

2）尽量关闭不需要的文件共享。除了用户自行设定的共享文件windows操作系统一般都有C$, D$,ADMIN$,

IPC$等默认的共享，而一般情况下普通用户不一定需

要用到这些共享。如果把这些共享属性去掉，或者只开放只读权限，那么病毒文件就无法复制到本地。3）强制执行密码策略。检查本机所使用的账户，删除不需要的账户。对于必需的账户使用复杂的密码，不要使用与它人相同的密码。尤其是域用户，需要对本机的管理员账户设定强密码。

4）及时打上所有操作系统的安全补丁，以及其它软件的安全补丁，例如打上微软的针对震荡波（w32.sasser）的 MS04-011补丁，以阻止基于漏洞的攻击。

5）对于一些比较重要的电脑，有必要经常作一些维护工作。例如定期检查服务、进程、注册表中是否有可疑项。并关闭或删除不需要的服务或者启动项。默认情况下，许多操作系统会安装不危险的辅助服务，如

FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们，就减少了蠕虫用于攻击的途径，并且在补丁程序更新时也减少了需要维护的服务。

6）对于已经受到感染，并确认是感染源的电脑，有必要把它从网络中隔离，以防止其进一步感染其它的电

脑。进行杀毒以后，再放到局域网中。

7）教育员工不要打开来路不明的邮件附件，也不要执行从 Internet 下载后未经病毒扫描的软件，或者访问可

疑的网页，对于移动硬盘等，需要先进型病毒扫描后打开。事实上，局域网内的第一台受感染的电脑往往是通过这些渠道感染病毒的。例如，熊猫烧香的病毒就可以通过受感染Internet网页和移动硬盘的自动播

放属性来传染电脑。

8）针对主机和关健的应用系统，提供深层次的保护。例如主机入侵检测和关键系统的实时防护。

如何干净清除病毒

如何干净清除病毒, 一些通用清除病毒方法(推荐) 本文只是针对常见的已知病毒的一些通用的基本的清除方法，并不专门讨论针对某种或者某类病毒的清除方法，如果按照这些清除方法仍不能干净清除病毒，请参见相关的文章。 一、使用正确的杀毒方法 1、在安全模式或纯DOS模式下清除病毒 当计算机感染病毒的时候，很多人都会图方便，在正常模式下清除病毒，但这种方法往往是不能干净清除病毒的。 这里说的正常模式准确的说法应该是实模式（Real Mode），这里通俗点说了。其包括正 常模式的Windows和正常模式的Windows下的"MS-DOS方式"或"命令提示符"。 在正常模式下，由于带毒的文件正在运行，是无法对这些文件直接进行操作的。从现今的反病毒技术和病毒来看，绝大部分病毒都不可能在正常模式下简单的就可以彻底清除了的。很多一些朋友误以为只要装上反病毒软件，软件可以彻底清除计算机上的病毒，当病毒无法彻底清除的时候就认为软件不好，这是很错误的！ 建议在查杀病毒的时候，要在安全模式（Safe Mode）或者纯DOS下进行清除。特别的，对于现在大多数流行的病毒，如蠕虫病毒、木马程序和网页代码病毒等，都可以在安全模式下清除，不必要像以前那样必须要用软盘启动杀毒；但对于一些引导区病毒和感染可执行文件的病毒才需要在纯DOS下杀毒（建议用干净软盘启动杀毒）。而且，当计算机原来就感染了病毒，那就更需要在安装反病毒软件后（升级到最新的病毒库），在安全模式（Safe Mode）或者纯DOS下清除一遍病毒了！ 2、不建议使用网页在线杀毒 我想这也是很多朋友使用的杀毒方法，其实这种方法也是和上述的一样，同样无法彻底清除病毒，同时，由于利用了IE的特殊功能，会带来更多的安全隐患，而且一般反病毒厂商也不会提供全面的病毒库文件，所以这种方法充其量只能查出计算机上是否感染流行的病毒，而不能实际的进行清除病毒。而且，换个角度来看，如果这样就能干净清除病毒的话，那么厂商就没必要销售反病毒软件了。^o^ 二、带毒文件存在于特定的目录或文件中的清除方法 这里所说的是由于某些目录和文件的特殊性，无法直接清除（包括安全模式下杀毒等一些方式杀毒），而需要某些特殊手段清除的带毒文件。以下所说的目录均包含其下面的子目录。 1、带毒文件在\Temporary Internet Files目录下 由于这个目录下的文件，Windows会对此有一定的保护作用（未经证实）。 所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭IE等一些程序软件，然后选择IE中的"工具"\"Internet选项"，选择"删除文件"删除即可，如果有提示"删除所有脱机内容"，也请选上一并删除。 2、带毒文件在\_Restore目录下，*.cpy文件中 这是系统还原存放还原文件的目录，只有在装了Windows Me/XP操作系统上才会有这个目录，由于系统对这个目录有保护作用。 对于这种情况需要先取消"系统还原"功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。

