震撼世界的“蠕虫”病毒案

震撼世界的“蠕虫”病毒案

一、“蠕虫”病毒案案情简介

罗伯特·莫瑞斯（Robert T·Morris, Jr.）是美国康奈尔大学（Cornell University）的学生，年仅23岁。1988年11月2日，他在自己的计算机上，用远程命令将自己编写的蠕虫（Worm）程序送进互联网。他原本希望这个“无害”的蠕虫程序可以慢慢地渗透到政府与研究机构的网络中，并且悄悄地呆在那里，不为人知。然而，由于莫瑞斯在他的程序编制中犯了一个小错误，结果这个蠕虫程序疯狂地不断复制自己，并向整个互联网迅速蔓延。待到莫瑞斯发现情况不妙时，他已经无能为力了，他无法终止这个进程。据说，莫瑞斯曾请哈佛大学的一位朋友在Arpanet网上发了一条关于这个蠕虫程序的警报，但由于Arpanet网络已超载，几乎没有什么人注意到或接受到这条信息。于是，小小的蠕虫程序，在1988年11月2日至11月3日的一夜之间，袭击了庞大的互联网，其速度是惊人的。表12-1 可以大致反映蠕虫侵袭的时间顺序（表中的时间为美国东部标准时间，Eastern Standard Time）。1

表12-1 蠕虫侵袭互联网时间表

莫瑞斯的蠕虫一夜之间攻击了互联网上约6200台V AX系列小型机和Sun工作站，300多个大学、议院和研究中心都发布了关于蠕虫攻击的报告。DCA的一位发言人宣称，蠕虫不仅攻击了Arpanet系统，而且攻击了军用的MILNET网中的几台主机。大量数据被破坏，整个经济损失估计达9600万美元。图12-1反映了蠕虫病毒破坏轨迹。

1Harold Joseph, “Random Bits & Bytes”, Computer & Security, 1989.8., Highland.

但是，相信在不久的将来，人类的生活方式必定受其影响而改

变。”这位新闻记者的预言是正确的。时至今日，电脑已成为

我们工作和生活中不可缺少的伴侣。

图12-1 蠕虫破坏轨迹示意图

“互联网事件”发生后，美国各种新闻媒介大肆宣扬。《纽约时报》、《华盛顿邮报》、《今天》等各大报刊连续两周报道了事件的发生、造成的损失、各界人士的反映和肇事者的情况。一时间满城风雨，人心惶惶。在此之前，大多数计算机用户对计算机及网络的安全性还是很有信心的，“互联网事件”对广大用户的这种信心无疑是一次沉重的打击。

“互联网事件”同样也极大地震惊了计算机安全人员与其他专业人员。在莫瑞斯的蠕虫大举进攻之际，许多网络管理员、安全专家和研究人员急切而又灰心，他们甚至不敢相信眼前正在发生的事情。有一份介绍蠕虫攻击情况的报告是这样开头的：“现在是1988年1月3日清晨3点5分。我很累了，所以请不要相信下面描述的任何事情……”。

2

“互联网事件”的确是一场灾难，但决不是象某些报刊所说的是“计算机系统的末日”。事实上，清除病毒的工作开展得相当迅速。11月2日星期三发现病毒，到星期四晚上就公布了一个消毒方案；到周末，病毒已经被控制住了。随后，美国国防部在Carnegie-Mellon 大学的软件工程学院建立了一个由100名计算机专家组成的应急小组，专门研究国防部门计算机系统对计算机病毒攻击的防卫问题，并及时了解互联网的安全情况。可以说，“互联网事件”为计算机安全专家敲响了警钟，使之成为研究部门最迫切的研究课题。

在谈及“互联网事件”的影响时，我们自然回想到那巨大的经济损失和艰巨的消毒劳动，也会想到专家们对计算机安全问题的困惑和用户对计算机系统的可靠性的担忧，这是事件影响的一个方面。事件影响的另外两个方面则更加重要：第一，计算机病毒研究作为一项专门研究，从此登上计算机科学领域的舞台；第二，计算机法（Computer Law）的软弱无力引起社会的普遍关注。

2Harold Joseph, “Random Bits & Bytes”, Computer & Security, 1989.8, Highland.

“互联网事件”使得美国人不得不承认，计算机法的普及与计算机科学的发展极不平衡，人们对利用计算机病毒犯罪的看法非常混乱，许多人甚至对此根本没有认识。“互联网事件”后，所有的报道都认为，肇事者莫瑞斯编写蠕虫程序并非出自恶意，莫瑞斯本人或许直到被推上法庭也不认为自己是犯了罪。事件公布后，公众对莫瑞斯的态度多种多样：有人愤愤然认为他犯了弥天大罪，法庭应当绞死他；有人爱惜其才华（不能不承认，莫瑞斯编制的蠕虫程序具有极高的技巧），认为这样的青年是国家的财富；也有人持折中态度，认为莫瑞斯犯了错误，但不至于被投进监狱。种种言论都反映了计算机法律观念的淡薄，暴露了计算机法律管理中的问题和漏洞。

有趣的是，莫瑞斯是美国政府高级计算机安全专家的儿子，其父是致力于计算机安全研究的美国国家计算机安全局的主要科学家。莫瑞斯从中学起兴趣就转向了计算机，17岁在贝尔（Bell）实验室工作，接着参加哈佛大学计算机计划，在其心理学计算中心当程序员，随后考入康奈尔大学计算机系学习。雄厚的计算机基础使莫瑞斯具备了制造计算机病毒的能力。不管莫瑞斯当初编制蠕虫程序的用意是什么，“互联网事件”造成的损失是既成事实。莫瑞斯于1989年7月被推上美国地方法庭。

二、“蠕虫”病毒案法庭辩论的焦点

在对莫瑞斯的审判中，遇到了许多新问题。由于陪审团成员都是由居住在其管辖区的选举人随机地选出来的，很少有人了解计算机的专业知识，依据一些报告进行审理时，陪审团被计算机专家和辩护律师所使用的计算机术语搞得晕头转向。法庭辩论的焦点集中在以下几个问题：

1. 蠕虫是不是计算机病毒？

计算机专家对蠕虫程序有三种见解：

蠕虫就是病毒。许多人认为，蠕虫是一种病毒，它具有计算机病毒的一般特征，如传染性、攻击性、破坏性等。

蠕虫是不同于一般病毒的被动性病毒。有的专家认为，自从科恩（Frederick B·Cohen）1984年发表有关病毒的研究成果以来，计算机病毒已发展成两个不同的类型：主动型和被动型。主动型病毒直接损伤和破坏计算机系统，勒海病毒（Lehigh）和巴基斯坦病毒（Pakistani Brain）是主动型病毒的例子。被动型病毒栖身于后台，它窃取某些程序的口令字，冒充合法用户将病毒程序拷贝到远程计算机中，利用原有的活动天窗3收集信息以攻击系统。蠕虫病毒是被动型病毒的例子。

