《无敌破坏王2》之蠕虫病毒丨专栏_【中科院之声】

有不少电影里都涉及了网络安全的内容，比如碟中谍系列、速度与激情系列、007系列电影都是由网络安全技术作为故事的技术内核。今天，我们就就从一部浅显易懂的电影——《无敌破坏王2：大闹互联网》说起。...

一、从《无敌破坏王2》说起

小白：大东东，上周咱们关于《流浪地球》的文章发布以后大受好评呢～

大东：哈哈，其实还有不少电影里都涉及了网络安全的内容，比如碟中谍系列、速度与激情系列、007系列电影都是由网络安全技术作为故事的技术内核。

小白：哇，因吹斯汀～大东东能都给我讲讲么！

大东：当然没问题，咱就从一部浅显易懂的电影——《无敌破坏王2：大闹互联网》说起。

《无敌破坏王2》宣传照（图片来自网络）

小白：这部我看过～迪士尼的想象力真不是盖的，互联网背后复杂的架构和技术，我竟然都看懂了呢！

大东：确实是部有趣的电影，不管是从游戏机时代到WiFi互联网时代的梦幻过渡，还是网络协议、路由器、中继站之间连接和交互，甚至推荐系统算法，都解释得简单明了。

小白：不过最后大boss长得太恶心了，看得我都犯密集恐惧症了。

大东：那你知道大boss属于哪种计算机病毒么？

小白：emm……求大东东赐教！

二、活跃的小虫子

大东：来，我们一起来看看影片中的设定。

小白：前排小板凳就绪～

大东：这个病毒能自动扫描程序的漏洞，并不断复制，一旦发现其他目标，又能迅速扩散，非常活跃。

小白：难道是……蠕虫病毒？

大东：没错，看来咱小白还是有经验的。

小白：嘻嘻。

大东：其实熟悉网络安全的朋友应该能很快看出，这其实就是一种典型的蠕虫病毒。很早的时候，当蠕虫病毒在计算机上发作时，屏幕上会出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形，所以称之为蠕虫病毒。

小白：哈哈，那还真挺形象的呢。

大东：这种病毒会利用网络进行复制和传播，现实生活中有不少著名案例，比如第一个蠕虫病毒“莫里斯”，扩散于早期 Windows 系统的“冲击波”病毒，还有当年在中国“红”极一时的熊猫烧香，都属于蠕虫病毒。

蠕虫病毒复制的漏洞汇集在一起（图片来源：电影截图）

三、网络蠕虫

小白：那大东东仔细给我讲讲蠕虫病毒呗～

大东：网络蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。

小白：一旦程序有啥小漏洞都有可能被放大啊。

大东：蠕虫与普通病毒的最大不同就是在于它不需要人为干预，且能够自主不断地复制和传播。

网络蠕虫（图片来自网络）

小白：具体是怎么工作的呢？

大东：蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。当蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。

小白：现场处理？

大东：现场处理部分的工作包括：隐藏、信息搜集等。不同的蠕虫采取的IP生成策略可能并不相同，甚至随机生成。各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单。

小白：我知道了，蠕虫的行为特征就是自我繁殖、自动利用软件漏洞。

大东：没错，这将会造成网络拥塞，消耗系统资源，留下安全隐患。

四、熊猫烧香

小白：听起来好可怕呀，真的爆发了蠕虫病毒可就惨了！

大东：不知道小白这个年纪有没有听说过“熊猫烧香”？

小白：好像隐隐约约觉得耳熟呢。

大东：在2006年末，“熊猫烧香”事件轰动全国，“熊猫烧香”正是一种典型的蠕虫病毒。

小白：哇，大东东快讲讲。

大东：熊猫烧香之所以如此轰动，是因为这是一个看得见的病毒——它会感染磁盘所有EXE文件，每个被感染的EXE都有典型的图标熊猫举着三根香的模样，场面颇为震撼。

熊猫烧香图标（图片来自网络）

小白：如此高调的病毒啊！

大东：病毒的作者及其朋友被抓到时，全部非法所得不过几十万元，但该病毒感染传播快速，严重时导致网络瘫痪，国内民众第一次对计算机病毒的危害有了真实的感受。因此成为病毒史上经典的案例，对未来国内互联网网络安全发展具有推动作用。

小白：还有推动作用呀？

大东：继熊猫烧香之后，普通网民们惊叹电脑病毒威力之大，杀毒软件开始不断完善杀毒软件算法。基本可以说，有了“熊猫烧香”，才有了中国互联网网民的安全意识。并且，这一事件对推进司法解释，促进对互联网犯罪的“有罪认定”，意义深远。

小白：吃一堑长一智嘛～

五、杀虫剂

小白：那么，有没有什么办法能提前检测蠕虫呢？

大东：目前国内并没有专门的蠕虫检测和防御系统，传统的主机防病毒系统并不能对未知的蠕虫进行检测，只能被动地对已发现的特征的蠕虫进行检测。而且目前市场上的入侵检测产品，对蠕虫的检测也多半是基于特征，所以我们利用入侵检测系统提供的异常检测功能，通过发现网络中的异常，来对蠕虫的传染进行控制。

小白：虽然听起来有些事后诸葛的嫌疑，但只要发现及时，咱还是能大大减少蠕虫造成的损失的！

大东：一旦发现蠕虫，要在尽量短的时间内对其进行响应。

小白：那该怎么做呢？

大东：首先产生报警时，通知管理员，并通过防火墙、路由器、或者HIDS的互动将感染了蠕虫的主机隔离。然后对蠕虫进行分析，进一步制定检测策略，尽早对整个系统存在的不安全隐患进行修补，防止蠕虫再次传染，并对感染了蠕虫的主机进行蠕虫的删除工作。

小白：把病毒锁死，不让他乱跑！

大东：最最重要的还是安全意识，不要因为好奇而造成祸患。网络千万条，安全第一条……

小白：知道了知道了，绝不浏览暗网和不良站点！

来源：中国科学院计算技术研究所

温馨提示：近期，微信公众号信息流改版。每个用户可以设置常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」