Worm virus
计算机病毒
传播方式：
利用网络进行复制和传播
传染途径：
网络和电子邮件
自包含的程序
简介/蠕虫病毒
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意，与一般不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。
比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种，2007年1月流行的“烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞，感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。
形成原因/蠕虫病毒
漏洞攻击蠕虫病毒利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”，以及依然肆虐的“求职信”等。由于IE的漏洞（IFRAMEEXECCOMMAND），使得感染了“尼姆亚”病毒的在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。方式多样如“尼姆亚”病毒和”求职信”，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。技术新与传统的病毒不同的是，许多新是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒的搜索。另外，新病毒利用Java、ActiveX、VBScript等技术，可以潜伏在HTML页面里，在上网浏览时触发。黑客技术蠕虫病毒与技术相结合，潜在的威胁和损失更大以红色代码为例，感染后的机器的web目录的\scripts下将生成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入。蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞，这里的漏洞或者说是缺陷，可以分为两种，即软件上的缺陷和人为的缺陷。软件上的缺陷，如远程溢出、IE和Outlook的自动执行漏洞等等，需要软件和用户共同配合，不断地升级软件。而人为的缺陷，主要指的是计算机用户的疏忽。这就是所谓的社会工程学（socialengineering），当收到一封邮件带着病毒的求职信邮件时候，大多数人都会抱着好奇去点击的。对于企业用户来说，威胁主要集中在服务器和大型应用软件的安全上，而对个人用户而言，主要是防范第二种缺陷。
在以上分析的蠕虫病毒中，只对安装了特定的组件的系统进行攻击，而对广大个人用户而言，是不会安装IIS（微软的因特网服务器程序，可以允许在网上提供web服务）或者是庞大的系统的。因此，上述病毒并不会直接攻击个人用户的电脑（当然能够间接的通过网络产生影响）。但接下来分析的，则是对个人用户威胁最大，同时也是最难以根除，造成的损失也更大的一类蠕虫病毒。对于个人用户而言，威胁大的蠕虫病毒采取的传播方式，一般为电子邮件（Email）以及恶意等等。&对于利用电子邮件传播的蠕虫病毒来说，通常利用的是各种各样的欺骗手段诱惑用户点击的方式进行传播。恶意网页确切地讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂，所以会被很多怀不良企图者利用，在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛，并提供破坏程序代码下载，从而造成了恶意网页的大面积泛滥，也使越来越多的用户遭受损失。对于恶意网页，常常采取vbscript和javascript编程的形式，由于编程方式十分的简单，所以在网上非常的流行。
Vbscript是由操作系统的wsh（WindowsScriptingHostWindows脚本主机）解析并执行的，由于其编程非常简单，所以此类脚本病毒在网上疯狂传播，疯狂一时的爱虫病毒就是一种vbs脚本，然后伪装成邮件附件诱惑用户点击运行。更为可怕的是，这样的病毒是以源代码的形式出现的，只要懂得一点关于脚本编程的人就可以修改其代码，形成各种各样的变种。
QQ群蠕虫病毒/蠕虫病毒
是一种利用群共享漏洞传播流氓软件和劫持IE主页的恶意程序，QQ群用户一旦感染了该蠕虫病毒，便会向其他QQ群内上传该病毒。2013年4月，“QQ群蠕虫病毒”第三代变种伪装成“刷钻软件”大量传播，每天中毒的电脑达到2-3万台，通过电脑管家、等安全厂商的联合打击，第三代QQ群蠕虫基本已经在上销声匿迹。腾讯电脑管家云安全检测中心发布消息，发现“QQ群蠕虫病毒”第四代伪装成“视频偷窥软件”正大肆传播，某安全软件以对此病毒发布橙色预警并进行查杀。
安全软件专家介绍，&“QQ群蠕虫病毒”第四代多以“XX视频助手.exe&”或&“XX视频偷看神器.exe”为伪装，由于文件名极具诱惑性，吸引了大量网民点击。
如果网民信以为真，双击运行，蠕虫就会劫持网民的QQ，把推广消息转发到QQ群共享和空间说说，甚至发送邮件给好友。&该病毒的最终目的是在中毒电脑上安装一大堆流氓软件以牟取暴利。