蠕虫不是病毒。以美国著名计算机专家M?斯图尔特?莱因

（M Stuart Lynn）为首的技术调查委员会发表的调查报告中断定，莫瑞斯所写的程序从技术上讲不是病毒，而是一种揭露性的攻击程序。因为病毒对计算机的攻击是非法使用计算机用户的正常操作程序，而蠕虫程序的运行却要借助于计算机操作系统本身的错误和漏洞。莫瑞斯的蠕虫揭露了计算机系统的弱点，这些弱点是由于人为疏忽或技术落后造成的。

首先，设计网络的电子信件的编程人员，保留了一个秘密的“后门”，他可以很容易地读写到其工作关注的目标。当编程人员完成任务以后，他忘记关闭这个“后门”。他设计这个“后门”是为了读写那些管理人员不允许读写的程序。莫瑞斯发现了这个秘密的“后门”并方便地进入。与此相类似，系统还存在其它的秘密入口，这些入口还会被其他攻击者所揭露。

3天窗是嵌在操作系统里的一段致病软件。渗透者利用该软件提供的方法侵入计算机系统而不经检测。天窗由专门的命令激活，一般不会有人发现它。天窗是操作系统中可供渗透的一个缺陷，它可能是程序设计人员预留的，也可能是操作系统生产厂家不道德的雇员装入的。（参见Karger, P. A. and Schell, R. R.,, “Multilevel Security Evaluation: Vulnerability Analysis ”, ESD-TR-74-193, V ol. 2, 1974.）

其次，莫瑞斯蠕虫揭露Arpanet计算机网络中的一个大漏洞。Arpanet网络中的Finger 程序允许用户在远处的计算机上了解近期在其它网络计算机上工作的用户的情况。莫瑞斯利用了这一程序漏洞，窥探他冲破计算机安全机制的方法。Finger程序的缺陷众所周知，如果一个很长的信息发送给Finger的话，可以使用户读取军事基地中央控制程序。剖析过莫瑞斯蠕虫程序的计算机专家声称：莫瑞斯蠕虫程序编程技巧非凡，它巧妙地利用Arpanet网络的三个安全程序。

2. 莫瑞斯制造蠕虫的动机

1986年美国《伪造访问设备和计算机诈骗与滥用法》所规定的定罪标准是指故意地或有意地从事法律规定的那些行为。如果不是“有意地”便不能定罪，莫瑞斯一案争论最激烈的地方也正在于此。在辩护总结中，莫瑞斯的辩护律师托马斯·吉多鲍尼（Thomas Guidoboni）向陪审团陈述，他承认莫瑞斯制造了病毒，并在Internet 网中传播，但莫瑞斯不是有意地使任何计算机陷于瘫痪，并且也不是有意地去进行传播，与此同时他还尽力去限制蠕虫的继续复制。当莫瑞斯准备检查他的程序进展时，他发现网络已经过载，不能读取监控器，也不能中止他的程序。他马上请求在哈佛大学的朋友在Arpanet网络上发出警报和指示如何阻止蠕虫。虽然由于网络严重过载电子公告只有很少人收到。吉多鲍尼又讲，莫瑞斯制造这个病毒是其进行的计算机安全方面试验的一部分。蠕虫所引起的损坏不是永久性的，并且在设计时，莫瑞斯没有设计让病毒进行永久性的破坏。Unix操作系统环境中，系统用户具有读写被保护的数据和文件的特权，可以读写网络的其它计算机，具有通过计算机系统读、写、删除文件的能力。莫瑞斯蠕虫通过获取系统用户的特权，传播蠕虫自身到网络中的其它计算机中，同时也可以对数据和程序文件做更严重的破坏动作。但莫瑞斯蠕虫没有做，用户唯一感受到的损害是计算机合法程序的处理速度显著放慢。由此可见，莫瑞斯设计蠕虫时，似乎没有使之具有毁灭性的意图。

联邦法官霍华德·芒森（Howard Munson）却指出，莫瑞斯是在他作为康涅尔大学的一名计算机科学研究生时制造出蠕虫的，并使用蠕虫袭击全美计算机的一部分。他完全了解计算机病毒的危害性。美国司法部司法官马克·拉希（Mark Rasch）说：“莫瑞斯花费了许多时间，下了很大功夫来研究计划这次袭击，这个蠕虫被设计成尽可能多地进入他人的计算机系统中，并以编程的方式来隐藏自己，挫败被侵袭方。”

康涅尔大学计算机系的一位研究员迪安·克拉尔（Dean Krall）证实说，他已经在莫瑞斯所在大学中使用的计算机的姓名目录中发现了至少三个蠕虫变体。在法庭调查中克拉尔陈诉到，在进行程序设计时，莫瑞斯将程序包含了控制复制本身速度的码。

3. 莫瑞斯蠕虫造成的经济损失

在莫瑞斯受审之前，新闻媒介对莫瑞斯蠕虫造成的损失情况做了大量的夸张性的报道。某些报刊认为，受害网络是传送敏感数据和保密数据的。另有一些报刊声称蠕虫损坏了珍贵的研究数据，其价值难以估量。技术界对此有不同的看法：

美国计算机病毒协会的约翰·麦卡菲（John McAfee）报告说，蠕虫引起的损失大约为9600万美元。

哈佛大学的克利夫·斯托尔（Cliff Stohl）认为损失不超过100万美元。

Purdue 大学的吉恩·斯帕福德（Gene Spafford）则估计损失仅有20万美元。

某些观察家注意到，大学院校受蠕虫侵害较之其它单位为重。部分机关的白班工作人员离开之后，没有关机，蠕虫击中了他们的计算机。许多第二班的工作人员不想或不会处理紧急事件，这是被击中的主要原因之一。网络的某些节点，在接收到有关警告信息或注意到计算机出现问题后，立即停止了使用。由于网络过载，运行速度减缓，很多计算机未发现异常。

检查官反复强调与Internet 网连接的计算机常常从事关键性的研究工作，而蠕虫程序却

将之阻塞几个小时以至于不能正常工作。

莫瑞斯的辩护律师对此反驳说，互联网使用面极广，如交换个人信息，写爱情信和玩游戏等，所破坏的程序并不都是非常重要的信息。

4. 莫瑞斯蠕虫造成的社会后果

一些曾经与蠕虫日夜奋战的计算机管理人员在作证时表示了极大的愤怒：对许多学者和研究人员来说，蠕虫是一场大灾难。它消耗了大量宝贵的工作时间，增加了额外负担，遗失了他们的研究成果，延误了他们的研究进度。

但是，一些计算机安全专家认为，蠕虫是计算机潜在的易受攻击的最重要的证明。如果蠕虫的袭击促使计算机主人采取积极的措施防御未来的攻击，那么，蠕虫的后果将是极为有益的。

