蠕虫病毒的特征与防治.docx

蠕虫病毒的特征与防治.docx

《蠕虫病毒的特征与防治.docx》由会员分享，可在线阅读，更多相关《蠕虫病毒的特征与防治.docx（18页珍藏版）》请在冰点文库上搜索。

蠕虫病毒的特征与防治

蠕虫病毒的特征与防治

————————————————————————————————　作者:

————————————————————————————————　日期:

研究生课　程论　文

（２００8-2００9学年第二学期）

ﻩ

蠕虫病毒的特征与防治

摘要

　随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。

采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。

本文对蠕虫病毒的特征和防御策略进行了研究，透彻分析了几个流行的蠕虫病毒的本质特征和传播手段，并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决ＰＮ机蠕虫检测方法。

关键词:

蠕虫，病毒特征,病毒防治

ﻬ

1引言

“蠕虫”这个生物学名词于１982年由Xerｏx　PＡRC的ＪohnF．Ｓhｏeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:

“可以从一台计算机移动到另一台计算机”和“可以自我复制”。

最初，他们编写蠕虫的目的是做分布式计算的模型试验。

198８年Ｍｏrris蠕虫爆发后,EugeneH.Sｐaｆｆｏrd为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。

“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。

”计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致,导致二者之间是非常难区分的。

近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。

因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。

2蠕虫病毒的特征及传播

1、一般特征:

（1）独立个体，单独运行;

（２）大部分利用操作系统和应用程序的漏洞主动进行攻击；

（3）传播方式多样；

（4）造成网络拥塞,消耗系统资源;

（5）制作技术与传统的病毒不同,与黑客技术相结合。

2、病毒与蠕虫的区别

（l）存在形式上病毒寄生在某个文件上,而蠕虫是作为独立的个体而存在;

（2）传染机制方面病毒利用宿主程序的运行,而蠕虫利用系统存在的漏洞；

（3）传染目标病毒针对本地文件,而蠕虫针对网络上的其他计算机;

（４）防治病毒是将其从宿主文件中删除，而防治蠕虫是为系统打补丁。

３、传播过程：

（1）扫描：

由蠕虫的扫描功能模块负责探测存在漏洞的主机。

（2）攻击:

攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。

（3）现场处理：

进入被感染的系统后，要做现场处理工作，现场处理部分工作主要包括隐藏、信息搜集等等

（４）复制：

复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。

每一个具体的蠕虫在实现这四个部分时会有不同的侧重,有的部分实现的相当复杂,有的部分实现的则相当简略。

尼姆达病毒是一个比较典型的病毒与蠕虫技术相结合的蠕虫病毒,它几乎包括目前所有流行病毒的传播手段,并且可以攻击Wｉｎ９８/NＴ/20０0/XＰ等所有的Ｗindoｗｓ操作平台。

该病毒有以下4种传播方式:

（1）通过Ｅmail发送在客户端看不到的邮件附件程序saｍｐｌｅ.ｅxe，该部分利用了微软的OE信件浏览器的漏洞;

（2）通过网络共享的方式来传染给局域网络上的网络邻居,使用设置密码的共享方式可以有效的防止该病毒的此种传播方式;

（3）通过没有补丁的ＩＩS服务器来传播，该传播往往是病毒屡杀不绝的原因,该方式利用了微软IＩS的ＵNICODＥ漏洞；

（4）通过感染普通的文件来传播,在这一点上和普通的病毒程序相同。

４、蠕虫病毒的传播趋势

目前的流行病毒越来越表现出以下三种传播趋势:

１、通过邮件附件传播病毒，如Ｍyｄｏｏm等邮件病毒;

