（技术分析）蠕虫病毒的传播方式以及注意事项！

1，背景介绍

蠕虫病毒是一种通过网路传播的恶意病毒，出现的时间晚于木马及宏病毒，但其传播速率最快，传播范围最广。其传播主要彰显在以下两个方面： #

（1），系统漏洞 #

（2），电子电邮

蠕虫病毒采用的是互联网复制传播而不是插入PE格式文件

2，蠕虫的基本程序结构

传播模块：主要负责蠕虫病毒的传播。 #

隐藏模块：病毒侵入主机后，隐藏在计算机之中的程序，避免被用户和杀毒软件发觉。 #

目的功能模块：主要功能是实现对计算机的控制，监视和破坏等功能。

#

3，蠕虫程序的通常传播过程 #

传播模块：可分为三个基本模块：1：扫描模块2：功击模块3：复制模块 #

（1）扫描模块：主要功能是负责侦测存在漏洞的主机。当蠕虫程序向某一台计算机发送侦测漏洞的信息并收到成功的反馈信息以后，就得到了一个可以传播的对象。 #

（2）功击模块：功击模块按扫描过程在找到的对象，取得该计算机的权限（通常为管理员权限），获得一个shell。

#

（3）复制模块：复制模块通过原计算机和一台新计算机的交互将蠕虫程序复制到新计算机并启动。 #

4，蠕虫病毒的传播形式

（1）借助系统漏洞 #

系统漏洞蠕虫通常具备一个大型的溢出系统，它随机形成IP并尝试溢出，之后将自身复制过去。网路中的顾客端感染这一类病毒后，会不断手动拔号上网，并借助文件中的地址或则网路共享传播，进而引起网路服务受到拒绝并发生死锁，最终破坏数据。 #

（2）MIME（多用途的网际电邮扩展合同） #

它似乎只是一小段拿来描述信息类型的数据。浏览器通过读取它来获知接收到的数据该如何处理，若果是文本和图片就显示下来，是程序就弹出下载确认，是音乐就直接播放。音乐文件和程序文件都是一样的二补码数据，都须要解码还原数据到系统临时目录里，之后浏览器通过一个简单的文件后缀名判定来决定该用哪种方式处理它。 #

MIME举例：

#

如用户收到一个MP3文件，MIME把它描述成音乐文件，所以浏览器解码保存这个文件到一个临时目录，而后查找调用这个文件后缀MP3对应的执行程序，这就是一次完整的工作过程；而且假如功击者给用户发送一个带有EXE后缀可执行文件的短信蠕虫病毒属于，并把它的MIME描述为音乐文件，这时调用一个能打开它的应用程序，于是这个文件就被顺利执行了，用户的机器也开始受到到破坏。正由于这样，短信蠕虫才成了现在世界“虫害”的主要来源。

#

包含蠕虫的短信---错误的MIME颈部---解出的蠕虫程序---感染机器

#

靠电邮传播的蠕虫主要有SoBig，，求职信等。 #

（3）网页代码

是一段用于往网页里倒入一个小页面的HTML的句子，它拿来实现“框架”结构。向一个页面里倒入多个时，框架里恳求运行程序的代码都会被执行，因为的规格可以自由设置，因而破坏者可以在一个页面里倒入多个“看不见”的框架，并附送多个“看不见”的有害程序，浏览了那种网页的人自然都会成为被害者！ #

5，蠕虫病毒传播机房应当怎样防范 #

（1）蠕虫病是一种不须要任何人工干预就可以自己传播的恶意软件，这就意味着用户无需打开软件、点击链接就可以被感染，一般病毒都是寄寓在个别软件、网页中，这就须要用户打开这种被感染的软件或则是链接，并且蠕虫病毒完全不用。 #

（2）传统机房的日志或则行为记录工具是难以测量到蠕虫感染的，也就是说光从日志文件中是看不出有无蠕虫功击，虽然更新系统补丁在一定程度上可以防御蠕虫感染，但若果是新型蠕虫病毒，病毒中使用了0Day漏洞，这么更新系统的补丁将会是没有作用的。 #

（3）机房通常会有多条线路联接到营运商，这样才会有多个网路节点，而每位节点都可能成为恶意软件入侵的接入点。假如机房公开联接的设备或则是软件，这么这种设备和软件极有可能会被已借助，病毒会迅速入侵并发觉机房的漏洞，包括数据中心基础设施管理平台的缺点。

#

（4）假如蠕虫病毒侵入机房，这么他可以在机房的环境中快速的传播，其后果是网路被分割、访问受限、数据被锁定，同时他会通过机房的出口节点向外漫延。 #

（5）其实，机房在这方面的防御是十分充足的。而企业站作为机房面向的最大顾客，因为企业水平不同，企业网路管理人员的水平的良莠不齐，从企业站掀开一个入口侵入机房成为了黑客的常用手法，一般企业可以通过禁用SMBv1，会降低被蠕虫病毒感染的机会。

（6）假如机房真的遭到了蠕虫病毒的入侵，葵芳IDC提醒你们不用担忧。一般机房会将服务器上的所有文件进行加密，当蠕虫病毒真的进到机房中，也只能读取到加密的数据，同时通过一些安全工具蠕虫病毒属于，致使蠕虫病毒不能读取到服务器显存的进程和更多的信息。

#