莫瑞斯的辩护律师认为，计算机病毒的存在是计算机本身的特性所决定的，它将随着计算机的存在而存在，这一点是不随人们的意志而转移的。从这一意义上来说，我们应当感谢莫瑞斯。正是他的杰出的蠕虫，使人们更深刻地认识到计算机安全的重要性，也使得人们明白他们以往高度信任的计算机竟然是那么地不堪一击。莫瑞斯帮助人们认识到计算机系统本身的脆弱性，这有助于计算机安全技术的发展，他非但无罪，甚至是有功的。

莫瑞斯由于使Arpanet 网络崩溃而成为最著名的攻击者。他在受到法庭的审判的同时，也受到一些人的尊崇。由于他的能力，莫瑞斯被哈佛大学Aiken中心授予“超级用户”的特权。计算机攻击者的双重人格被表现的淋漓至尽，一方面是国家的不可多得的人才，另一方面又是令国家头疼的人物。

三、“蠕虫”病毒案的最后判决

根据一些资料的记载，美国法院根据《伪造访问设备和计算机诈骗与滥用法》对莫瑞斯进行的审判主要是从以下几个方面考虑的：

是否有意地、未经允许进入与联邦政府有利害关系的计算机系统中；

（1）被这种有意地、未经允许所侵入的计算机至少分处在两个州；

（2）由于侵入他人计算机，从而造成了总数超过1000美元的损失；

（3）由于有意地、未经许可的侵入，妨碍了那些被允许使用这种计算机的用户使用计算机。

从美国参与此案的一些法官的谈话中得知，如果对以上四种情况中的一种有合理的置疑，陪审团应该做出免罪的决定。应当注意的是，在上述四条中，与联邦有利害关系的计算机，不应当局限于那些被政府所拥有的或以政府名义所使用的计算机；所造成的损失，不应当只限于某一地区的损失，只要是总体损失达到1000美元以上即可。

尽管原告方与被告方争论不休，最后陪审团仍作出莫瑞斯有罪的决定。

美国法学界认为，对莫瑞斯以重罪判处证明了《伪造访问设备和计算机诈骗与滥用法》足以能保护国家计算机系统免受病毒和其它恶意的程序的袭击；由此开创了一个先例，即表明制造病毒的人将要承担法律责任。有罪的判决也表明在对黑客和与计算机有关的犯罪问题上国家态度的变化，这些人不是民间传说中的英雄，他们是罪犯；在莫瑞斯的案子中，法律诉讼已将一个“计算机奇才”变成一个罪犯，社会已不再容忍侵害他人合法权益的计算机恶作剧了。

据我国《科技日报》1990年2月6日的报道，莫瑞斯已于1990年1月21日被联邦法庭宣判有罪，处以5年监禁和25万美元的罚款。莫瑞斯是1986年美国公布《伪造访问设备和计算机欺骗与滥用法》以来，第一个被送上法庭的人。

蠕虫病毒的症状

蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其蠕虫病毒 他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。 --------下面是蠕虫病毒的症状看看是不是蠕虫病毒------- 病毒类型：蠕虫病毒 攻击对象：Windows NT 4.0，Windows 2000，Windows XP，Windows Server 2003等传播途径：“冲击波”是一种利用Windows系统的RPC(远程过程调用，是一种通信协议，程序可使用该协议向网络中的另一台计算机上的程序请求服务)漏洞进行传播、随机发作、破坏力强的蠕虫病毒。它不需要通过电子邮件(或附件)来传播，更隐蔽，更不易察觉。它使用IP扫描技术来查找网络上操作系统为Windows 2000/XP/2003的计算机，一旦找到有漏洞的计算机，它就会利用DCOM(分布式对象模型，一种协议，能够使软件组件通过网络直接进行通信)RPC缓冲区漏洞植入病毒体以控制和攻击该系统。 如果真的是蠕虫病毒的话,可以按下面的方法操作: 1.中止进程 按“Ctrl+Alt+Del”组合键，在“Windows 任务管理器”中选择“进程”选项卡，查找“msblast.exe”(或“teekids.exe”、“penis32.exe”)，选中它，然后，点击下方的“结束进程”按钮。 提示：如不能运行“Windows 任务管理器”，可以在“开始→运行”中输入“cmd”打开“命令提示符”窗口，输入以下命令“taskkill.exe /im msblast.exe”(或“taskkill.exe /im teekids.exe”、“taskkill.exe /im penis32.exe”)。 2.删除病毒体 依次点击“开始→搜索”，选择“所有文件和文件夹”选项，输入关键词“msblast.exe”，将查找目标定在操作系统所在分区。搜索完毕后，在“搜索结果”窗口将所找到的文件彻底删除。然后使用相同的方法，查找并删除“teekids.exe“和“penis32.exe”文件。 提示：在Windows XP系统中，应首先禁用“系统还原”功能，方法是：右击“我的电脑”，选择“属性”，在“系统属性”中选择“系统还原”选项卡，勾选“在所有驱动器上关闭系统还原”即可。 如不能运行“搜索”，可以在“开始→运行”中输入“cmd”打开“命令提示符” 窗口，输入以下命令： “del 系统盘符winntsystem32msblast.exe”(Windows 2000系统)或“del系统盘符windowssystemmsblast.exe”(Windows XP系统) 3.修改注册表 点击“开始→运行”，输入“regedit”打开“注册表编辑器”，依次找到“HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun”，删除“windows auto update=msblast.exe”(病毒变种可能会有不同的显示内容)。 4.重新启动计算机 重启计算机后，“冲击波”(也就是蠕虫病毒)病毒就已经从系统中完全清除了。