2、通过无口令或者弱口令共享传播病毒,如Nimｄａ、Netｓkey等；

3、利用操作系统或者应用系统漏洞传播病毒，如冲击波蠕虫、震荡波蠕虫等。

3目前流行的蠕虫病毒

3.１Mydｏoｍ邮件病毒

Novａrg/Myｄoom.ａ蠕虫是200４年1月28日开始传入我国的一个通过邮件传播的蠕虫。

在全球所造成的直接经济损失至少达４00亿美元，是2004年1月份十大病毒之首。

该蠕虫利用欺骗性的邮件主题和内容来诱使用户运行邮件中的附件。

拒绝服务的方式是向网站的WEB服务发送大量ＧET请求，在传播和攻击过程中,会占用大量系统资源，导致系统运行变慢。

蠕虫还会在系统上留下后门,通过该后门,入侵者可以完全控制被感染的主机[2]。

该蠕虫没有使用特别的技术和系统漏洞,之所以能造成如此大的危害，主要还是由于人们防范意识的薄弱，和蠕虫本身传播速度较快的缘故。

该蠕虫主要通过电子邮件进行传播,它的邮件主题、正文和所带附件的文件名都是随机的,另外它还会利用Ｋazaa的共享网络来进行传播。

病毒文件的图标和winｄowｓ系统记事本（NOTEＰAＤ.EXＥ）图标非常相似，运行后会打开记事本程序，显示一些乱码信息,其实病毒已经开始运行了。

病毒会创建名为“SwｅbＳｉpcＳmｔxＳO”的排斥体来判断系统是否己经被感染。

蠕虫在系统中寻找所有可能包含邮件地址的文件，包括地址簿文件、各种网页文件等，从中提取邮件地址，作为发送的目标。

病毒会避免包含以下信息的域名：

goｖ、mil、bｏrｌan、bsｄ、exampｌｅ等,病毒同样会避免包含以下信息的电子邮件帐户:

accｏun、ca、cｅrtific、、iｃrosoft、infｏ、linux等，当病毒检测到邮件地址中含有上述域名或帐户时则忽略该地址，不将其加入到发送地址链表中。

Ｗorm．Mydoom.a病毒主程序流程如图3-1所示,后门程序ｓhiｍgapｉ.ｄll如图３-２所示:

　　　　　否　　　　　　　　是

　失败　　　成功

创建无限循环扫描线程扫描wab文件、IE临时文件、硬盘中的文本文件，将扫描到的邮件地址、用户进行过滤，然后加入到邮件地址队列

创建无限循环的发送邮件线程massmail_main_th，从扫描得到的邮件地址队列取地址发送邮件，邮件的发送人地址、主题、内容、附件名称随机，附件即病毒主体

结束

图3-1　　Mydoom病毒主体流程图

图３-2shiｍgapi.ｄlｌ流程图

Mｙdoｏm蠕虫病毒除造成了网络资源的浪费,阻塞网络，被攻击网站不能提供正常服务外,最大的危险在于安装了后门程序。

该后门即shimgapi．dll，通过修改注册表，使自身随着EXＰＬORＥR的启动而运行，将自己加载到了资源管理器的进程空间中。

后门监听3１27端口，如果该端口被占用，则递增，但不大于３198。

后门提供了两个功能:

（1）作为端口转发代理;

（2）作为后门，接收上传程序并执行。

当３127端口收到连接之后,如果reｃｖ的第一个字符是x04,转入端口转发流程。

若第二个字符是0x01,则取3、４两个字符作为目标端口，取第５-8四个字节作为目标IP地址,进行连接并和当前socket数据转发。

ｒecv的第一个字符如果是x85,则转入执行命令流程。

先接收四个字节,转成主机字节序后验证是否是x133c9ea2，验证通过则创建临时文件接收数据,接收完毕运行该文件。

也就是说,只要我们把任意一个可执行文件的头部,加上五个字符:

x8５13３c9ｅａ2，作为数据发送到感染了Mydoom.a蠕虫机器的312７端口，这个文件，就会在系统上被执行,从而对被感染系统的安全造成了极大的威胁。

Nimda蠕虫病毒

在Nimｄａ蠕虫病毒出现以前,“蠕虫”技术一直是独立发展的。

Nmiｄa病毒第一次将“蠕虫”技术和“计算机病毒”技术结合起来。

从Nimｄa的攻击方式来看，Nｉｍdａ蠕虫病毒只攻击微软的WinX系列操作系统，它通过电子邮件、网络临近共享文件、IE浏览器的内嵌MＩME类型自动执行漏洞、IIＳ服务器文件目录遍历漏洞、ＣoｄeRedII和Saｄmind／IIS蠕虫留下的后门共五种方式进行传播，其中前三种方式是病毒传播方式。

关于蠕虫病毒的分析,在很多文献[3]中都有提到,本文在这些文献的基础上，重点针对几种典型的蠕虫病毒在技术实现上的特点进行分析,以期找到他们的一些共性。

１.被利用的系统漏洞描述

（１）微软IE异常处理MIＭE头漏洞

IＥ在处理MIME头中“Ｃoｎtenｔ2Type:

”处指定的某些类型时存在问题,攻击者可以利用这类缺陷在IE客户端执行任意命令。

（２）MicrosofｔIIS　UｎiCode解码目录遍历漏洞

微软ＩIＳ4.0和ＩＩS5．0在ＵnｉCdoe字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。

（3）Micrｏsofｔ　IISCGI文件名错误解码漏洞

微软IIS4.0／５.0在处理ＣGI程序文件名时存在一个安全漏洞,由于错误地对文件名进行了两次解码，攻击者可能利用这个漏洞执行任意系统命令。

（4）“CodeRｅdIＩ”和Saｄｍｉnd／ＩIＳ蠕虫留下的后门程序。

2.传播方式

（ｌ）邮件传播

蠕虫会向被攻击者发送一封携带了蠕虫附件的邮件。

这个邮件由两部分ＭIME类型的信息组成:

第一部分的ＭＩME类型为“texｔ／ｈtｍl”,但却没有包含文本，因此看起来是空的；第二部分的MIME类型为“auｄio/x2ｗａv”,但它实际上携带的是一个名为“Reａdme．exｅ”的bａｓe64编码的可执行附件。

利用了“微软ＩＥ异常处理ＭIME头漏洞”安全漏洞,任何运行在x86平台下并且使用微软IE５.5ＳP1或之前版本（IE5．0１ＳＰ2除外）来显示HTML邮件的邮件客户端软件,都将自动执行邮件附件。

用户甚至只需打开或预览邮件即可使蠕虫被执行[４]。

被蠕虫攻击的目标邮件的地址从下列两个来源中获得:

①用户ＷeｂCａche文件夹中的*.htm和*.htmｌ文件

②用户通过ＭAPＩ服务收到Email邮件的内容

蠕虫在这些文件中搜索看起来像邮件地址的字符串，然后向这些地址发送一份包含蠕虫拷贝的邮件。

Nｉｍda蠕虫在Ｗindows注册表中记录最后一批邮件发送的时间,然后每十天重复搜索邮件地址并重新发送蠕虫邮件。

（2）IIＳWEＢ服务器传播

蠕虫会利用两个IIS服务器的目录遍历漏洞和以前的一些IIS蠕虫（RdeCodeII和Sad　mind/ＩIS）留下的后门程序来进行传播。

蠕虫按照下列几率来选择攻击目标的IP地址:

①5０%的几率,在与本地IP地址前两字节相同的地址（B类网络）中选择一个

②２5%的几率，在与本地IP地址前一字节相同的地址（A类网络）中选择一个

③2５%的几率，随机选择IP地址。

蠕虫首先会启动一个ＴFTP服务器,监听UＤP/６9端口。

在开启TFＴP服务器和确定攻击P1地址之后，Niｍda就开始对这个IP地址进行扫描。

首先，扫描“RdeＣodeII”留下的后门。

由于被“RedCodeII”攻击过的系统中的Web虚拟目录中会留下一个名为Ｒoot.exe的后门程序，Nimda就首先扫描“/Scｒiptｓ/roｏｔ.exｅ”,如果这个程序存在的话，Nimdａ蠕虫就企图通过它在系统上执行命令。

它执行类似下列命令来向其发送蠕虫代码：

GET/scripts/rｏot.eｘe？

/c＋ｔＨTTP／1.0

其中Localip是本主机的IP地址，这样就通过TＦTP协议将本地的Aｄｍin.dｌl文件传播过去，而这个Admｉn．dll实际上就是蠕虫代码本身，只不过它在这里是以*.dll文件的形式存在。

这样做的目的,就像前面所讲述的那样是为了利用ＩIS的系统文件列表权限提升漏洞来提升蠕虫运行的权限。

在将Ａdmｉn.dlｌ上传到目标主机上之后,蠕虫就会通过发送:

ＧEＴ/scrｉpｔs/Admin.dllHTTP／1．0

的请求来运行蠕虫。

此时,蠕虫是以系统管理员权限运行的。

其次,如果在扫描/Scripｔs/root．ｅxｅ时没有成功,即目标机中没有“红色代码ＩI”留下的后门程序，那么蠕虫程序会继续扫描目标上的Uｎiｃｏdｅ漏洞以及二次解码漏洞，以期通过这两个漏洞在系统上执行命令，如果发现其中某一个漏洞，蠕虫就会重复利用/ｓcｒiｐts/roｏt．exe所发送的ＴFTP命令来上传Admin．dll,然后运行。

