什么是蠕虫？

蠕虫的历史

1975年，“蠕虫”一词最早出现在约翰·布伦纳（John Brunner）的小说《冲击波骑士》（The Shockwave Rider）中。在小说中，尼古拉斯·哈夫林格（Nicholas Haflinger）设计并引爆了一种收集数据的蠕虫，用来报复运营全国电子信息网络的人。

1982年，Shock和Hupp根据《冲击波骑士》（The Shockwave Rider）书中的概念提出了“蠕虫”程序的思想。他们论证了“蠕虫”程序不一定是有害的，可作为Ethernet网络设备的一种诊断工具。他可以像普通蠕虫一样传播，但不会造成伤害。

1988年11月2日，康奈尔大学计算机科学研究生罗伯特·塔潘·莫里斯（Robert Tappan Morris）释放了一种病毒，该病毒后来被称为“莫里斯蠕虫”（Morris worm）。他中断了大量计算机网络，预估为所有联网计算机的十分之一。莫里斯蠕虫促使了CERT协调中心和Phage邮件列表的诞生，而莫里斯本人也成为第一个根据1986年《计算机欺诈和滥用法案》而受审并被定罪的人。

蠕虫的分类及传播过程

蠕虫主要通过寻找系统漏洞进行传播。他常驻于一台或多台计算机中，扫描其他计算机是否感染同种蠕虫，如果没有，就会感染该计算机。他可以通过不同的方式从一台计算机传播到另一台计算机，例如电子邮件附件、恶意链接或局域网等。以下是蠕虫最常见的分类和传播方式：

• 电子邮件蠕虫：电子邮件蠕虫通过创建邮件，将自身的副本附加到虚假电子邮件的附件中，发送到用户联系人列表中的所有地址。感染用户系统后，他们会获取系统电子邮件的控制权，并在本地安装蠕虫副本，修改注册表，搜索本地及局域网中特定的文件，通过文件进行传播。
• 文件共享蠕虫：文件共享蠕虫将自身复制到共享文件夹中，并通过文件共享网络传播。用户下载共享文件，从而使蠕虫进入到计算机。蠕虫利用文件或者信息在系统中传播的特性，对计算机造成感染。
• 加密蠕虫：加密蠕虫会加密受感染设备上的文件，并要求受害者支付赎金以换取解密代码。一旦受害者的计算机上感染这种蠕虫，他就会对用户计算机、服务器或硬盘驱动器上的大量文件进行加密，阻止用户访问关键文件，警告用户必须通过支付费用换取私钥，否则会永久销毁文件。
• 即时通讯蠕虫：与恶意电子邮件附件类似，即时消息中有伪装成无害链接或附件的蠕虫，通过发送消息，将蠕虫传播到受感染者的联系人列表。

蠕虫与病毒的区别

蠕虫是病毒的一种，是一种能够自我复制的病毒，但是他与人们广泛认识的病毒并不完全相同。

计算机病毒是编制者在计算机程序中插入的一组计算机指令或程序代码。通过修改或删除数据来破坏计算机功能或者数据，影响计算机的使用。病毒把自身附加于程序或者文件，从一台计算机传播到另一台计算机，当运行程序或者打开文件时，才会感染计算机。在没有人为操作的情况下，病毒无法传播，必须通过外部操作来触发他。例如，病毒可以嵌入到电子表格中。如果用户下载电子表格，计算机不一定会被感染。一旦用户打开电子表格，病毒就会被激活。

蠕虫的设计类似于病毒，但是他不会修改程序，且他的传播方式与病毒不同。蠕虫利用文件或者信息在系统中传播的特点，在没有人为操作的情况下，自动在计算机之间传播。受害者不需要打开任何文件，甚至不需要点击任何东西，该蠕虫就可以运行，并将自身传播到其他计算机。计算机向外发送的不是一个蠕虫病毒，而是数百数千个他的副本。随着蠕虫的传播，过多的系统内存或者网络带宽被消耗，导致服务器或者计算机停止响应。