蠕虫的行为特征描述和工作原理分析

蠕虫的行为特征描述和工作原理分析* 郑辉＊＊　李冠一　涂菶生　 （南开大学 20-333# ，天津，300071） E-mail: zhenghui@https://www.sodocs.net/doc/862624883.html, https://www.sodocs.net/doc/862624883.html,/students/doctor/spark/zhenghui.htm 摘要：本文详细讨论了计算机蠕虫和计算机病毒的异同，指出它们除了在复制和传染方面具有相似性之外，还有很多不同点，如蠕虫主要以计算机为攻击目标，病毒主 要以文件系统为攻击目标；蠕虫具有主动攻击特性，而病毒在传播时需要计算机 使用者的触发。通过详细区分它们的不同行为特征，确定了在计算机网络安全防 范体系中不同角色的责任。然后描述了蠕虫发展的历史，从中可以看到，蠕虫产 生了越来越大的危害。通过分析计算机蠕虫的工作原理、功能结构、实体组成， 提出了蠕虫的统一功能结构模型，并给出了有针对性的对计算机蠕虫攻击进行防 范的措施。最后本文分析了一些新的蠕虫技术发展趋势，指出计算机蠕虫本质上 是黑客入侵行为的自动化，更多的黑客技术将被用到蠕虫编写当中来，由此可以 看出对蠕虫攻击的防治和对抗将是长期而困难的工作。 关键词：蠕虫，计算机病毒，计算机网络安全，蠕虫定义，蠕虫历史，行为特征，功能模型 一、　引言 计算机病毒给世界范围内的计算机系统带来了不可估量的危害，给人们留下了深刻的印象。同时给人们一种误解，认为危害计算机的程序就是病毒。从而不加区分把计算机病毒（Virus）、计算机蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等这些概念都称为计算机病毒。这种误解不仅体现在媒体的宣传中，而且体现在病毒技术研究人员的文章[1][2]中，反病毒厂商对产品的介绍说明中，甚至政府部门制定的法律法规[3]当中。这种相近概念上的误解导致不能有效的给出针对不同类型危害计算机安全的程序的有效防治措施，也为整体的计算机安全防护带来了一定困难。另外，同一程序的不同分类也不利于对其性质的进一步研究和分析。 计算机病毒和计算机蠕虫在传播、复制等特性上非常相似，尤其容易造成人们的误解。导致误解的原因有很多，一方面由于反病毒技术人员自身知识的限制，无法对这两种程序进行清楚细致的区分；另一方面虽然病毒的命名有一定的规范[4][5]，但病毒编写者在为自己的程序起名字的时候并不一定遵循这个规范，利用网络功能如电子邮件进行传播的病毒常常被病毒编写者冠以蠕虫的名字，这也给人们带来一些误导。为了照顾这种病毒的命名，曾有文献试图将蠕虫细分为活动蠕虫和邮件蠕虫[6]。由于用计算机病毒这个称谓不能涵盖所有危害计算机的程序的特征，而且容易产生误导，所以有的文献采用了含义更广泛的称谓“恶意软件”（malware）[7]来统一称呼它们。从蠕虫产生开始，十几年来，很多研究人员对蠕 *高等学校博士点学科点专项科研基金资助课题（编号：2000005516）。 **作者简介：郑辉（1972～），男，吉林伊通人，博士研究生，主要研究领域为网络与信息安全。李冠一（1978～），女，辽宁鞍山人，硕士研究生，主要研究领域为模式识别，计算机视觉与图像处理等。涂奉生（1937～），江西南昌人，博士生导师，主要研究领域为CIMS， DEDS理论，制造系统及通讯理论。

招警考试行测言语理解练习题及详解

招警考试行测言语理解练习题及详解 【例题】在西斯廷礼拜堂的天花板上，文艺复兴时期的艺术巨匠米开朗基罗把他笔下的人物描绘得如此雄壮、有力。在意大利，每当我们看到这些魁伟强劲、丰满秀美的人体艺术作品时，就会深深地感到人类征服自然、改造自然的勇气和力量，使我们对文艺复兴运动与现代体育的渊缘有了更深刻的理解。 这段文字是在谈文艺复兴运动与（）。 A．意大利 B．现代体育 C．人体艺术 D．米开朗基罗 【例题】近日，有能源专家指出，目前全国不少城市搞“光彩工程”，在当前国内普遍缺电的形势下这是不适宜的。按照上海电力部门的测算，上海的灯光工程全部开启后，耗电量将达到20万千瓦时，占整个城市总发电量的2%，相当于三峡电厂目前对上海的供电容量。 这段文字的主旨是（）。 A．搞光彩工程对国家和人民无益 B．现在不宜在各地推广光彩工程 C．上海整个城市的总发电量不高 D．上海的灯光工程耗电量惊人 【例题】现代心理学研究认为，当一个人感到烦恼、苦闷、焦虑的时候，他身体的血压和氧化作用就会降低，而当他心情愉快时整个

新陈代谢就会改善。 根据这段文字我们知道（）。 A．人们可以通过调节心情来调节血压 B．心情好坏与人的身体健康存在密切关系 C．血压和氧化作用降低说明该人心情不好 D．只要心情愉快就可以改善整个新陈代谢 【例题】俄罗斯防病毒软件供应商——卡斯佩尔斯基实验室于6月15日宣布，一个名为29a的国际病毒编写小组日前制造出了世界上首例可在手机之间传播的病毒。卡斯佩尔斯基实验室说，29a小组于15日将这个名叫“卡比尔”的蠕虫病毒的代码发给了一些反病毒厂商，后者确认该病毒具备在手机之间传播的功能。 该段文字作为一则报纸上的新闻，最适合做该段文字题目的是（）。 A．“卡比尔”蠕虫病毒在俄诞生 B．29a的国际病毒编写小组的新贡献 C．世界首例在手机之间传播的病毒诞生 D．反病毒厂商确认手机之间可传播病毒 【例题】有一种很流行的观点，即认为中国古典美学注重美与善的统一。言下之意则是中国古典美学不那么重视美与真的统一。笔者认为，中国古典美学比西方美学更看重美与真的统一。它给美既赋予善的品格，又赋予真的品格，而且真的品格大大高于善的品格。概而言之，中国古典美学在对美的认识上，是以善为灵魂而以真为境界的。

磁碟机蠕虫病毒分析

- 磁碟机蠕虫病毒分析 磁碟机病毒疫情的发生 磁碟机病毒最早出现在2007年2月份，是在windows系统目录下生成lsass.exe及smss.exe文件，并且修改系统时间为1980年，当时这个病毒不是以下载器为目的的，自身也有较多BUG，入侵后，容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性，对抗安全软件的能力逐步增强。 病毒分析 “磁碟机”通过一个ARP病毒在局域网中迅速传播。在感染了该“ARP病毒”的局域网中，除了系统静态绑定MAC地址的计算机外，其他系统所下载的所有正常EXE程序文件都变成磁碟机病毒变种，该变种文件名为“setup.exe”，系一个RAR自解压格式的安装包，运行后就会在用户系统中安装“磁碟机”变种。 病毒会破坏注册表，使用户无法进入“安全模式”，以及无法查看“隐藏的系统文件”，并实时检测保护这个被修改过的病毒选项，恢复后立即重写。破坏注册表，使用户注册表启动项失效，导致部分通过注册表启动项开机运行的安全软件就无法开机启动运行了。修改注册表，实现开启自动播放的功能。防止病毒体被重定向，删除注册表中的IFEO进程映像劫持项。删除组策略限制的注册表项。 病毒通过搜索注册表，直接强行删除所有安全软件的关联注册表项，使其无法开启监控。利用进程守护技术将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联，实现进程守护。发现病毒文件被删除或被关闭，会马上生成重新。病毒程序以系统级权限运行，部分进程使用了进程保护技术。 病毒的自我保护和隐藏技术无所不用其极。将DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到[启动]文件夹中，实现开机自启动。系统启动后再将“启动”文件夹中病毒主体删除掉。这样可以隐蔽启动，而不被用户发现。 同时，为了避开杀毒软件主动防御功能，病毒采用了反“Hips”的监控技术，为就使得部分仅通过HIPS技术实现主动防御功能的杀毒软件失效。 病毒有自动升级功能，并有自己的光纤接入的升级服务器，即使在下载流量很大的情况下也可以瞬间升级更新病毒体。该病毒还是反向连接木马下载器，下载列表配置文件在骇客的远程服务器上，骇客可以随时更新不同的病毒变种下载到被感染计算机中安装运行。病毒会下载20种以上的木马病毒程序，其中包括有网络游戏盗号木马和ARP病毒等。病毒还会通过独占的方式访问系统“boot.ini”和“hosts”配置文件。防止DOS级删除病毒体和用hosts文件来屏蔽病毒的恶意网站域名地址。利用控制台命令来设置病毒程序文件的访问运行权限。利用“ping”命令在后台检测当前计算机网络是否连通，如果连通则利用系统“IE 浏览器”进程在后台与骇客服务器进程通信，这样可以躲避部分防火墙的监控。 典型磁碟机破坏的表现 1.注册全局HOOK，扫描含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃 2.破坏文件夹选项，使用户不能查看隐藏文件 3.删除注册表中关于安全模式的值，防止启动到安全模式 4.创建驱动，保护自身。该驱动可实现开机删除自身，关机创建延迟重启的项目实现自动加载。 5.修改注册表，令组策略中的软件限制策略不可用。 6.不停扫描并删除安全软件的注册键值，防止安全软件开机启动。