蠕虫病毒的症状

蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其蠕虫病毒 他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。 --------下面是蠕虫病毒的症状看看是不是蠕虫病毒------- 病毒类型：蠕虫病毒 攻击对象：Windows NT 4.0，Windows 2000，Windows XP，Windows Server 2003等传播途径：“冲击波”是一种利用Windows系统的RPC(远程过程调用，是一种通信协议，程序可使用该协议向网络中的另一台计算机上的程序请求服务)漏洞进行传播、随机发作、破坏力强的蠕虫病毒。它不需要通过电子邮件(或附件)来传播，更隐蔽，更不易察觉。它使用IP扫描技术来查找网络上操作系统为Windows 2000/XP/2003的计算机，一旦找到有漏洞的计算机，它就会利用DCOM(分布式对象模型，一种协议，能够使软件组件通过网络直接进行通信)RPC缓冲区漏洞植入病毒体以控制和攻击该系统。 如果真的是蠕虫病毒的话,可以按下面的方法操作: 1.中止进程 按“Ctrl+Alt+Del”组合键，在“Windows 任务管理器”中选择“进程”选项卡，查找“msblast.exe”(或“teekids.exe”、“penis32.exe”)，选中它，然后，点击下方的“结束进程”按钮。 提示：如不能运行“Windows 任务管理器”，可以在“开始→运行”中输入“cmd”打开“命令提示符”窗口，输入以下命令“taskkill.exe /im msblast.exe”(或“taskkill.exe /im teekids.exe”、“taskkill.exe /im penis32.exe”)。 2.删除病毒体 依次点击“开始→搜索”，选择“所有文件和文件夹”选项，输入关键词“msblast.exe”，将查找目标定在操作系统所在分区。搜索完毕后，在“搜索结果”窗口将所找到的文件彻底删除。然后使用相同的方法，查找并删除“teekids.exe“和“penis32.exe”文件。 提示：在Windows XP系统中，应首先禁用“系统还原”功能，方法是：右击“我的电脑”，选择“属性”，在“系统属性”中选择“系统还原”选项卡，勾选“在所有驱动器上关闭系统还原”即可。 如不能运行“搜索”，可以在“开始→运行”中输入“cmd”打开“命令提示符” 窗口，输入以下命令： “del 系统盘符winntsystem32msblast.exe”(Windows 2000系统)或“del系统盘符windowssystemmsblast.exe”(Windows XP系统) 3.修改注册表 点击“开始→运行”，输入“regedit”打开“注册表编辑器”，依次找到“HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun”，删除“windows auto update=msblast.exe”(病毒变种可能会有不同的显示内容)。 4.重新启动计算机 重启计算机后，“冲击波”(也就是蠕虫病毒)病毒就已经从系统中完全清除了。

无线局域网安全隐患与防范措施

无线局域网安全隐患分析及对策 摘要：随着无线网络的不断发展，其安全性正面临着严峻挑战，无线网络的安全已成为十分重要的研究课题．介绍无线局域网的特点，分析其安全隐患，并给出安全对策．经过实践验证，效果较为理想． 关键词：无线局域网；网络安全；对策 近年来，随着我国网络技术的发展与普及，无线网络也呈现出突飞猛进的态势．目前，虽然无线局域网还要依靠有线网络，但无线网产品也逐渐走向成熟，在实际网络应用中发挥其特有的灵活性和便捷性． 1 无线局域网特点 无线局域网是计算机网络技术和无线通信技术相结合的产物，是在有线局域网的基础之上，通过添加无线访问点、无线网桥等硬件设备实现对有线网络扩充．与传统的有线网相比，无线网最大的优势在于不受地理位置的限制，能到特定区域内随时随地上网．具体表现为：(1)移动性 在无线局域网中，无线网卡体积小且携带方便，利用它就可以很方便地组建网络．另外只要在天线信号覆盖区域内，可以使用户随时随地地接人Intemet．而对于有线网络，其限定了用户的使用范围，用户只能在固定的位置接人Intemet． (2)易节约、易扩展 缺乏灵活性是有线网络的不足点．在建设有线网络的规划中，考虑到以后网络扩展，往往在主干线路实施方面投入了大量的建设投资．而WLAN能够根据需要灵活选择配置方式，能够根据实际需要灵活选择网络覆盖的范围及相关容量． (3)组建简单 无线网是以空气为介质进行数据传输，因此就省去了有线网烦琐的网络布线与施工等工作．一艘隋况下，组建一个区域的无线网络，只需安装一个或多个无线接人点设备． 2 无线局域网安全隐患 安全一直是网络通信的重要问题，由于无线局域网自身的特点，安全问题就显得更为重要．与有线网络不同，无线网是在开放的环境下以空气为介质进行数据的传输，非法用户可以通过相关网络软件在接入点覆盖范围内轻易获取传输数据，因而信息容易被窃取．由于WLAN开放的传输介质使其很易遭到攻击，其安全隐患表现在以下几个方面： (1)信息易受窃听 WLAN采用2．4 GHz范围的无线电波进行通信，而且信道是开放的，窃听者只要有带无线网卡的客户机或无线扫描器，就可获取数据或对数据进行分析，获取有用信息，不能有效阻止窃听者的窃听．或者通过软件对无线网卡的标准NIC信息进行修改，也能获得相关有用信息．(2)篡改信息 在WLAN应用过程中，发射功率大的网络节点可以覆盖发射功率小网络节点，这样，窃听者在节点间传送的数据时进行篡改数据，进而产生错误信息．因此，窃听者可以通过增加天线发射功率，使较强的非法节点覆盖较弱的授权节点，在节点间传送的数据时进行篡改数据，使得