“QQ群蠕虫病毒”第四代利用大众猎奇心理，将病毒程序改名为偷窥管家，以欺骗点击。已知的病毒传播渠道除了QQ群、电子等常见载体外，还在视频网站上也做了一系列的“教程”视频以诱导网民强行下载使用。
比较异同/蠕虫病毒
蠕虫也是一种，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，windows下可执行文件的格式为pe格式(Portable&Executable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。
随着和病毒编写技术的发展，综合利用多种途径的蠕虫也越来越多，比如有的蠕虫病毒就是通过电子邮件传播，同时利用系统漏洞侵入用户系统。还有的病毒会同时通过邮件、聊天等多种渠道传播。
熊猫烧香/蠕虫病毒
熊猫烧香蠕虫病毒病毒名称：烧香
Worm.WhBoy.（金山称），Worm.Nimaya.&（瑞星称）
病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”
危险级别：★★★★★
病毒类型：蠕虫病毒，能够终止大量的反软件和防火墙软件进程。
影响系统：Win&9x/ME、Win&2000/NT、Win&XP、Win&2003&、Win&Vista
发现时间：日
来源地：中国东湖高新技术开发区关山
“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。
金山分析：这是一个感染型的蠕虫，它能感染系统中exe,com,pif,src,html,asp等文件，它还能中止大量的反病毒软件进程
病毒运行后，会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2添加注册表自启动会添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare&-&&C:\WINDOWS\System32\Drivers\spoclsv.exe
a：每隔1秒
寻找桌面窗口，并关闭窗口标题中含有以下字符的程序
木马清道夫
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec&AntiVirus
esteem&proces
噬菌体辅助查找器
System&Safety&Monitor
Wrapped&gift&Killer
Winsock&Expert木马检测大师
msctls_statusbar32
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare&-&&C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程：
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b：每隔18秒
点击病毒作者指定的网页，并用命令行检查系统中是否存在共享
共享存在的话就运行net&share命令关闭admin$共享
c：每隔10秒
下载作者指定的文件，并用命令行检查系统中是否存在共享
共享存在的话就运行net&share命令关闭admin$共享
d：每隔6秒
删除安全软件在注册表中的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KAVPersonal50
McAfeeUpdaterUI
Network&Associates&Error&Reporting&Service
ShStartEXE
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue&-&&0x00
删除以下服务：
Symantec&Core&LC
MskService
e：感染文件会感染扩展名为exe,pif,com,src的文件，把自己附加到文件的头部
并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址，
用户一但打开了该文件，就会不断的在后台点击写入的网址，达到
增加点击量的目的，但病毒不会感染以下文件夹名中的文件：
System&Volume&Information
Windows&NT
WindowsUpdate
Windows&Media&Player
Outlook&Express
Internet&Explorer
NetMeeting
Common&Files
ComPlus&Applications
InstallShield&Installation&Information
Microsoft&Frontpage
Movie&Maker
MSN&Gamin&Zone
g：删除文件
病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.
瑞星最新病毒分析报告：“Nimaya（熊猫烧香）”