蠕虫病毒

【摘要】：凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒。蠕虫病毒，作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容忽视。与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象。本文主要介绍蠕虫病毒的分类、概念、特点传播途径、典型蠕虫、防范措施和发展趋势等。 【关键词】：蠕虫病毒影响防范发展

目录 第一章蠕虫病毒概述 (1) 1.1 蠕虫病毒的概念 (1) 1.2 蠕虫病毒的成因 (1) 1.3 蠕虫病毒的特性 (1) 第二章蠕虫病毒分析 (2) 2.1 蠕虫病毒分类分析 (2) 2.1.1主机蠕虫 (2) 2.1.2 网络蠕虫 (2) 2.2 蠕虫病毒传播途径 (2) 2.3 典型蠕虫病毒 (3) 2.3.1 熊猫烧香病毒的概念 (3) 2.3.2 熊猫烧香病毒的危害 (3) 2.3.3熊猫烧香病毒的现象 (3) 第三章蠕虫病毒的防范 (5) 3.1 怎样防范蠕虫病毒 (5) 3.2 蠕虫病毒的解决方案（例：熊猫烧香病毒） (6) 第四章蠕虫病毒发展趋势 (11) 参考文献 (12)

第一章蠕虫病毒概述 1.1 蠕虫病毒的概念 1.2 蠕虫病毒的成因 利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”，以及依然肆虐的“求职信”等。由于IE浏览器的漏洞（IFRAMEEXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 1.3 蠕虫病毒的特性 蠕虫和传统病毒都具有传染性和复制功能，这两个主要特性上的一致，导致人们在二者之间非常难区分。尤其是近年来，越来越多的传统病毒采取了部分蠕虫的技术，而具有破坏性的蠕虫也采取了部分传统病毒的技术，从而更加剧了这种情况。表1-2给出了传统病毒和蠕虫病毒的一些差别。

蠕虫病毒的特征与防治.doc

研究生课程论文 蠕虫病毒的特征与防治 摘要 随着网络的发展，以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞，己经成为计算机系统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策略进行了研究，透彻分析了几个流行的蠕虫病毒的本质特征和传播手段，并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。 关键词: 蠕虫，病毒特征，病毒防治

1引言 “蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。最初，他们编写蠕虫的目的是做分布式计算的模型试验。1988年Morris蠕虫爆发后，Eugene H. Spafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义。“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致二者之间是非常难区分的。近年来，越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。因而，“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。 2蠕虫病毒的特征及传播 1、一般特征: (1)独立个体，单独运行; (2)大部分利用操作系统和应用程序的漏洞主动进行攻击; (3)传播方式多样; (4)造成网络拥塞，消耗系统资源; (5)制作技术与传统的病毒不同，与黑客技术相结合。 2、病毒与蠕虫的区别 (l)存在形式上病毒寄生在某个文件上，而蠕虫是作为独立的个体而存在;

特洛伊木马原理介绍

1. 特洛伊木馬程式原理7n 一、引言otnpy 特洛伊木馬是Trojan Horse 的中譯，是借自"木馬屠城記"中那只木馬的名稱。古希臘有大軍圍攻特洛伊城，逾年無法攻下。有人獻計製造一隻高二丈的大木馬假裝作戰馬神，攻擊數天後仍然無功，遂留下木馬拔營而去。城中得到解圍的消息，及得到"木馬"這個奇異的戰利品，全城飲酒狂歡。到午夜時份，全城軍民盡入夢鄉，匿於木馬中的將士開暗門垂繩而下，開啟城門及四處縱火，城外伏兵湧入，焚屠特洛伊城。後世稱這只木馬為"特洛伊木馬"，現今電腦術語借用其名，意思是"一經進入，後患無窮"。特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣，只是一種遠端管理工具。而且本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)；但卻常常被視之為病毒。原因是如果有人不當的使用，破壞力可以比病毒更強。iagavi ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt 特洛伊木馬是一個程式，它駐留在目標電腦裡，可以隨電腦自動啟動並在某一連接進行偵聽，在對接收的資料識別後，對目標電腦執行特定的****作。木馬，其實只是一個使用連接進行通訊的網路客戶/伺服器程式。e2/ 基本概念：網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端)，另一台主機接受伺服器(客戶端)。作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen)，如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request)，伺服端上的相對應程式就會自動執行，來回覆客戶端的請求。對於特洛伊木馬，被控制端就成為一台伺服器。DJ ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請 G5 iCf 三、特洛伊木馬隱身方法= 木馬程式會想盡一切辦法隱藏自己，主要途徑有：在工作程序中隱形：將程式設為「系統伺服器」可以偽裝自己。當然它也會悄無聲息地啟動，木馬會在每次使用者啟動時自動載入伺服器端，Windows系統啟動時自動載入應用程式的方法，「木馬」都會用上，如：win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。/x$l_ 在win.ini檔案中，在[WINDOWS]下面，「run=」和「load=」是可能載入「木馬」程式的途徑，一般情況下，它們的等號後面什麼都沒有，如果發現後面跟有路徑與檔案名稱不是您熟悉的啟動檔案，電腦就可能中「木馬」了。當然也得看清楚，因為好多「木馬」，如「AOL Trojan木馬」，它把自身偽裝成command.exe 檔案，如果不注意可能不會發現它不是真正的系統啟動檔案。g(hmry 在system.ini檔案中，在[BOOT]下面有個「shell=檔案名稱」。正確的檔案名稱應該是「explorer.exe」，如果不是「explorer.exe」，而是「shell= explorer.exe 程式名」，那麼後面跟著的那個程式就是「木馬」程式，就是說已經中「木馬」了。H 在註冊表中的情況最複雜，使用regedit指令開啟註冊表編輯器，在點擊至：「HKEY－LOCAL－MACHINE \Software \Microsoft \Windows \Current Version \Run」目錄下，檢視鍵值中有沒有自己不熟悉的自動啟動檔案，副檔名為EXE，這裡切記：有的「木馬」程式產生的檔案很像系統自身檔案，想使用偽裝矇混過關，如「Acid Battery v1.0木馬」，它將註冊表「HKEY－LOCAL－MACHINE \SOFTWARE