蠕虫的行为特征描述和工作原理分析

蠕虫的行为特征描述和工作原理分析* 郑辉＊＊　李冠一　涂菶生　 （南开大学 20-333# ，天津，300071） E-mail: zhenghui@https://www.sodocs.net/doc/2f3002624.html, https://www.sodocs.net/doc/2f3002624.html,/students/doctor/spark/zhenghui.htm 摘要：本文详细讨论了计算机蠕虫和计算机病毒的异同，指出它们除了在复制和传染方面具有相似性之外，还有很多不同点，如蠕虫主要以计算机为攻击目标，病毒主 要以文件系统为攻击目标；蠕虫具有主动攻击特性，而病毒在传播时需要计算机 使用者的触发。通过详细区分它们的不同行为特征，确定了在计算机网络安全防 范体系中不同角色的责任。然后描述了蠕虫发展的历史，从中可以看到，蠕虫产 生了越来越大的危害。通过分析计算机蠕虫的工作原理、功能结构、实体组成， 提出了蠕虫的统一功能结构模型，并给出了有针对性的对计算机蠕虫攻击进行防 范的措施。最后本文分析了一些新的蠕虫技术发展趋势，指出计算机蠕虫本质上 是黑客入侵行为的自动化，更多的黑客技术将被用到蠕虫编写当中来，由此可以 看出对蠕虫攻击的防治和对抗将是长期而困难的工作。 关键词：蠕虫，计算机病毒，计算机网络安全，蠕虫定义，蠕虫历史，行为特征，功能模型 一、　引言 计算机病毒给世界范围内的计算机系统带来了不可估量的危害，给人们留下了深刻的印象。同时给人们一种误解，认为危害计算机的程序就是病毒。从而不加区分把计算机病毒（Virus）、计算机蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等这些概念都称为计算机病毒。这种误解不仅体现在媒体的宣传中，而且体现在病毒技术研究人员的文章[1][2]中，反病毒厂商对产品的介绍说明中，甚至政府部门制定的法律法规[3]当中。这种相近概念上的误解导致不能有效的给出针对不同类型危害计算机安全的程序的有效防治措施，也为整体的计算机安全防护带来了一定困难。另外，同一程序的不同分类也不利于对其性质的进一步研究和分析。 计算机病毒和计算机蠕虫在传播、复制等特性上非常相似，尤其容易造成人们的误解。导致误解的原因有很多，一方面由于反病毒技术人员自身知识的限制，无法对这两种程序进行清楚细致的区分；另一方面虽然病毒的命名有一定的规范[4][5]，但病毒编写者在为自己的程序起名字的时候并不一定遵循这个规范，利用网络功能如电子邮件进行传播的病毒常常被病毒编写者冠以蠕虫的名字，这也给人们带来一些误导。为了照顾这种病毒的命名，曾有文献试图将蠕虫细分为活动蠕虫和邮件蠕虫[6]。由于用计算机病毒这个称谓不能涵盖所有危害计算机的程序的特征，而且容易产生误导，所以有的文献采用了含义更广泛的称谓“恶意软件”（malware）[7]来统一称呼它们。从蠕虫产生开始，十几年来，很多研究人员对蠕 *高等学校博士点学科点专项科研基金资助课题（编号：2000005516）。 **作者简介：郑辉（1972～），男，吉林伊通人，博士研究生，主要研究领域为网络与信息安全。李冠一（1978～），女，辽宁鞍山人，硕士研究生，主要研究领域为模式识别，计算机视觉与图像处理等。涂奉生（1937～），江西南昌人，博士生导师，主要研究领域为CIMS， DEDS理论，制造系统及通讯理论。

