(一)网络蠕虫
(1)定义:是一种具有自我复制和传播能力、可独立自动运行的恶意程序。综合了黑客技术和病毒技术,通过利用系统中存在漏洞的节点主机,将蠕虫自身从一个节点传播到另一个节点
(2)典型:1988年“小莫里斯”蠕虫事件成为网络蠕虫攻击先例
(二)网络蠕虫模块
模块 | 说明 | 备注 | |
1 | 探测模块 | 完成对特定主机脆弱性检测,决定采用何种攻击渗透方式 | 利用获得的安全漏洞建立传播途径,在攻击方法上是开放的、可扩充的 |
2 | 传播模块 | 采用各种形式生成各种形态的蠕虫副本,在不同主机间完成副本传递 | 如Nimda会生成多种文件格式和名称的蠕虫副本; Worm.KillMsBlast利用系统程序(如tftp)来完成推进模块功能等 |
3 | 引擎模块 | 决定采用何种搜索算法对本地或目标网络进行信息搜集 | 信息可单独使用或被其他个体共享 |
4 | 负载模块 | 网络蠕虫内部实现伪代码 |
(三)网络蠕虫运行机制
阶段 | 说明 | |
1 | 第一阶段 | 已感染蠕虫的主机在网络上搜索易感染目标主机(存在可利用漏洞)。搜索效果取决于所选择的传播方法,以最少资源找到易传染主机,在短时间内扩大传播区域 |
2 | 第二阶段 | 已感染主机把蠕虫代码传送到易感染目标主机上 传输方式:电子邮件、共享文件、网页浏览、缓冲区溢出程序、远程命令拷贝、文件传输等 |
3 | 第三阶段 | 易感染目标主机执行蠕虫代码,感染目标主机系统。目标主机感染后,又开始第一阶段工作,寻找下一个易感目标主机,重复第二、第三阶段工作,直至蠕虫从主机系统被清除掉 |
(四)网络蠕虫分类
分类 | 典型 | |
1 | 漏洞利用类蠕虫 | 红色代码(CodeRed)、尼姆达(Nimda)、蠕虫王(Slammer)、冲击波(MSBlaster)、震荡波(Sasser)、极速波(Zoob)、魔波(Mocbot)、扫荡波(saodangbao)、飞客(conficker)、震网(Stuxnet) |
2 | 口令破解类蠕虫 | |
3 | 电子邮件类蠕虫 | |
4 | P2P类蠕虫 |