蠕虫和普通病毒的区别 及防范措施

蠕虫和普通病毒的区别及防范措施 蠕虫和普通病毒区别 对于防毒杀毒长久以来都是计算机使用者比较头疼的问题，很多人都存在以上的疑问和误区。针对近年来，病毒开始由传统形向网络蠕虫和隐蔽的木马病毒发展，笔者这篇文章就以这两个祸害开刀，和大家一步一步谈谈从杀到防搞定病毒。 一、先来看看蠕虫 随着我国宽带爆炸式的发展，蠕虫病毒引起的危害开始快速的显现！蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），快速的自身复制并通过网络感染，以及和黑客技术相结合等等！在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪。相信以前的冲击波、震荡波大家一定还没忘记吧。 1、蠕虫和普通病毒区别 2、传播特点 蠕虫一般都是通过变态的速度复制自身并在互联网环境下进行传播，目标是互联网内的所有计算机。这样一来局域网内的共享文件夹，电子邮件，网络中的恶意网页，大量安装了存在漏洞操作系统的服务器就都成为蠕虫传播的良好途径，使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!这其中通过操作系统漏洞或者通过IE漏洞攻击的方式最为常见。 3、蠕虫的预防解决 蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞，这里的漏洞或者说是缺陷，我们分为2种：软件的和人为的。 软件上的缺陷，如系统漏洞，微软IE和outlook的自动执行漏洞等等，需要大家经常更新系统补丁或者更换新版本软件。而人为的缺陷，主要是指的是计算机用

户的疏忽。例如，当收到QQ好友发来的照片、游戏的时候大多数人都会报着好奇去点击的，从而被感染上了病毒。 蠕虫病毒的防范措施 二、个人用户对蠕虫病毒的防范措施 通过上述的分析，我们了解蠕虫的特点和传播的途径，因此防范需要注意以下几点： 1、选择合适的杀毒软件 杀毒软件必须提供内存实时监控和邮件实时监控以及网页实时监控！国产软件无论是在功能和反应速度以及病毒更新频率上都做的不错，相对国外的反病毒软件他们对于像QQ这类国产病毒具有明显优势，同时消耗系统资源也比较少，大家可以放心使用。 2、经常升级病毒库 没有最新病毒库的杀毒软件就好比没有瞄准器的狙击枪，病毒每天都层出不穷，再加上如今的网络时代，蠕虫病毒的传播速度快，变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒! 3、提高防患意识 不要轻易接受任何陌生人的邮件附件或者QQ上发来的图片，软件等等。必须经过对方的确认（因为一旦对方中毒后他的QQ会自动向好友发送病毒，他自己根本不知道，这个时候只要问一问他本人就真相大白！），或者此人是你绝对可以相信的人！另外对于收发电子邮件，笔者强烈建议大家通过WEB方式（就是登陆邮箱网页）打开邮箱收发邮件（这样比使用Outlook和foxmail更安全）。虽然杀毒软件可以实时监控但是那样不仅耗费内存，也会影响网络速度！ 4、必要的安全设置 运行IE时，点击“工具→Internet选项→安全”，把其中各项安全级别调高一级。在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体操作是：在IE窗口中点击“工具”→“Internet 选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。 5、第一时间打上系统补丁 虽然看上去可怕，但是细心的朋友注意蠕虫攻击系统的途径可以看出：最主要的方式就是利用系统漏洞，因此微软的安全部门已经加大了系统补丁的推出频率，大家一定要养成好习惯，经常的去微软网站更新系统补丁，消除漏洞（通过点击开始上端的“windows Update”）

电脑病毒和木马的概念介绍.doc

电脑病毒和木马的概念介绍 病毒、蠕虫和特洛伊木马是可导致您的计算机和计算机上的信息损坏的恶意程序。下面由我给你做出详细的!希望对你有帮助! : 什么是病毒: 计算机病毒(Computer Virus),根据《中华人民共和国计算机信息系统安全保护条例》，病毒的明确定义是"指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码"。 病毒必须满足两个条件: 条件1、它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。 条件2、它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。此外，病毒往往还具有很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性等，由于计算机所具有的这些特点与生物学上的病毒有相似之处，因些人们才将这种恶意程序代码称之为"计算机病毒"。一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机，而只是复制自身，并通过显示文本、视频和音频消息表明它们的存在。即使是这些良性病毒也会给计算机用户带来问题。通常它们会占据合法程序使用的计算机内存。结果，会引起操作异常，甚至导致

系统崩溃。另外，许多病毒包含大量错误，这些错误可能导致系统崩溃和数据丢失。令人欣慰的是，在没有人员操作的情况下，一般的病毒不会自我传播，必须通过某个人共享文件或者发送电子邮件等方式才能将它一起移动。典型的病毒有黑色星期五病毒等。 什么是蠕虫: 蠕虫(worm)也可以算是病毒中的一种，但是它与普通病毒之间有着很大的区别。一般认为:蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合，等等。普通病毒需要传播受感染的驻留文件来进行复制，而蠕虫不使用驻留文件即可在系统之间进行自我复制，普通病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。它能控制计算机上可以传输文件或信息的功能，一旦您的系统感染蠕虫，蠕虫即可自行传播，将自己从一台计算机复制到另一台计算机，更危险的是，它还可大量复制。因而在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪!局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等，都成为蠕虫传播的良好途径，蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。此外，蠕虫会消耗内存或网络带宽，从而可能导致计算机崩溃。而且它的传播不必通过"宿主"程序或文件，因此可潜入您的系统并允许其他人远程控制您的计算机，这也使它的危害

渗透SCADA工控系统过程解析

渗透SCADA工控系统过程解析 背景资料 Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC 监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。传播途径：该病毒主要通过U盘和局域网进行传播。历史“贡献”：曾造成伊朗核电站推迟发电。 2010-09-25，进入中国。 一直以来，2010年发生的Stuxnet案件被安全专家认为是一场有目的性的网络战争，攻击者使用一个精心设计的恶意软件打击在伊朗核工厂内SCADA系统。 尽管在多数情况下，SCADA工控系统扮演着相当重要的角色，但是在黑客眼中他们并不安全。 渗透过程 下面这个SCADA系统是我在互联网上找到的：iLON100 echelon SCADA system. 要进行目标识别，各研究必须被限制在一个特定的IP范围内，在此范围内进行扫描;要辨识出该范围，黑客需要一个ISP实例;

通过分析服务器响应，我们发现有些响应包头中包含WindRiver-WebServer，并且在 WWW-Authentication使用Basic realm-”i.LON”，我们从而选择这些目标。 选中的目标运行echelon Smart server 2.0，这个版本服务器包含一系列0day漏洞并且在一段时间以前刚刚公布了一个。

