当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 实例解析蠕虫病毒的原理

杀毒防毒
瑞星卡卡上网助手6.2版彻底解决IE首页遭恶意篡改问题
新版瑞星卡卡上网助手傻瓜式的系统修复
金山卫士V1.0系统安全工具功能试用
木马下载器新变种出现秘密截获系统信息

杀毒防毒 中的 实例解析蠕虫病毒的原理


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 172 ::
收藏到网摘: n/a

如今对大家的电脑威胁最大的就属网络蠕虫病毒了!网络蠕虫病毒的危害之大简直令人吃惊,从大名鼎鼎的“爱虫”到“欢乐时光”,再到“红色代码”,其破坏力越来越强,因此我们有必要了解网络蠕虫病毒。

蠕虫病毒与一般的计算机病毒不同,它不采用将自身拷贝附加到其他程序中的方式来复制自己,所以在病毒中它也算是一个“另类”。蠕虫病毒的破坏性很强,部分蠕虫病毒不仅可以在因特网上兴风作浪,局域网也成了它们“施展身手”的舞台――蠕虫病毒可以潜伏在基于客户机/服务机模式的局域网的服务机上的软件内,当客户机访问服务机,并对有毒的软件实施下载后,病毒就神不知、鬼不觉地从服务机上“拷贝”到客户机上了。

其实脚本病毒是很容易制造的,它们都利用了视窗系统的开放性的特点。特别是COM到COM+的组件编程思路,一个脚本程序能调用功能更大的组件来完成自己的功能。以VB脚本病毒(如欢乐时光、 I Love You 、库尔尼科娃病毒、Homepage病毒等)为例,他们都是把.vbs脚本文件添在附件中,最后使用*.htm.vbs等欺骗性的文件名。下面我们详细了解一下蠕虫病毒的几大特性,从中找到对付蠕虫病毒的方法。

一、蠕虫病毒具有自我复制能力

我们以普通的VB脚本为例来看看:

就可以将自身复制到C盘virus.vbs这个文件。本句前面是打开这个脚本文件,WScript.ScriptFullName指明是这个程序本身,是一个完整的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复制到C盘根目录下virus.vbs这个文件。这么简单的两句就实现了自我复制的功能,已经具备病毒的基本特征――自我复制能力。

二、蠕虫病毒具有很强的传播性

病毒需要传播,电子邮件病毒的传播无疑是通过电子邮件传播的。对于OutLook来说地址簿的功能相当不错,可是也给病毒的传播打开了方便之门。几乎所有通过OutLook传播的电子邮件病毒都是向地址簿中存储的电子邮件地址发送内同相同的脚本附件完成的。看看如下的代码:


这一小段代码的功能是向地址簿中的用户发送电子邮件,并将自己作为附件扩散出去。这段代码中的第一行是创建一个Outlook的对象,是必不可少的。在其下是一个循环,在循环中不断地向地址簿中的电子邮件地址发送内容相同的信件。蠕虫病毒就是这样进行传播的。

三、蠕虫病毒具有一定的潜伏性

要使病毒潜伏,对于“脚本”语言并不是很难的一件事,因为这种语言并不是面向对象的可视化编程,自然就不存在窗体,所以可以免去隐藏窗体的麻烦。从I love you病毒中,很容易看出蠕虫病毒在潜伏时的特点,它们多数是修改注册表等信息以判断各种条件及取消一些限制。以下是从I love you病毒中提取出的部分代码:

On Error Resume Next

四、蠕虫病毒具有特定的触发性

在这里我们以时间触发为例,使用一个很简单的判断程序,来判断时间到了没有,如果有就开始执行代码。好,我们看看程序:

x=time ()

if x=xx.xx.xx then

…………

end if

就这么简单一个程序,就可以实现特定条件触发事件的目的。当然了,病毒制作者还可以通过监视运行某个程序而触发事件,也可以响应键盘触发事件等等。

五、蠕虫病毒具有很大的破坏性

蠕虫病毒的破坏性大家都有所了解吧?我们以著名的蠕虫病毒Jessica Worm中的部分破坏代码为例来加以分析说明:

如果以前你没有亲身体验到蠕虫病毒的厉害,那么从这个小例子中,你应该知道蠕虫病毒的厉害了吧?

六、反击蠕虫病毒

我们已经了解网络蠕虫病毒的构造,现在可以逐个击破网络蠕虫病毒几大功能模块。使网络蠕虫病毒不能这么横行无忌的破坏我们的电脑及盗窃我们的资料。

1.首先我们应该先看看如何破解病毒的破坏力最强的功能模块――病毒的破坏性。

网络蠕虫病毒不可能像传统病毒一样调用汇编程序来实现破坏功能。它只能通过调用已经编译好的带有破坏性的程序来实现这一功能。那么我们就把本地的带有破坏性的程序改名字,比如把format.com改成fmt.com,那样病毒的编辑者就无发实现用调用本地命令来实现这一功能。(这方法简单易行并不影响电脑的正常使用,但也有其不足的地方,我们会在下文中会对其不足进行说明。)

2.我们再看看如何破解病毒的潜伏性及触发性功能模块。

它是通过死循环语句完成的,且一开机就运行这程序,等待触发条件。用Ctrl+Alt+Del弹出关闭程序对话框方可看见一个叫Wscript.exe的程序在后台运