| 网络蠕虫由四个功能模块构成:探测模块、传播模块、蠕虫引擎模块和负载模块,如下图所示。
|
|
|
|
|
|
|
| (1)探测模块。完成对特定主机的脆弱性检测,决定采用何种攻击渗透方式。该模块利用获得的安全漏洞建立传播途径,该模块在攻击方法上是开放的、可扩充的。
|
|
|
| (2)传播模块。该模块可以采用各种形式生成各种形态的蠕虫副本,在不同主机间完成蠕虫副本传递。例如“Nimda”会生成多种文件格式和名称的蠕虫副本;“Worm.KillMsBlast”利用系统程序(例如tftp)来完成推进模块的功能等。
|
|
|
| (3)蠕虫引擎模块。该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集,内容包括本机系统信息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处网络的拓扑结构、边界路由信息等。这些信息可以单独使用或被其他个体共享。
|
|
|
| (4)负载模块。也就是网络蠕虫内部的实现伪代码,如下图所示。
|
|
|
|
|
|
|
|
|
|
|
|
|
| 第一阶段,已经感染蠕虫的主机在网络上搜索易感染目标主机,这些易感机器具有蠕虫代码执行条件,例如易感染机器有蠕虫可利用的漏洞。其中,网络蠕虫发现易感染目标取决于所选择的传播方法,好的传播方法使网络蠕虫以最少的资源找到网上易传染的主机,进而能在短时间内扩大传播区域。
|
|
|
| 第二阶段,已经感染蠕虫的主机把蠕虫代码传送到易感染目标主机上。传输方式有多种形式,如电子邮件、共享文件、网页浏览、缓冲区溢出程序、远程命令拷贝、文件传输(ftp或tftp)等。
|
|
|
| 第三阶段,易感染目标主机执行蠕虫代码,感染目标主机系统。目标主机感染后,又开始第一阶段的工作,寻找下一个易感目标主机,重复第二、第三阶段的工作,直至蠕虫从主机系统被清除掉。
|
|
|