这是一个传染型的DownLoad&使用Delphi编写传播途径蠕虫病毒蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传&播的良好途径。的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!本文中将蠕虫分为针对企业网络和个人用户2类，并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施。防止系统漏洞类蠕虫病毒的侵害，最好的办法是打好相应的系统补丁，可以应用瑞星的“漏洞扫描”工具，这款工具可以引导用户打好补丁并进行相应的安全设置，彻底杜绝病毒的感染。&通过电子邮件传播，是病毒作者青睐的方式之一，像“恶鹰”、“网络天空”等都是危害巨大的蠕虫病毒。这样的病毒往往会频繁大量的出现变种，用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。防范措施&蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，防范蠕虫的最好办法&，就是提高自己的安全意识，不要轻易打开带有附件的电子邮件。另外，可以启用瑞星的“邮件发送监控”和“邮件接收监控”功能，也可以提高自己对病毒邮件的防护能力。
从2004年起，MSN&、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。“性感烤鸡”就通过MSN软件传播，在很短时间内席卷全球，一度造成中国大陆地区部分网络运行异常。蠕虫病毒对于普通用户来讲，防范聊天的主要措施之一，就是提高安全防范意识，对于通过聊天软件发送的任何文件，都要经过好友确认后再运行；不要随意点击聊天软件发送的链接。
病毒并不是非常可怕的，蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用漏洞！所以防范此类病毒需要注意以下几点：
1、选购合适的杀毒软件。网络的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须向内存实时监控和邮件实时监控发展！另外，面对防不胜防的网页病毒，也使得用户对杀毒软件的要求越来越高！
2、经常升级病毒库，杀毒软件对的查杀是以病毒的特征码为依据的，而病毒每天都层出不穷，尤其是在时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒。3、提高防杀毒意识。不要轻易去点击陌生的站点，有可能里面就含有恶意代码！
当运行IE时，点击“工具→Internet选项→安全→&Internet区域的安全级别”，把安全级别由“中”改为“高”&。因为这一类主要是含有恶意代码的ActiveX或Applet、&JavaScript的网页文件&，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止，就可以大大减少被网页恶意代码感染的几率。具体方案是：在IE窗口中点击“工具”→“Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。
4、不随意查看陌生邮件，尤其是带有附件的。由于有的邮件能够利用ie和outlook的漏洞自动执行，所以计算机用户需要升级ie和outlook程序，及常用的其他应用程序。
最新蠕虫病毒“蒙面客”被发现，可泄漏用户隐私
造成损失/蠕虫病毒
1988年一个由CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络;而后来的红色代码，尼姆达病毒疯狂的时候，造成几十亿美元的损失；北京时间日，一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球，致使互联网网路严重堵塞，作为主要基础的域名服务器（DNS）的瘫痪造成网民浏览网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障!专家估计，此病毒造成的直接经济损失至少在12亿美元以上!名称初始出现日期造成损失
莫里斯蠕虫1988年&6000多台计算机停机，直接损失达9600万美元！
美丽杀手1999年&政府部门和一些大公司紧急关闭了服务器，经济损失超过12亿美元！
爱虫病毒2000年5月至今&众多用户电脑被感染，损失超过100亿美元以上
红色代码2001年7月&网络瘫痪，直接损失很大
求职信2001年12月至今&大量病毒邮件堵塞服务器，损失达数百亿美元
Sql蠕虫王2003年1月&大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元
2号病毒2012年3月&某公司内部网络大面积瘫痪，公司紧急关闭网络服务器，直接经济损失无法估算，大量内部机密文件丢失外漏。
最新变种/蠕虫病毒
国家病毒应急处理中心通过对互联网的监测发现，2013年3月，蠕虫病毒Worm_Vobfus及其变种出现，提醒用户小心谨防。
专家说，该蠕虫及其变种利用社会工程学通过社交进行传播，诱骗计算机用户点击下载从而感染操作系，还会通过加入垃圾代码和修改代码来不断生成新的变种。
当计算机用户访问恶意时，该蠕虫及其变种会通过可移动设备传播感染操作系统。一旦感染操作系统，该蠕虫及其变种会进行如下恶意行为：