蠕虫病毒有什么危害如何杀

蠕虫病毒有什么危害如何杀 时间:2013-01-15 19:26来源:https://www.sodocs.net/doc/2f3002624.html,作者:xp系统下载点击:170次电脑的蠕虫病毒是什么，会给电脑系统造成什么危害呢？“2003蠕虫王”（https://www.sodocs.net/doc/2f3002624.html,Killer2003）感染该蠕虫病毒后网络带宽被大量占用，导致网络瘫痪，该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞，对其网络进行攻击。由于“2003蠕虫王”具有极强的传播能力，目前在亚洲、美洲、澳大利亚等地迅速传播，已经造成了全球性的网络灾害。由于1月25日正值周末，其造成的恶果首先表现为公用互联网络的瘫痪，预计在今后几天继续呈迅速蔓延之势。 小编建议您使用360免费杀毒进行查杀，然后再根据查杀情况进行相应措施。 蠕虫病毒传播过程 2003蠕虫病毒是一个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播，详细传播过程如下： 该病毒入侵未受保护的机器后，取得三个Win32 API地址，GetTickCount、socket、sendto，接着病毒使用GetTickCount获得一个随机数，进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址，然后将自身代码发送至1434端口（Microsoft SQL Server开放端口），该蠕虫传播速度极快，其使用广播数据包方式发送自身代码，每次均攻击子网中所有255 台可能存在机器。易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器，包括WinNT/Win2000/WinXP等。所幸该蠕虫并未感染或者传播文件形式病毒体，纯粹在内存中进行蔓延。病毒体内存在字符串 “h.dllhel32hkernQhounthickChGet”、“Qh32.dhws2_f”、“etQhsockf”、“toQhsend”。该病毒利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁包中得到修正。 蠕虫病毒的特征 该蠕虫攻击安装有Microsoft SQL 的NT系列服务器，该病毒尝试探测被攻击机器的1434/udp端口，如果探测成功，则发送376个字节的蠕虫代码。1434/udp 端口为Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞，使蠕虫的后续代码能够得以机 会在被攻击机器上运行进一步传播。 该蠕虫入侵MS SQL Server系统，运行于MS SQL Server 2000主程序sqlservr.exe应用程序进程空间，而MS SQL Server 2000拥有最高级别System 权限，因而该蠕虫也获得System级别权限。受攻击系统：未安装MS SQL

招警考试行测言语理解练习题及详解

招警考试行测言语理解练习题及详解 【例题】在西斯廷礼拜堂的天花板上，文艺复兴时期的艺术巨匠米开朗基罗把他笔下的人物描绘得如此雄壮、有力。在意大利，每当我们看到这些魁伟强劲、丰满秀美的人体艺术作品时，就会深深地感到人类征服自然、改造自然的勇气和力量，使我们对文艺复兴运动与现代体育的渊缘有了更深刻的理解。 这段文字是在谈文艺复兴运动与（）。 A．意大利 B．现代体育 C．人体艺术 D．米开朗基罗 【例题】近日，有能源专家指出，目前全国不少城市搞“光彩工程”，在当前国内普遍缺电的形势下这是不适宜的。按照上海电力部门的测算，上海的灯光工程全部开启后，耗电量将达到20万千瓦时，占整个城市总发电量的2%，相当于三峡电厂目前对上海的供电容量。 这段文字的主旨是（）。 A．搞光彩工程对国家和人民无益 B．现在不宜在各地推广光彩工程 C．上海整个城市的总发电量不高 D．上海的灯光工程耗电量惊人 【例题】现代心理学研究认为，当一个人感到烦恼、苦闷、焦虑的时候，他身体的血压和氧化作用就会降低，而当他心情愉快时整个

新陈代谢就会改善。 根据这段文字我们知道（）。 A．人们可以通过调节心情来调节血压 B．心情好坏与人的身体健康存在密切关系 C．血压和氧化作用降低说明该人心情不好 D．只要心情愉快就可以改善整个新陈代谢 【例题】俄罗斯防病毒软件供应商——卡斯佩尔斯基实验室于6月15日宣布，一个名为29a的国际病毒编写小组日前制造出了世界上首例可在手机之间传播的病毒。卡斯佩尔斯基实验室说，29a小组于15日将这个名叫“卡比尔”的蠕虫病毒的代码发给了一些反病毒厂商，后者确认该病毒具备在手机之间传播的功能。 该段文字作为一则报纸上的新闻，最适合做该段文字题目的是（）。 A．“卡比尔”蠕虫病毒在俄诞生 B．29a的国际病毒编写小组的新贡献 C．世界首例在手机之间传播的病毒诞生 D．反病毒厂商确认手机之间可传播病毒 【例题】有一种很流行的观点，即认为中国古典美学注重美与善的统一。言下之意则是中国古典美学不那么重视美与真的统一。笔者认为，中国古典美学比西方美学更看重美与真的统一。它给美既赋予善的品格，又赋予真的品格，而且真的品格大大高于善的品格。概而言之，中国古典美学在对美的认识上，是以善为灵魂而以真为境界的。

蠕虫病毒的特征与防治.doc

研究生课程论文 蠕虫病毒的特征与防治 摘要 随着网络的发展，以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞，己经成为计算机系统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策略进行了研究，透彻分析了几个流行的蠕虫病毒的本质特征和传播手段，并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。 关键词: 蠕虫，病毒特征，病毒防治

1引言 “蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。最初，他们编写蠕虫的目的是做分布式计算的模型试验。1988年Morris蠕虫爆发后，Eugene H. Spafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义。“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致二者之间是非常难区分的。近年来，越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。因而，“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。 2蠕虫病毒的特征及传播 1、一般特征: (1)独立个体，单独运行; (2)大部分利用操作系统和应用程序的漏洞主动进行攻击; (3)传播方式多样; (4)造成网络拥塞，消耗系统资源; (5)制作技术与传统的病毒不同，与黑客技术相结合。 2、病毒与蠕虫的区别 (l)存在形式上病毒寄生在某个文件上，而蠕虫是作为独立的个体而存在;