Ａdｍiｎ.dｌl作为ISAPＩ程序运行后,会把自身拷贝到Windows系统文件夹命名Mｍc.exe，然后以\带参数方式运行“Mmc.exｅ-qusery9bnow”。

这样就完成了通过IIS进行传播的过程。

（3）文件共享传播。

蠕虫访问共享网络资源，然后开始检测远程系统上的文件。

如果发现一个*.exｅ文件，它将蠕虫代码加到原来文件的前面,下次执行被感染文件时,将首先执行蠕虫代码。

它并不感染wｉｎziｐ3２.ｅｘe。

如果发现*.doc文件，它将自己拷贝到*.doc文件所在目录下,改名为Richｅd32.dlｌ，并设置为隐藏、系统属性。

由于Microsoftworｄ在打开该＊.doc文件时，会首先在当前目录寻找Rｉched32.dｌl，这将首先运行蠕虫代码，这也会大大增大远程用户的感染几率。

它也会利用找到的文档文件的名字创建以*.emｌ和*.nws后缀的文件,这些文件也是带有蠕虫拷贝的MIME编码的文件。

（4）通过网页进行传播。

对于受感染的WWW服务器,Ｎimda会修改其上的ＷWＷ网页文件,使得浏览该网站的用户受其感染。

当蠕虫通过Admin.dｌl运行时,蠕虫生成的新程序（Mmc.exe）会在整个硬盘中搜索后缀为:

＊．HＴMＬ，*.APS，＊．HTＭ,文件名为：

Default，Ｉｎdex,Maｉn,Rｅadmｅ的文件。

一旦发现了这样的文件，蠕虫会在该目录下创建一个Rｅadmｅ．eml文件,它是一个由两部分组成的MIME编码的文件,里面也包含了蠕虫拷贝。

然后蠕虫会在找到的文件的末尾增加如下Jaｖaｓcripｔ代码:

“<ｈｔml>

ｗindow.open（”readme.eml“,nｕll,

“resizabｌe=no,ｔoｐ=6000,ｌeｆt=6０0０”）<／ｓcripｔ><／hｔml>”

这样,其他用户如果使用浏览器浏览被修改的网页或者资源管理（打开了预览功能）来浏览共享服务器上的Reaｄme．ｍｅl文件时，利用IE浏览器异常处理ＭＩME头漏洞,蠕虫就可以传播到新的客户端上。

（５）通过修改*.exe文件进行传播。

前面几种传播方式都是通过网络方式进行的，也是Nimda最常用的传染方式，它还会像普通的病毒那样通过文件来进行传播。

Niｍdａ蠕虫首先选择感染*．exe文件，这样当通过软盘或局域网进行文件复制时，就会把蠕虫程序传播到其它的机器上面。

感染*.exe文件的具体做法是：

①先查找注册表中

ＨKEＹ　LOＣALMACHINE\SOFＴＷAＲE＼Micrｏsｏft\Wiｎｄows\ＣurrｅntVersｉｏn

\APPPathS键的内容，这个键值存放了主机上的可执行文件名字，一旦找到Niｍda就会以病毒的方式感染这些文件。

②把原来的*.ｅxe文件作为资源存储在新的*.exe文件当中，这样当运行新的*.ｅxe文件时首先执行蠕虫程序，然后再调用原来的*．exｅ文件来执行,这样对于用户来说感觉上只是执行了原来的*.eｘｅ文件。

还有一点,Ｎimｄａ如果发现*.exe文件名为Wｉｎzip32.eｘe,则不进行感染。

这样做可能是为了避免重要程序WinZip无法运行导致系统崩溃。

（６）通过Word文档进行传播。

因为修改*.ｅxe文件容易被杀毒软件检测到,所以Nimda还通过替换Woｒd程序的一个动态连接库文件来达到传播的目的。

蠕虫程序首先把自身复制到windows目录中命名为Riched20.dll。

然后它会搜索本地的共享目录中包含*.doc文件的目录，一旦找到，就会把自身复制到目录中并命名为Rｉcｈed20．dｌl,并将文件属性设置为隐藏和系统属性。

由于Microｓoftword在打开该*.doc文件时，会首先在当前目录寻找Ｒｉcｈed20.dlｌ并加载，这样就会运行到蠕虫代码了。

不仅如此蠕虫还用找到的文档文件的名字加上.eml后缀来创建新文件，这些文件也是带有蠕虫拷贝的ＭIMＥ编码的文件。

这样做会使得系统中出现大量．emｌ文件。

（7）系统感染技术

蠕虫会检查注册表中的如下表项:

1HKEY　　ＬOCＡＬMAＣHINE\SOＦＴWARE\Mｉcrｏsｏft\Wiｎｄows\CurｒｅｎtVersiｏn\APPPａths

2HＫEYLOＣAL　MAＣHINE\SOFTWＡRE\Ｍicrosoft\Winｄows\ＣｕrrｅntVersion\

Expｌorer\SｈelｌＦｏlｄeｒs

然后感染所有找到的程序。

蠕虫会将自身拷贝到\wｉndwoｓ\Sysｔｅm目录中，命名为Lｏad.ｅｘe，并修改Ｓystem.ｉni文件,将Shｅlｌ部分改为如下内容：

Shelｌ＝explｏrer．ｅxeload.exｅ-ｄoｎtｒｕｎold

这样每次系统重启后都会运行蠕虫拷贝。

它会用自身拷贝替换Wiｎdｏwｓ目录下的Rｉched20.dｌl,这样下次执行ｗorｄ时会自动执行这个蠕虫。

如果蠕虫是以Ｒeadmｅ.eｘｅ文件名被执行,它会将自身拷贝到Ｗindoｗs临时目录中,并使用随机文件名，例如tmp.ｅｘe等。

蠕虫在第一次执行时会寻找Expｌorer进程,将自己的进程注册为Exｐlorer的一个远程线程。

这样即使用户退出系统,蠕虫仍然可以继续执行。

（8）后门安装技术

Ｎｉｍｄa蠕虫通过修改一些注册表项以降低系统安全性，同时也安装系统后

门。

蠕虫会将所有驱动器设置成共享状态,它会编辑如下注册表项:

HKEY_LOCＡL＿MＡＣHＩNE\Sｏftwarｅ＼Miｅrosｏft\Wｉnｄｏwｓ\CurｒenｔVｅrｓioｎ\Nｅtwoｒk\LａnMan\[Ｃ＄->Z$]

蠕虫会删除下列注册表项的所有子键以禁止共享安全性:

HKLM\SYSTEＭ\CurrenｔControlＳeｔ\Sｅｒviceｓ\lａｎmanserver\Ｓhares\Seｃuriｔy

蠕虫会修改下列注册表项：

HKLM\Sｏftｗaｒｅ\Ｍicrosofｔ\Windoｗｓ＼ＣurｒentＶersｉoｎ＼Ｅxｐloｒer\Ａdvanｃeｄ

调整Hiｄdｅn,ShowsｕpｅｒHidden和Ｈiｄe键值,使得使用资源管理器无法显示隐藏文件。

这可以保护蠕虫代码，以免其被发现。

通过执行下列命令，蠕虫还激活了Guesｔ用户,将其密码设置为空,并将其加入到Aｄminiｓtratoｒs组中（对于WiｎdｏｗｓNT/2000/ＸP用户）:

nｅｔusｅrgｕesｔ／aｄｄ

ｎｅｔ　useｒｇｕest／ａctive

ｎetusｅrｇuｅst“”

nｅt　localgrｏup　Adminisｔrａtｏrsgｕｅｓt

netlocal　groｕｐ　Ｇｕestsgueｓt/ａdd

通过执行下列命令，蠕虫将C:

\设置为完全共享:

net　shaｒec$=c：

\

3.3冲击波病毒

病毒的行为特征为［5]:

（1）病毒运行时会将自身复制为

%sｙsｔeｍdir％\msblast.exe,％syｓtemdｉr%是一个变量，它指的是操作系统安装目录中的系统目录,默认是:

“c：

\ｗiｎdowｓ\ｓystｅm”或“c:

\Ｗiｎｎt\sysｔem32”。

（2）病毒运行时会在系统中建立一个名为:

“ＢILLY”的互斥量,目的是病毒保证在内存中只有一份病毒体，避免用户发现。

（3）病毒运行时会在内存中建立一个名为:

“msblaｓｔ．exe”的进程，该进程就是活的病毒体。

（4）病毒会修改注册表，在HKEＹ＿LOＣＡL_MＡCHINＥ＼SＯFTWARＥ\Mｉcrｏsoft\Wiｎｄowｓ\CurreｎtVersiｏn\Run中添加键值：

“ｗindｏwsautoupｄate”=“ｍsblａｓｔ.exｅ”,以便每次启动系统时,病毒都会运行。

（５）病毒体内隐藏有一段文本信息:

I　justｗaｎｔtosay　LOVEYOＵSAN！

！

Billyｇａｔｅｓwhydoyou　make　ｔhiｓpossibｌe?

Stｏpmakｉng　moneｙandyou’ｒｅyoｕr　sｏftware!

!

（６）病毒会以20秒为间隔,每２0秒检测一次网络状态,当网络可用时，病毒会在本地的UＤP/69端口上建立一个TFＰＴ服务器,并启动一个攻击传播线程，不断的随机生成攻击地址，进行攻击,另外该病毒攻击时，会首先搜索子网的IP地址,以便就近攻击。

（7）当病毒扫描到计算机后,就会向目标计算机的TCＰ/135端口发送数据。

（8）当病毒攻击成功后，目标计算机便会监听的TCP／4444端口作为后门,并绑定cｍｄ.exe。

然后蠕虫会连接到这个端口,发送TＦTP下载信息，目标主机通过TFTP下载病毒并运行病毒。

（9）当病毒攻击失败时,可能会造成没有打补丁的Wind。

邢系统RＣP服务崩溃，WiｎdowXP系统可能会自动重启计算机。

（10）病毒检测到当前系统月份是８月之后或者日期是巧日之后，就会向微软的更新站点“windowsupdatｅ.com”发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。

从上面冲击波病毒的行为特征我们可以看出，冲击波病毒与其他两个病毒的不同点在于其传播方式。

冲击波病毒利用了wiｎdowｓ系统的DCOＭRPC缓冲区漏洞攻击系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染,不需要用户的参与，而其他两种是通过邮件附件的方式,引诱用户点击执行。

破坏性方面因病毒而异,病毒的执行、自启动方面三种病毒都相似。

RemoｔePｒoceｄuｒeCａll（RPC）是运用于Windows操作系统上的一种协议。

RPC提供相互处理通信机制,允许运行该程序的计算机在一个远程系统上执行代码。

ＲPC协议本身源于OSＦ（opｅn　SｏftｗareFoｕｎdａｔion）RPC协议，后来又另外增加了一些Ｍｉcrosｏfｔ专用扩展功能。

RPC中处理TCP/IP信息交换的模块由于错误的处理畸形信息，导致存在缓冲区溢出漏洞,远程攻击者可利用此缺陷以本地系统权限在系统上执行任意指令，如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。

据ＣEＲT安全小组称，操作系统中超过5０％的安全漏洞都是由内存溢出引起的,其中大多数与微软技术有关，这些与内存溢出相关的安全漏洞正在被越来越多的蠕虫病毒所利用。

缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过缓冲区本身的容量时,溢出的数据就会覆盖在合法数据上,这些数据可能是数值、下一条指令的指针，或者是其他程序的输出内容。

一般情况下,覆盖其他数据区的数据是没有意义的,最多造成应用程序错误，但是如果输入的数据是经过“黑客”或者病毒精心设计的，覆盖缓冲区的数据恰恰是“黑客”或者病毒的入侵程序代码，一旦多余字节被编译执行,“黑客”或者病毒就有可能为所欲为,获取系统的控制权。

溢出根源在于编程：

缓冲区溢出是由编程错误引起的。

如果缓冲区被写满，而程序没有去检查缓冲区边界，也没有停止接收数据，这时缓冲区溢出就会发生。

因此防止利用缓冲区溢出发起的攻击，关键在于程序开发者在开发程序时仔细检查溢出情况，不允许数据溢出缓冲区。

此外，用户需要经常登录操作系统和应用程序提供商的网站,跟踪公布的系统漏洞，及时下载补丁程序,弥补系统漏洞。

４蠕虫病毒的防治

蠕虫病毒不同于一般的文件型病毒，既表现出了强大的功能，也表现出了自