1、在所有可移动设备上释放自身副本。这些副本名字会使用受感染操作系统上的文件夹和文件，其扩展名分别：avi、bmp、doc、gif、txt、exe等等；
2、隐藏上面列举类型的原始文件和文件夹，致使用户将病毒文件误认为正常文件而点击；
3、释放一个自启动配置文件，文件名：autorun.inf，当可移动设备安装成功后，自动运行恶意文件；
4、部分变种会利用快捷方式漏洞MS10——046自动运行恶意文件，其扩展名分别是.lnk和.dll　；
5、蠕虫变种会连接恶意Web站点，下载并执行恶意软件；
6、某些变种会连接络中指定的服务器，从而与一个远程恶意攻击者进行互联通讯。防范措施对已经感染该蠕虫及其变种的计算机用户，建议立即升级系统中的防病毒软件，进行全面杀毒。未感染的用户建议打开系统中防软件的“系统监控”功能，从注册表、系统进程、内存、等多方面对各种操作进行主动防御。&
万方数据期刊论文
计算机工程
万方数据期刊论文
湖南大学学报（自然科学版）
万方数据期刊论文
&|&相关影像
互动百科的词条（含所附图片）系由网友上传，如果涉嫌侵权，请与客服联系，我们将按照法律之相关规定及时进行处理。未经许可，禁止商业网站等复制、抓取本站内容；合理使用者，请注明来源于。
登录后使用互动百科的服务，将会得到个性化的提示和帮助，还有机会和专业认证智愿者沟通。
此词条还可添加&
编辑次数：18次
参与编辑人数：9位
最近更新时间： 22:23:02
贡献光荣榜扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
复杂网络中的蠕虫病毒传播机制模拟
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口网络蠕虫病毒的检测与防治
& 作者：风未起时 & 来源：中国站长学院中国站长学院 & 浏览：3502 & 评论：
3．SIR传播模型 　　3.1. 蠕虫的工作方式　　通过前面的分析，可以把蠕虫的工作方式归纳如下：　　1） 随机产生一个IP 地址；　　2） 判断对应此IP 地址的机器是否可被感染；　　3） 如果可被感染，则感染之。　　4） 重复1～3 共m 次，m 为蠕虫产生的繁殖副本数量。　　3.2 SIR传播模型　　在传统的对计算机病毒的传播机制研究中，常常借用已有的传染病数学模型，但由于计算机病毒的攻击对象是文件系统，所以传统计算机病毒研究中把计算机作为传播个体并不合适。同计算机病毒不同，Internet 蠕虫具有主动攻击特征，不需要计算机使用者的参与，并且蠕虫的攻击对象是计算机系统，这两个条件正好同传染病模型的假设条件相符。在蠕虫的SIR模型中，假设在一台主机内蠕虫传播经过了如下的三个步骤：　　Susceptible -〉Infective –〉Recovered　　主机存在漏洞->主机被感染->漏洞被修复，蠕虫被清除。　　根据此模型产生的蠕虫在网络上的传播速度图如图3所示。蠕虫的传播经历了开始的缓慢传播，接下来的快速传播和最后的缓慢消失三个阶段。因此能否在蠕虫的缓慢传播阶段实现对蠕虫的检测和防治成为有效防治蠕虫的关键。 图 3蠕虫的传播模型　　4．蠕虫的检测与防治　　由以上的分析可知，尽早的发现蠕虫并对感染蠕虫的主机进行隔离和恢复，是防止蠕虫泛滥，造成重大损失的关键。　　4.1蠕虫的检测　　4.1.1 蠕虫监测和防护现状　　目前国内并没有专门的蠕虫检测和防御系统，传统的主机防病毒系统并不能对未知的蠕虫进行检测，只能被动的对已发现的特征的蠕虫进行检测。而目前市场上的入侵检测产品，对蠕虫的检测也多半的基于特征，同时ids提供的异常检测功能，虽然可以发现网络中的异常，但是也没有更好的办法对蠕虫的传染进行控制，减少蠕虫造成的损失。　　4.1.2 网威VDS（Virus Detect System）的蠕虫检测方法　　中科网威的VDS产品针对病毒查杀软件和目前NIDS存在的不足，在检测和互动方面使用了多种技术，达到对蠕虫的检测和控制的目的。下面先说一下对中科网威对未知蠕虫的检测技术。
顶一下(54)
网友评论&&
请自觉遵守互联网相关政策法规，评论内容只代表网友观点，与本站立场无关！
关注新云安卓游戏网网络 蠕虫病毒 变种传播
网络 蠕虫病毒 变种传播
.cn 日12:08 沈阳今报
　　记者金超 今报讯 昨天记者了解到，恶性蠕虫“小邮差”最新变种（Worm．Mimail．C／D／E／F／G／H）日前在国内被发现，有关人士提醒网络用户严加防范。
　　据某软件公司反病毒工程师介绍，该蠕虫病毒继承了原版本发送邮件功能，利用自带的邮件服务器疯狂发送带毒邮件，邮件主题多以回复的形式，冒充黄色网站发送的邮件，引诱用户打开附件，病毒激活后会随机发起DOS（拒绝服务式攻击），大量浪费网络资源。有关
专家表示，广大网络用户应提高警惕，不要打开陌生人的邮件，同时立即升级杀毒软件。
】【】【】
新 闻 查 询
陕西群英大“惠”萃！
每日2条，28元/月
--普通图片铃声，5元包月随意下载随心换.　
--彩图和弦铃声，10元包月下载，时尚又精彩
超级精彩爆笑无比
每日2条，30元/月
　电话：010-　　　欢迎批评指正
Copyright & 1996 - 2002 SINA Inc.