Conficker清除方法

Conficker清除方法 清除Conficker蠕虫病毒详细步骤 2011-01-15 17:00 Conficker简介： Worm:Win32/Conficker.B.9.831 ，利用0867漏洞的蠕虫。 conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定当在一台电脑中成功执行，它会禁用一些系统服务，比如windows系统更新，windows安全中心，告。然后他会连接一个服务器，在那里他会接到进一步传播的命令，收集个人信息，和下载安装附它还会把自己添加到必然会有的windows活动进程中，像是svchost.exe，explorer.exe和serv 被conficker蠕虫感染症状： 帐户锁定政策被自动复位。某些微软Windows服务会自动禁用，如自动更新，后台智能传和错误报告服务。域控制器对客户机请求回应变得缓慢。系统网络变得异常缓慢。这可以从检测的中看出。跟杀毒软件，windows系统更新有关的网站无法访问。另外它发射暴力密码破解攻击管理员共享。最好是把密码更换成更好的。 友情提示: 为了能更完整杀掉 win32.conficker病毒, 在打开本文中的连接时,请先点右键, 再在弹出的菜单中选"在新窗口中打开"。 清除Conficker蠕虫1(此方法适用于普通网民) 1:下载最新Conficker免疫补丁 https://www.sodocs.net/doc/2f3002624.html,/downloads/details.aspx?displaylang=zh-cn&FamilyID=0d5f9b 支持的操作系统：Windows XP Service Pack 2; Windows XP Service Pack 3 https://www.sodocs.net/doc/2f3002624.html,/downloads/details.aspx?displaylang=zh-cn&FamilyID=f26d39 Windows Server 2003 Service Pack 1; Windows Server 2003 Service Pack 2 2:打好补丁后,使用MSRT进行清除企业环境中MSRT的部署 Conficker蠕虫清除工具下载--conficker蠕虫专杀工具 https://www.sodocs.net/doc/2f3002624.html,/kb/890830 （Windows 2000/XP/2003/）

蠕虫和普通病毒的区别 及防范措施

蠕虫和普通病毒的区别及防范措施 蠕虫和普通病毒区别 对于防毒杀毒长久以来都是计算机使用者比较头疼的问题，很多人都存在以上的疑问和误区。针对近年来，病毒开始由传统形向网络蠕虫和隐蔽的木马病毒发展，笔者这篇文章就以这两个祸害开刀，和大家一步一步谈谈从杀到防搞定病毒。 一、先来看看蠕虫 随着我国宽带爆炸式的发展，蠕虫病毒引起的危害开始快速的显现！蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），快速的自身复制并通过网络感染，以及和黑客技术相结合等等！在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪。相信以前的冲击波、震荡波大家一定还没忘记吧。 1、蠕虫和普通病毒区别 2、传播特点 蠕虫一般都是通过变态的速度复制自身并在互联网环境下进行传播，目标是互联网内的所有计算机。这样一来局域网内的共享文件夹，电子邮件，网络中的恶意网页，大量安装了存在漏洞操作系统的服务器就都成为蠕虫传播的良好途径，使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!这其中通过操作系统漏洞或者通过IE漏洞攻击的方式最为常见。 3、蠕虫的预防解决 蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞，这里的漏洞或者说是缺陷，我们分为2种：软件的和人为的。 软件上的缺陷，如系统漏洞，微软IE和outlook的自动执行漏洞等等，需要大家经常更新系统补丁或者更换新版本软件。而人为的缺陷，主要是指的是计算机用

户的疏忽。例如，当收到QQ好友发来的照片、游戏的时候大多数人都会报着好奇去点击的，从而被感染上了病毒。 蠕虫病毒的防范措施 二、个人用户对蠕虫病毒的防范措施 通过上述的分析，我们了解蠕虫的特点和传播的途径，因此防范需要注意以下几点： 1、选择合适的杀毒软件 杀毒软件必须提供内存实时监控和邮件实时监控以及网页实时监控！国产软件无论是在功能和反应速度以及病毒更新频率上都做的不错，相对国外的反病毒软件他们对于像QQ这类国产病毒具有明显优势，同时消耗系统资源也比较少，大家可以放心使用。 2、经常升级病毒库 没有最新病毒库的杀毒软件就好比没有瞄准器的狙击枪，病毒每天都层出不穷，再加上如今的网络时代，蠕虫病毒的传播速度快，变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒! 3、提高防患意识 不要轻易接受任何陌生人的邮件附件或者QQ上发来的图片，软件等等。必须经过对方的确认（因为一旦对方中毒后他的QQ会自动向好友发送病毒，他自己根本不知道，这个时候只要问一问他本人就真相大白！），或者此人是你绝对可以相信的人！另外对于收发电子邮件，笔者强烈建议大家通过WEB方式（就是登陆邮箱网页）打开邮箱收发邮件（这样比使用Outlook和foxmail更安全）。虽然杀毒软件可以实时监控但是那样不仅耗费内存，也会影响网络速度！ 4、必要的安全设置 运行IE时，点击“工具→Internet选项→安全”，把其中各项安全级别调高一级。在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体操作是：在IE窗口中点击“工具”→“Internet 选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。 5、第一时间打上系统补丁 虽然看上去可怕，但是细心的朋友注意蠕虫攻击系统的途径可以看出：最主要的方式就是利用系统漏洞，因此微软的安全部门已经加大了系统补丁的推出频率，大家一定要养成好习惯，经常的去微软网站更新系统补丁，消除漏洞（通过点击开始上端的“windows Update”）

