《無敵破壞王2》之蠕蟲病毒丨專欄

一、從《無敵破壞王2》說起

小白：大東東，上周咱們關於《流浪地球》的文章發布以後大受好評呢～

大東：哈哈，其實還有不少電影裡都涉及了網絡安全的內容，比如碟中諜系列、速度與激情系列、007系列電影都是由網絡安全技術作為故事的技術內核。

小白：哇，因吹斯汀～大東東能都給我講講麼！

大東：當然沒問題，咱就從一部淺顯易懂的電影——《無敵破壞王2：大鬧網際網路》說起。

 

《無敵破壞王2》宣傳照（圖片來自網絡）

小白：這部我看過～迪士尼的想像力真不是蓋的，網際網路背後複雜的架構和技術，我竟然都看懂了呢！

大東：確實是部有趣的電影，不管是從遊戲機時代到WiFi網際網路時代的夢幻過渡，還是網絡協議、路由器、中繼站之間連接和交互，甚至推薦系統算法，都解釋得簡單明了。

小白：不過最後大boss長得太噁心了，看得我都犯密集恐懼症了。

大東：那你知道大boss屬於哪種計算機病毒麼？

小白：emm……求大東東賜教！

二、活躍的小蟲子

大東：來，我們一起來看看影片中的設定。

小白：前排小板凳就緒～

大東：這個病毒能自動掃描程序的漏洞，並不斷複製，一旦發現其他目標，又能迅速擴散，非常活躍。

小白：難道是……蠕蟲病毒？

大東：沒錯，看來咱小白還是有經驗的。

小白：嘻嘻。

大東：其實熟悉網絡安全的朋友應該能很快看出，這其實就是一種典型的蠕蟲病毒。很早的時候，當蠕蟲病毒在計算機上發作時，屏幕上會出現一條類似蟲子的東西，胡亂吞吃屏幕上的字母並將其改形，所以稱之為蠕蟲病毒。

小白：哈哈，那還真挺形象的呢。

大東：這種病毒會利用網絡進行複製和傳播，現實生活中有不少著名案例，比如第一個蠕蟲病毒「莫裡斯」，擴散於早期 Windows 系統的「衝擊波」病毒，還有當年在中國「紅」極一時的熊貓燒香，都屬於蠕蟲病毒。

 

蠕蟲病毒複製的漏洞匯集在一起（圖片來源：電影截圖）

三、網絡蠕蟲

小白：那大東東仔細給我講講蠕蟲病毒唄～

大東：網絡蠕蟲是無須計算機使用者幹預即可運行的獨立程序，它通過不停地獲得網絡中存在漏洞的計算機上的部分或全部控制權來進行傳播。

小白：一旦程序有啥小漏洞都有可能被放大啊。

大東：蠕蟲與普通病毒的最大不同就是在於它不需要人為幹預，且能夠自主不斷地複製和傳播。

 

網絡蠕蟲（圖片來自網絡）

小白：具體是怎麼工作的呢？

大東：蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現場處理四個階段。當蠕蟲程序掃描到有漏洞的計算機系統後，將蠕蟲主體遷移到目標主機。然後，蠕蟲程序進入被感染的系統，對目標主機進行現場處理。

小白：現場處理？

大東：現場處理部分的工作包括：隱藏、信息搜集等。不同的蠕蟲採取的IP生成策略可能並不相同，甚至隨機生成。各個步驟的繁簡程度也不同，有的十分複雜，有的則非常簡單。

小白：我知道了，蠕蟲的行為特徵就是自我繁殖、自動利用軟體漏洞。

大東：沒錯，這將會造成網絡擁塞，消耗系統資源，留下安全隱患。

四、熊貓燒香

小白：聽起來好可怕呀，真的爆發了蠕蟲病毒可就慘了！

大東：不知道小白這個年紀有沒有聽說過「熊貓燒香」？

小白：好像隱隱約約覺得耳熟呢。

大東：在2006年末，「熊貓燒香」事件轟動全國，「熊貓燒香」正是一種典型的蠕蟲病毒。

小白：哇，大東東快講講。

大東：熊貓燒香之所以如此轟動，是因為這是一個看得見的病毒——它會感染磁碟所有EXE文件，每個被感染的EXE都有典型的圖標熊貓舉著三根香的模樣，場面頗為震撼。 

熊貓燒香圖標（圖片來自網絡）

小白：如此高調的病毒啊！

大東：病毒的作者及其朋友被抓到時，全部非法所得不過幾十萬元，但該病毒感染傳播快速，嚴重時導致網絡癱瘓，國內民眾第一次對計算機病毒的危害有了真實的感受。因此成為病毒史上經典的案例，對未來國內網際網路網絡安全發展具有推動作用。

小白：還有推動作用呀？

大東：繼熊貓燒香之後，普通網民們驚嘆電腦病毒威力之大，殺毒軟體開始不斷完善殺毒軟體算法。基本可以說，有了「熊貓燒香」，才有了中國網際網路網民的安全意識。並且，這一事件對推進司法解釋，促進對網際網路犯罪的「有罪認定」，意義深遠。

小白：吃一塹長一智嘛～

五、殺蟲劑

小白：那麼，有沒有什麼辦法能提前檢測蠕蟲呢？

大東：目前國內並沒有專門的蠕蟲檢測和防禦系統，傳統的主機防病毒系統並不能對未知的蠕蟲進行檢測，只能被動地對已發現的特徵的蠕蟲進行檢測。而且目前市場上的入侵檢測產品，對蠕蟲的檢測也多半是基於特徵，所以我們利用入侵檢測系統提供的異常檢測功能，通過發現網絡中的異常，來對蠕蟲的傳染進行控制。

小白：雖然聽起來有些事後諸葛的嫌疑，但只要發現及時，咱還是能大大減少蠕蟲造成的損失的！

大東：一旦發現蠕蟲，要在儘量短的時間內對其進行響應。

小白：那該怎麼做呢？

大東：首先產生報警時，通知管理員，並通過防火牆、路由器、或者HIDS的互動將感染了蠕蟲的主機隔離。然後對蠕蟲進行分析，進一步制定檢測策略，儘早對整個系統存在的不安全隱患進行修補，防止蠕蟲再次傳染，並對感染了蠕蟲的主機進行蠕蟲的刪除工作。

小白：把病毒鎖死，不讓他亂跑！

大東：最最重要的還是安全意識，不要因為好奇而造成禍患。網絡千萬條，安全第一條……

小白：知道了知道了，絕不瀏覽暗網和不良站點！

來源：中國科學院計算技術研究所

溫馨提示：近期，微信公眾號信息流改版。每個用戶可以設置 常讀訂閱號，這些訂閱號將以大卡片的形式展示。因此，如果不想錯過「中科院之聲」的文章，你一定要進行以下操作：進入「中科院之聲」公眾號 → 點擊右上角的 ··· 菜單 → 選擇「設為星標」