All Rights Reserved您所在的位置： &
利用网络分析快速查找蠕虫病毒
利用网络分析快速查找蠕虫病毒
随着网络的不断发展，蠕虫病毒的传播、入侵方式也不断的发展变化，我们只有提高对网络的认知和分析，才能防患于未然。
1、案例回放
早上刚到公司，小李就接到客服部门的电话，说客服信息系统处理速度变得非常慢，已有很多业务在等待处理了。小李立即登录信息系统服务器，发现服务器系统资源占用、处理能力都很正常，问题可能出在客户端。刚刚准备起身到客服部，又接到市场部的电话，说上网搜索反映迟缓，有的甚至超时。小李放下电话，决定不再去客服部门，而直接去机房。他查看了防火墙、路由器的工作状态，一切正常，直接将笔记本接入路由器，网速正常；于是将笔记本接在交换机上，上网速度立即变慢，小李怀疑是交换机负载过大，将其重启，故障依旧。根据经验，小李判断可能是网络中感染病毒或存在下载行为，于是决定使用科来网络通讯分析系统进行捕包分析。
小李捕获近5分钟的数据来进行分析。首先进入&端点&视图，查看网络中主机的流量占用、网络连接、发包收包等参数（如下图），发现部份主机的流量占用和发送的数据包都较大。
（图1 科来网络通讯分析系端点视图）
而且发包/收包的比例差距也非常大；通过&数据包&和&会话&视图对这些主机通讯的数据进行分析后发现，它们在连续的用不同的端口连接网络中其它主机的445端口，也就是说这些主机在发送大量的TCP同步数据包进行扫描，从而占用网络中的大量带宽，造成网络通讯拥塞故障，这是蠕虫病毒的明显特征。小李马上通知相关人员，断开这些主机，网络很快恢复正常。事后对这些主机进行单独查看，发现有的主机删除了公司统一安装的杀毒软件，有的主机病毒库已经很久没有更新，小李将这些主机杀毒软件升级到最新版本，果然找出了&Nimda蠕虫病毒&。
2、蠕虫病毒的相关知识
我们知道，蠕虫病毒的传播是从扫描开始的，它通常会采用ICMP扫描、TCP扫描、UDP扫描和邮件等几种方式进行传播，下面我们先来了解一下这些传播方式的工作原理：
ICMP ECHO是一种简单有效的探测手段，用于判断目标是否存活，最常用的方法就是Ping。还有利用ICMP协议自动产生错误报文的功能来进行高级扫描，从而得到防火墙的访问控制列表甚至网络拓扑结构。
最基本的TCP扫描就是利用connect()，如果目标主机能够connect，则说明该端口可用；而高级的TCP扫描技术则是利用TCP连接的三次握手来进行的。较常用的有syn扫描、ack扫描、fin扫描、null扫描和fin+urg+push扫描等方式。
在当前常用的UDP扫描技术中，大多都是与ICMP相结合进行，如SQL SERVER，通过对1434端口发送&x02&或&x03&就能够探测得到其连接的端口。
蠕虫邮件（非扫描）
蠕虫邮件利用SMTP和POP3协议进行传播。
3、网络分析技术查找蠕虫病毒的优势
通常情况下，边界路由器、防火墙、IDS、防病毒软件等是我们对付蠕虫病毒的主要手段，但这些措施都只能对现有的策略或已知的蠕虫病毒进行响应，并且存在严重的滞后性。所以应该通过网络分析来实时监测网络，防患于未然。
科来网络通讯分析系统是一款全中文的协议分析软件，它基于以太网嗅探技术，以旁路方式接入网络，适合国内用户的使用习惯，具备强大的自动诊断和协议分析能力。在查找蠕虫病毒方面，它具备以下一些优势：
通过对ICMP协议的统计、解码分析，能够快速定位基于ICMP扫描的蠕虫病毒；
通过对TCP同步数据包、结束数据包、初始化连接的数据包、成功建立连接的数据包、网络连接数、通讯使用的端口以及TCP数据流的解码与统计分析，能够快速定位基于TCP扫描的蠕虫病毒；
通过对UDP协议的统计、解码和数据进行分析，能够快速定位基于UDP扫描的蠕虫病毒；
通过对SMTP协议的会话数、发送邮件数、携带的附件数进行统计，并通过&日志-&邮件信息&进行详细的记录（包括发送邮件的客户端地址、接收地址、帐户名称、邮件大小等参数），能够快速定位基于SMTP协议传播的邮件蠕虫病毒。
随着网络的不断发展，蠕虫病毒的传播、入侵方式也不断的发展变化，我们只有提高对网络的认知和分析，才能防患于未然。科来网络通讯分析系统不仅可以快速查找蠕虫病毒，还可以对网络性能、网络潜在的或已有的安全风险进行评估与分析，从而快速定位网络故障，优化网络性能。【责任编辑： TEL：（010）】
关于的更多文章
近日，Wi-Fi联盟通过了一项新的标准，即802.11ah标准的拓展，称
随着云计算、物联网、大数据、移动互联网的大发展，你应该知道这些。
讲师： 32人学习过讲师： 6人学习过讲师： 72人学习过
就终端用户的满意度和生产率而言，提高关键业务及时延
当下，软件与应用也已成为CIO部署、发展其基础架构时
金秋九月，是收获的季节，同样也是IT厂商展示技术成果
本书描述了怎样应用面向对象的概念来进行.NET应用程序的架构、设计和开发。作者将重点放在了面向业务的对象，即业务对象和怎样在
51CTO旗下网站