在一些研究之后，黑客发现了WindRiver防火墙源代码WindRiver firewalls，地址为WindRiver-Firewall-Source. 接下来攻击者就需要对最终目标执行exploit 在公开的报告中我们可以看到，SCADA中许多设备admin控制台被攻击者控制

蠕虫病毒深度解析

蠕虫病毒深度解析 https://www.sodocs.net/doc/862624883.html,日期：2004-11-22 15:44 作者：天极网来源：天极网 1．引言 近年来，蠕虫、病毒的引发的安全事件此起彼伏，且有愈演愈烈之势。从2001年爆发的CodeRed蠕虫、Nimda蠕虫，SQL杀手病毒（SQL SLAMMER蠕虫），到近日肆掠的“冲击波” 蠕虫病毒，无不有蠕虫的影子，并且开始与病毒相结合了。蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统，如果不及时预防，它们就可能会在几天内快速传播、大规模感染网络，对网络安全造成严重危害。看来，蠕虫病毒不再 是黑暗中隐藏的"黑手"，而是已露出凶相的"狼群"。 各类病毒各有特色，大有长江后浪推前浪之势：CodeRed蠕虫侵入系统后留下后门，Nimda一开始就结合了病毒技术，而SQL杀手病毒与“冲击波”病毒有着惊人的相似之处，此次病毒大规模爆发是从装有WINDOWS 2000以上操作系统的计算机，尤其是从网络服务器上向外扩散的，利用微软存在的系统漏洞，不同的是，SQL杀手病毒用“缓存区溢出”进行攻击，病毒传播路径都是内存到内存，不向硬盘上写任何文件。“冲击波”病毒则会发送指令到远程计算机，使其连接被感染的主机，下载并运行Msblast.exe。 由此可见，计算机蠕虫和计算机病毒联系越来越紧密，许多地方把它们混为一谈，然而，二者还是有很大不同的，因此，要真正地认识并对抗它们之前，很有必要对它们进行区分。只有通过对它们之间的区别、不同功能特性的分析，才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素； 可以找出有针对性的有效对抗方案；同时也为对它们的进一步研究奠定初步的理论基础。 2．蠕虫原始定义 蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本特征：“可以从一台计算机移动到另一台计算机”和“可以自我复制”。他们编写蠕虫的目的是做分布式计算的模型试验，在他们的文章中，蠕虫的破坏性和不易控制已初露端倪。1988年Morris 蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”（Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. ）。 3．病毒原始定义 在探讨计算机病毒的定义时，常常追溯到David Gerrold在1972年的发表的科幻小说《When Harlie Was One》，但计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的，“计算机病毒是一种程序，它可以感染其它程序，感染的方式为在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础上演变过来的。” （A program that can infect other programs by modifying them to include a possibly evolved copy of itself.）。1988年Morris蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，将病毒的含义作了进一步的解释。“计算机病毒是一段代码，能把自身加到其它程序包括操作系统上。它不能独立运行，需要由它的宿主程序运行来激活它。”（virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.）。 4．蠕虫/病毒

计算机病毒种类和杀毒软件分析

计算机病毒种类和杀毒软件分析 摘要：随着经济的发展，人民物质文化水平的提高，计算机逐渐融入到人们的生活和工作中，其应用范围遍及各个领域。人们享受这计算机给我们带来生活的各种便利，我们感叹于它的先进、便利、迅速。但是，一个事物的存在总有其不利的一面，技术的发展也促使计算机病毒的异军突起，越来越多的人备受计算机病毒的困扰，新病毒的更新日益加快，如何防范和控制计算机病毒越来越受到重视，许多软件公司也推出了不同类型的杀毒软件。 关键字：计算机、病毒、杀毒软件 计算机病毒一直是计算机用户和安全专家的心腹大患，虽然计算机反病毒技术不断更新和发展，但是仍然不能改变被动滞后的局面，计算机用户必须不断应付计算机新病毒的出现。互联网的普及，更加剧了计算机病毒的泛滥。那么，计算机病毒究竟是什么呢？能让如此多的人备受困扰，下面，我想探讨一下计算机病毒 计算机病毒，是指一种认为编制能够对计算机正常程序的执行或数据文件造成破坏，并能自我复制的一组计算机指令或者程序代码。病毒之所以令如此多的额人惧怕，是因为它具有传染性、隐蔽性、潜伏性、寄生性、破坏性、不可预见性等特征。病毒具有把自身复制到其他程序中的能力，以它或者自我传播或者将感染的文件作为传染源，并借助文件的交换、复制再传播，传染性是计算机病毒的最大特征。病毒一般附着于程序中，当运行该程序时，病毒就乘机执行程序。许多计算机病毒在感染时不会立刻执行病毒程序，它会等一段时间后，等满足相关条件后，才执行病毒程序，所以很多人在感染病毒后都是不知情的，当病毒执行时为时已晚。寄生性是指计算机病毒必须依附于所感染的文件系统中，不能独立存在，它是随着文件系统运行而传染给其他文件系统。任何病毒程序，入侵文件系统后对计算机都会产生不同程度的影响，一些微弱，一些严重。计算机病毒还具有不可预见性，随着技术的提高，计算机病毒也在不断发展，病毒种类千差万别，数量繁多，谁也不会知道下一个虐遍天下的病毒是什么。 尽管计算机病毒种类繁多，按照其大方向还是可以对计算机病毒进行分门别类。 按计算机病毒的链接方式分类可分为： 1)源码型病毒。该病毒主要攻击高级语言编写的程序，这种病毒并不常见，它不是感染可 执行的文件，而是感染源代码，使源代码在编译后具有一定的破坏/传播或者其他能力。 2)嵌入型病毒。该类病毒是将自身嵌入现有程序当中，把计算机病毒的主体程序与其攻击 的对象以插入的方式链接。一旦被这种病毒入侵，程序体就难以消除它了。 3)外壳型病毒。它是将自身包围在程序周围，对原来的程序不作修改。这种病毒最为常见， 最易编写，也最易发现，一般测试文件的大小即可。 4)操作系统病毒。这种病毒在运行时，用自己的逻辑部分取代操作系统的合法程序模块， 破坏力极强，可致系统瘫痪。圆点病毒和大麻病毒就是典型的操作系统病毒 按计算机病毒的破坏性分类 1)良性计算机病毒。良性与恶性是相对而言的，良性并不意味着无害。而良性病毒为了表 现其存在，不停地进行扩散，从一台计算机转移到另一台，并不破坏计算机内部程序，但若其取得控制权后，会导致整个系统运行效率减低，系统可用内存减少，某些程序不能运行。 2)恶性计算机病毒。是指在其代码中含有损伤和破坏计算机系统的操作，在其传染或发作 时会对系统产生直接的破坏作用，这类病毒很多，如米开朗基罗病毒。 按寄生方式和传染途径分类： 1)引导型病毒。指寄生在磁盘引导区或主引导区的计算机病毒。引导型病毒会去改写磁盘 上的一些引导扇区的内容，软盘和硬盘都有可能感染病毒，再不然就改写硬盘上的分区