无线局域网研究论文

无线局域网研究论文 随着无线技术和网络技术的发展，无线网络正成为市场热点，其中无线局域网（wLAN）正广泛应用于大学校园、各类展览会、公司内部乃至家用网络等场合。但是，由于无线网络的特殊性，攻击者无须物理连线就可以对其进行攻击，使wLAN的安全问题显得尤为突出。对于大部分公司来说，wLAN通常置于防火墙后，黑客一旦攻破防火墙就能以此为跳板，攻击其他内部网络，使防火墙形同虚设。与此同时，由于wLAN国家标准wAPI的无限期推迟，IEEE802.11网络仍将为市场的主角，但因其安全认证机制存在极大安全隐患，无疑让wLAN的安全状况雪上加霜。因此，采用入侵检测系统（IDS——intrusiondetectionsystem）来加强wLAN的安全性将是一种很好的选择。尽管入侵检测技术在有线网络中已得到认可，但由于无线网络的特殊性，将其应用于wLAN尚需进一步研究，本文通过分析wLAN的特点，提出可以分别用于有接入点模式wLAN和移动自组网模式wLAN的两种入侵检测模型架构。 上面简单描述了wLAN的技术发展及安全现状。本文主要介绍入侵检测技术及其应用于wLAN时的特殊要点，给出两种应用于不同架构wLAN的入侵检测模型及其实用价值。需要说明的是，本文研究的入侵检测主要针对采用射频传输的IEEE802.11a/b/gwLAN，对其他类型的wLAN同样具有参考

意义。 1、wLAN概述 1.1wLAN的分类及其国内外发展现状 对于wLAN，可以用不同的标准进行分类。根据采用的传播媒质，可分为光wLAN和射频wLAN。光wLAN采用红外线传输，不受其他通信信号的干扰，不会被穿透墙壁偷听，而早发射器的功耗非常低；但其覆盖范围小，漫射方式覆盖16m，仅适用于室内环境，最大传输速率只有4mbit/s，通常不能令用户满意。由于光wLAN传送距离和传送速率方面的局限，现在几乎所有的wLAN都采用另一种传输信号——射频载波。射频载波使用无线电波进行数据传输，IEEE802.11采用2.4GHz频段发送数据，通常以两种方式进行信号扩展，一种是跳频扩频（FHSS）方式，另一种是直接序列扩频（DSSS）方式。最高带宽前者为3mbit/s，后者为11mbit/s，几乎所有的wLAN厂商都采用DSSS作为网络的传输技术。根据wLAN 的布局设计，通常分为基础结构模式wLAN和移动自组网模式wLAN两种。前者亦称合接入点（AP）模式，后者可称无接入点模式。分别如图1和图2所示。 图1基础结构模式wLAN 图2移动自组网模式wLAN .2wLAN中的安全问题wLAN的流行主要是由于它为使用者带来方便，然而正是这种便利性引出了有线网络中不存在

局域网蠕虫病毒的传播方式和保护方法

局域网蠕虫病毒的传播方式和保护方法 近来，威金(w32.looked系列)、熊猫烧香（w32.fujacks系列）等局域网蠕虫病毒大肆流行，这种病毒具有传播速度快，覆盖面广，破坏性大，自我恢复功能强等特点，并且还会自动连接到Internet升级变种并下载其它木马和恶意软件，给广大计算机用户带来了很大的麻烦。良好的基本安全习惯配合具有最新病毒定义和扫描引擎的杀毒软件，能够最大限度地保护您的电脑不受此类蠕虫病毒的影响，以及重复感染。了解蠕虫病毒的在局域网内传播机制，能让我们采用更有针对性的防护，下面就介绍这种局域网蠕虫的传播机制和保护方法：局域网蠕虫的传播安先后顺序分为扫描、攻击、复制三个过程。假设您局域网中有一台电脑感染了蠕虫，而这台脑又没有安装杀毒软件或者杀毒软件的病毒定义比较旧，没有办法检测出这个蠕虫病毒，那么它就会成为一个局域网内的攻击源。 第一步：扫描的过程就是用扫描器扫描主机，探测主机的操作系统类型、版本，主机名，用户名，开放的端口，开放的服务，开放的服务器软件版本等。这一过程中，扫描的范围一般是随机选取某一段IP地址，然后对这一地址段上的主机扫描。但是有些蠕虫会不断的重复扫描过程，就会造成发送大量的数据包，造成网络拥塞，影响网络通信速度等危害。但是这样，管理员也会很快找出感染源所在的地址，因此有些蠕虫会有意的减少数据发送量，包括不重复扫描几次以上，随机选择扫描时间段，随机选择小段IP地址段等等。根据扫描返回的结果确定可以攻击的电脑。