著名的蠕虫

蠕虫自互联网诞生以来就已经存在。有些蠕虫导致了大量的网络和业务中断，造成严重影响。以下列举一些近年来著名的蠕虫攻击事件：

• 莫里斯蠕虫（Morris）

  莫里斯蠕虫首次被发现于1988 年，被广泛认为是第一个计算机蠕虫。他针对不同UNIX系统的漏洞，多次感染系统，影响了大量的UNIX系统。其目的不是破坏，而是耗尽资源，对当时的计算机网络造成了严重破坏。

• 我爱你蠕虫（ILOVEYOU）

  我爱你蠕虫首次被发现在2000年的电子邮件中，以ILOVEYOU标题出现，并携带脚本附件“LOVE-LETTER-FOR-YOU.TXT.vbs”，该脚本在Microsoft Outlook中自动运行，且添加Windows注册表数据以在系统启动时自动启动，使用自身副本替换计算机中的其他文件，同时附加文件扩展名VBS，并将其他文件隐藏。然后，通过邮件地址列表再次发送其副本，造成再次传播。

• 震网蠕虫（Stuxnet）

  震网蠕虫首次被发现在2010年，他由两个部分组成，分别是针对监控和数据采集系统的恶意软件，以及通过感染USB设备传播恶意软件的蠕虫。震网蠕虫利用Windows操作系统的缺陷进行传播，最终导致核离心机发生故障。

• WannaCry（Wanna Decryptor）

  WannaCry蠕虫首次被发现在2017年，是一款蠕虫勒索式恶意软件，利用Windows系统远程安全漏洞进行传播。WannaCry会扫描开放445文件共享端口的Windows计算机，无需用户任何操作，只要开机上网，就能在存在漏洞的计算机或服务器中植入恶意程序。当侵入组织或机构内部时，WannaCry会不停地探测存在漏洞的计算机，并感染他们，因此受感染的计算机数量飞速增长。当计算机被感染后，WannaCry勒索蠕虫会锁定该计算机，并加密包括照片、图片、文档、压缩文件、音频、视频、可执行程序等多种类型的文件。加密成功后，蠕虫制造者向受害者勒索比特币进行文件解密，否则进行文件销毁。

如何预防蠕虫

预防蠕虫的关键在于计算机系统的防御性能以及个人安全意识，建议采取如下手段防御蠕虫攻击。

• 安装防火墙和防病毒软件，并及时更新病毒特征库。
• 从官方市场下载正版软件，及时给操作系统和其他软件安装补丁。
• 为计算机系统账号设置密码，加强个人账户信息的安全意识，使用字符、大小写字母、数字的组合方式设置密码，及时删除或禁用过期账号。
• 在打开任何移动存储器前用杀毒软件进行检查。
• 定期备份电脑、手机的系统和数据，留意异常告警，及时进行修复。
• 执行或安装新软件前，先使用杀毒软件对新软件进行扫描。
• 不要打开来历不明的网页、邮箱链接或短信中的链接。
• 不要打开QQ等聊天工具上收到的不明文件。
• 不要轻信浏览网页时弹出的支付风险、垃圾、漏洞等提示。

华为如何帮助您抵御蠕虫

华为产品近年来推出了新一代专业AI防火墙产品，包括HiSecEngine USG6000E系列产品和HiSecEngine USG6000F系列产品，支持入侵防御（IPS）相关功能，通过入侵防御这种安全机制，分析网络流量，检测出蠕虫、木马等攻击行为，并通过一定的响应方式对其进行实时中止，有效保证内网服务器和用户免受威胁的侵害。华为AI防火墙具有以下优势：

• 漏洞签名数量高达20000+，CVE漏洞覆盖8000+，僵木蠕家族覆盖2000+。
• 采用华为自研安全专用加速引擎，具备模式匹配加速能力，检测速度快。
• 具备从流量重组到应用内容识别等400多种防躲避手段。