蠕虫病毒与普通病毒的区别

蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系。一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合，等等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪！根据使用者情况将蠕虫病毒分为两类：一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。在这两类蠕虫中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样，少数利用了微软的应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒造成的损失是非常大的，同时也是很难根除的，比如求职信病毒，在2001年就已经被各大杀毒厂商发现，但直到2002年底依然排在病毒危害排行榜的首位就是证明。 蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等，都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。 木马就是在没有授权的条件下，偷偷运行的程序。 木马与病毒有两点本质的不同： 1、木马不会自动传染，病毒一定会自动传染； 2、木马是窃取资料的，病毒是破坏文件的 简单的木马只能盗取帐号、密码，很多木马可以窃取对方计算机上的全部资料，以达到完全监视完全控制的目的。 蠕虫通常是网络操作系统进行传播，目的是攻击服务器或子网，形成DDos攻击（拒绝服务）。蠕虫会开启多个线程大面积传播，在传播过程中占用宽带资源，从而达到攻击的目的，其实本身对计算机没有太大伤害。 由于蠕虫是通过网络或操作系统漏洞进行感染，所以安装防火墙筛选端口可以有效防止蠕虫的感染和攻击。

蠕虫病毒的检测和防御研究

青岛科技大学 题目 __________________________________ 蠕虫病毒的检测和防御研究 __________________________________ 指导教师__________________________ 学生姓名__________________________ 学生学号__________________________ 院（部）____________________________专业________________班___________________________ ______年 ___月 ___日

青岛科技大学专科毕业设计论文 蠕虫病毒的检测和防御研究 摘要 随着网络技术的发展，蠕虫病毒不断扩大对网络安全构成了严重的威胁，本文基于当前蠕虫攻击破坏的严峻形势，对蠕虫病毒的检测和防御技术进行了研究。首先对蠕虫病毒相关知识作了介绍，包括蠕虫病毒的定义、工作流程以及行为特征，并简要分析了蠕虫病毒国内外研究现状；在此基础上接着研究了蠕虫病毒检测技术，提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术；最后对蠕虫病毒的防御技术进行了研究，从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施，以尽最大可能减少蠕虫的侵害，营造一个良好的网络环境。 关键词：蠕虫病毒；检测；防御；网络安全

蠕虫病毒的检测和防御研究 目录 前言 (1) 1蠕虫病毒相关知识介绍 (2) 1.1蠕虫病毒定义 (2) 1.2蠕虫病毒工作流程和行为特征 (2) 1.3蠕虫病毒国内外研究现状 (4) 2蠕虫病毒检测技术研究 (5) 2.1基于蠕虫特征码的检测技术 (5) 2.2基于蠕虫行为特征的检测技术 (5) 2.3基于蜜罐和蜜网的检测技术 (6) 2.4基于贝叶斯的网络蠕虫检测技术 (6) 3蠕虫病毒防御技术研究 (8) 3.1企业防范蠕虫病毒措施 (8) 3.2个人用户防范蠕虫病毒措施 (9) 4总结 (10) 致谢 (11) 参考文献 (12)

计算机病毒解析与防范

题目：计算机病毒解析与防范

摘要 计算机病毒被喻为21世纪计算机犯罪的五大手段之一,并排序为第二。计算机病毒的攻击性,在于它能够破坏各种程序并蔓延于应用领域。目前世界上上亿用户受着计算机病毒的困扰,有些还陷入极度的恐慌之中。事实上人们产生上述不安的原因,在与对计算机病毒的误解,广大计算机用户有必要对计算机病毒的一些知识有一个比较明确的认识和全面的科学态度。 关键词: 计算机病毒病毒的困扰病毒的误解病毒的认识

目录 1 绪论 (1) 2 计算机病毒的概述 (2) 2.1 计算机病毒的定义 (2) 2.2 计算机病毒的特性 (2) 3 计算机病毒的分类 (4) 3.1 计算机病毒的基本分类 (4) 4 计算机病毒防范和清除的基本原则和技术 (6) 4.1 计算机病毒防范的概念和原则 (6) 4.2 计算机病毒防范基本技术 (6) 4.3 清除计算机病毒的基本方法 (6) 4.4 典型计算机病毒的原理、防范和清除 (6) 5 “熊猫烧香”病毒剖析 (10) 总结 (11) 致谢 (12) 参考文献 (12)

1 绪论 入了信息社会，创造了计算机，计算机虽然给人们的工作和生活带来了便利和效率，然而计算机系统并不安全，计算机病毒就是最不安全的因素之一，它会造成资源和财富的巨大浪费，人们称计算机病毒为“21世纪最大的隐患”，目前由于计算机软件的脆弱性与互联网的开放性，我们将与病毒长期共存。因此，研究计算机病毒及防范措施技术具有重要的意义。

2 计算机病毒的概述 随着社会的不断进步，科学的不断发展，计算机病毒的种类也越来越多， 但终究万变不离其宗！ 2.1 计算机病毒的定义 一般来讲，只要能够引起计算机故障，或者能够破坏计算机中的资源的 代码，统称为计算机病毒。而在我国也通过条例的形式给计算机病毒下了一 个具有法律性、权威性的定义：“计算机病毒，是指编制或者在计算机程序 中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的 一组计算机指令或者程序代码。”这就是计算机病毒。 2.2 计算机病毒的特性 2.2.1 隐藏性与潜伏性 计算机病毒是一种具有很高编程技巧、短精悍的可执行程序。它通常内 附在正常的程序中，用户启动程序同时也打开了病毒程序。计算机病毒程序 经运行取得系统控制权，可以在不到1秒钟的时间里传染几百个程序。而 且在传染操作成后，计算机系统仍能运行，被感染的程序仍能执行，这就是 计机病毒传染的隐蔽性……计算机病毒的潜伏性则是指，某些编制巧的计算 机病毒程序，进入系统之后可以在几周或者几个月甚至年内隐藏在合法文件中，对其它系统文件进行传染，而不被人发现。 2.2.2 传染性 计算机病毒可通过各种渠道(磁盘、共享目录、邮件)从已被感染的计算机扩散到其他机器上，感染其它用户．在某情况下导致计算机工作失常。 2.2.3 表现性和破坏性 任何计算机病毒都会对机器产生一定程的影响，轻者占用系统资源，导致系统运行速度大幅降低．重者除文件和数据，导致系统崩溃。 2.2.4 可触发性病毒 具有预定的触发条件，可能是时间、日期、文类型或某些特定数据等。一旦满足触发条件，便启动感染或破坏作，使病毒进行感染或攻击；如不满足，继续潜伏。有些病毒针对特定的操作系统或特定的计算机。