第二步：攻击的过程一般分为两种类型。一种是利用漏洞的攻击，如果扫描返回的操作系统信息或者某些软件的信息是具有漏洞的版本，那么就可以直接用对该漏洞的攻击代码获得相应的权限。例如利用windows的MS04-011漏洞的震荡波（w32.sasser系列）病毒，利用MS06-040漏洞的魔鬼波 （w32.ircbot系列）等。另外一种就是基于文件共享和弱密钥的功击，这种攻击需要根据搜集的信息试探猜测用户密码，一般的蠕虫都有试探空密码，简单密码，与已知密码相同密码等机制。猜出正确的密码后也就有了对远端主机的控制权。威金、熊猫烧香等病毒都基于这种攻击方式。 第三步：复制的实际上就是一个文件传输的过程，就是用相应的文件传输的协议和端口进行网络传输。 为了防止您的电脑受到局域网蠕虫病毒的攻击而感染此类病毒，赛门铁克现建议用户采取以下基本安全措施：1）开启个人防火墙：无论是SCS的防火墙，还是其它安全厂商的个人防火墙，还是windows系统自带的防火 墙，都可以对扫描、攻击、复制三个过程起到保护的 作用。例如，在一般的默认规则下，供击者扫描后不 会得到返回结果；攻击代码不会到达被防火墙保护的 电脑；无法向被防火墙保护的电脑复制病毒文件等。 如果管理员根据公司的应用情况和针对某类病毒，设 定诸如一些协议、端口、程序、入侵检测等的防护规 则，其防护效果就会更佳。 2）尽量关闭不需要的文件共享。除了用户自行设定的共享文件windows操作系统一般都有C$, D$,ADMIN$, IPC$等默认的共享，而一般情况下普通用户不一定需

蠕虫病毒

【摘要】：凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒。蠕虫病毒，作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容忽视。与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象。本文主要介绍蠕虫病毒的分类、概念、特点传播途径、典型蠕虫、防范措施和发展趋势等。 【关键词】：蠕虫病毒影响防范发展

目录 第一章蠕虫病毒概述 (1) 1.1 蠕虫病毒的概念 (1) 1.2 蠕虫病毒的成因 (1) 1.3 蠕虫病毒的特性 (1) 第二章蠕虫病毒分析 (2) 2.1 蠕虫病毒分类分析 (2) 2.1.1主机蠕虫 (2) 2.1.2 网络蠕虫 (2) 2.2 蠕虫病毒传播途径 (2) 2.3 典型蠕虫病毒 (3) 2.3.1 熊猫烧香病毒的概念 (3) 2.3.2 熊猫烧香病毒的危害 (3) 2.3.3熊猫烧香病毒的现象 (3) 第三章蠕虫病毒的防范 (5) 3.1 怎样防范蠕虫病毒 (5) 3.2 蠕虫病毒的解决方案（例：熊猫烧香病毒） (6) 第四章蠕虫病毒发展趋势 (11) 参考文献 (12)

第一章蠕虫病毒概述 1.1 蠕虫病毒的概念 1.2 蠕虫病毒的成因 利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”，以及依然肆虐的“求职信”等。由于IE浏览器的漏洞（IFRAMEEXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 1.3 蠕虫病毒的特性 蠕虫和传统病毒都具有传染性和复制功能，这两个主要特性上的一致，导致人们在二者之间非常难区分。尤其是近年来，越来越多的传统病毒采取了部分蠕虫的技术，而具有破坏性的蠕虫也采取了部分传统病毒的技术，从而更加剧了这种情况。表1-2给出了传统病毒和蠕虫病毒的一些差别。

w32.downadup.b蠕虫病毒详解及清除攻略

w32.downadup.b蠕虫病毒详解及清除攻略 最近经常到几个工厂走动，发现有的局域网都感染受了W32.Downadup.B蠕虫病毒。杀毒软件可以查杀，但是都不彻底，一边清除，一边又继续生成，让人不胜其烦。发这篇日志，就是让今后遇到该问题的朋友能够舒心点。 W32.Downadup.B可利用Microsoft Windows服务器服务RPC的远程代码执行漏洞进行传播，也可利用弱密码保护的网络共享进行感染。W32.Downadup.B会在硬盘上新建autorun.inf 文件，若用户进入硬盘空间，恶意代码便会自动运行。同时，它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。一旦连接，此蠕虫病毒会在这个新硬盘空间建立一个autorun.inf文件。此外，W32.Downadup.B还会监测计算机发出的DNS请求中是否有某些特定字符串，并以“超时，访问不成功”的方式阻止计算机访问某些网站（如安全更新网站）。这意味着受感染的计算机可能无法安装补丁或更新杀毒软件，从而无法清除病毒威胁。 W32.Downadup.B病毒介绍 Worm:W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates], W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend], Net-Worm.Win32.Kido.ih [Kaspersky] 蠕虫 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP W32.Downadup.B是蠕虫病毒，通过攻击 Microsoft Windows Server Service RPC Handling 远程编码执行漏洞 (BID 31874) 进行传播。它还尝试传播到弱密码保护的网络共享，并阻止访问与安全相关的网站。W32.Downadup.B病毒会修改 tcpip.sys 文件。 一旦执行，蠕虫会检查下列注册表项是否存在，如果不存在将创建这些注册表项： * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0" * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0" * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0" * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0" 然后，它会将其自身复制为下列文件中的一个或多个： * %ProgramFiles%\Internet Explorer\[RANDOM FILE NAME].dll * %ProgramFiles%\Movie Maker\[RANDOM FILE NAME].dll * %System%\[RANDOM FILE NAME].dll * %Temp%\[RANDOM FILE NAME].dll * C:\Documents and Settings\All Users\Application Data \[RANDOM FILE NAME].dll 它创建具有下列特征的新服务： 服务名称：[PATH TO WORM] 显示名称：[WORM GENERATED SERVICE NAME] 启动类型：自动 接下来通过创建下列的注册表项注册为服务： * HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\"ServiceDll" = "[PATH TO WORM]" * HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs

渗透SCADA工控系统过程解析

渗透SCADA工控系统过程解析 背景资料 Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC 监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。传播途径：该病毒主要通过U盘和局域网进行传播。历史“贡献”：曾造成伊朗核电站推迟发电。 2010-09-25，进入中国。 一直以来，2010年发生的Stuxnet案件被安全专家认为是一场有目的性的网络战争，攻击者使用一个精心设计的恶意软件打击在伊朗核工厂内SCADA系统。 尽管在多数情况下，SCADA工控系统扮演着相当重要的角色，但是在黑客眼中他们并不安全。 渗透过程 下面这个SCADA系统是我在互联网上找到的：iLON100 echelon SCADA system. 要进行目标识别，各研究必须被限制在一个特定的IP范围内，在此范围内进行扫描;要辨识出该范围，黑客需要一个ISP实例;

通过分析服务器响应，我们发现有些响应包头中包含WindRiver-WebServer，并且在 WWW-Authentication使用Basic realm-”i.LON”，我们从而选择这些目标。 选中的目标运行echelon Smart server 2.0，这个版本服务器包含一系列0day漏洞并且在一段时间以前刚刚公布了一个。

在一些研究之后，黑客发现了WindRiver防火墙源代码WindRiver firewalls，地址为WindRiver-Firewall-Source. 接下来攻击者就需要对最终目标执行exploit 在公开的报告中我们可以看到，SCADA中许多设备admin控制台被攻击者控制

新发病毒处理及样本提取方法

新发病毒处理及样本提取方法 1、首先确定病毒源，断开其网络（蠕虫病毒，ARP病毒），阻断传播途径： 2、检查可疑进程： 利用Icesword工具或系统“任务管理器”查看进程，其中Icesword工具可有效显示可疑进程调用文件目录，根据此目录，提取此文件样本，并可直接通过右键中的“结束进程”杀死可疑进程；或在“命令提示符”中输入“ntsd –c q –p PID（进程ID）”结束进程。 注：如果系统EXE文件无法打开，可将Icesword.exe改为https://www.sodocs.net/doc/2f3002624.html,再执行。

3、检查注册表启动项： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 在以上表项中检查是否有可疑启动项目，如果有，针对启动项目中提供的路径查找文件，也可根据这些文件名查找其它相关注册表项； 查找文件后，可手动删除可疑表项，或通过使用HijackThis等工具清理注册表启动项； 注意：删除前先导出备份注册表，以备删错重新导入。

蠕虫和病毒传播处置预案

XX公司 蠕虫和病毒传播处置预案 2019年12月

文档控制 更改记录

一、总则 第一条目的 本预案为蠕虫和病毒攻击和传播的安全事件处理专项预案，其目的主要是为了进一步规范对蠕虫和病毒攻击和传播安全事件的处理方法和处理程序，提高对此类安全事件的反应速度。 第二条基本原则 1．防范为主，加强监控。通过加强信息安全防范意识，提高网络系统的安全性。完善信息安全事件的日常监测、发现机制，及时采取有效的应对措施，迅速控制事件影响范围，力争将损失降到最低程度，从而缓解或抵御病毒爆发事件的安全威胁。 2．以人为本，协同作战。把保障公共利益以及本单位和其他组织的合法权益的安全作为首要任务。相关部门协同配合、具体实施，及时获取充分而准确的信息。通过跟踪研判，果断决策，迅速处置，以最大程度地减少危害和影响。 3．规范操作，常备不懈。加强防病毒技术储备，规范应急处置措施与操作流程，确保应急预案切实有效，实现信息安全突发事件应急处置的科学化、程序化与规范化。 第三条适用范围 本预案适用于本单位中遇到病毒攻击情况下的应急响应工作。

二、术语与定义 第四条计算机病毒 计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。计算机病毒有独特的复制能力，能够快速蔓延，并难以根除。 第五条蠕虫病毒 蠕虫病毒（worm）和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系。一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络快速发展使得蠕虫可以在短短的时间内蔓延整个网络，造成整个网络瘫痪！ 三、病毒分析阶段 第六条事件分析 （1）使用netstat –ano命令查看操作系统是否存在异常连接。 （2）查看windows、recycle目录下是否存在异常文件。 （3）通过Pchunter等进程查看工具，查看是否存在异常进程在运行，定位至程序存放目录。 （4）分析病毒传播机制，如通过文件共享传播、通过邮件或文