本文作者：蔣敘 倪崢 單位：重慶市大足區公安局

隨著計算機以及網絡技術的全面普及和發展，網絡病毒利用網絡全球互聯的優勢和計算機網絡系統的漏洞進行傳播，已成為計算機網絡系統安全的重要威脅．深入研究計算機網絡病毒傳播的技術特征、傳播模型以及仿真結果，對計算機網絡病毒傳播及自動化防御進行研究，具有極為重要的意義與價值．

目前，關于計算機網絡病毒的理解主要有兩類思想和觀點［1－2］，一類是狹義的思想和觀點，另一類是廣義的思想和觀點．狹義的思想和觀點認為，計算機網絡病毒應當嚴格局限于計算機網絡范圍之內．換句話說，就是充分利用計算機網絡協議及計算機網絡體系、結構等作為其傳播途徑、方式和機制，同時該類病毒的破壞對象也僅僅是面向計算機網絡的，就稱之為計算機網絡病毒;廣義的思想和觀點認為，不論計算機網絡的破壞是針對網絡計算機本身，還是針對計算機網絡的，只要能夠在計算機網絡上進行傳播，并能夠產生一定的破壞作用的病毒就可稱之為計算機網絡病毒．凡本文提到網絡病毒之處，均指計算機網絡病毒這一廣義概念．

1計算機網絡病毒的現狀［3］

1．1網絡己成為病毒傳播的主要途徑

在人們的日常生活中，Internet越來越普及，通過網絡以及電子郵件進行傳播的病毒逐步增多，比如木馬、郵件、惡意程序、網絡蠕蟲等等，通過網絡傳播以后，在短時間里就可在全世界廣泛傳播．計算機網絡使得病毒傳播已不受時間及空間的制約，現代網絡已經成為病毒傳播的主要媒介及途徑．

1．2病毒種類越來越多

隨著科技信息的日新月異，計算機技術得到全面快速發展，計算機軟件日益呈現多元化．同樣，計算機病毒的種類也呈現多元化發展趨勢．實際上，計算機病毒已經不僅僅為一種引導型病毒了，不但簡單型、混合型以及宏病毒層出不窮，而且還出現了專門針對特定文件或者程序的高難度病毒．另外，一些病毒制造者還充分利用Ja-va、VB和ACtiveX的基本特性來編寫特定病毒．此外，隨著無線網絡的開通，目前還出現能在無線網絡上進行傳播的手機病毒．

1．3病毒的破壞性越來越大

過去，計算機病毒破壞主要表現在DOS下對硬盤數據進行格式化處理．目前，針對計算機硬件進行破壞的新型病毒已經發展到利用Win-dows的Vxd技術，對計算機主板BIOS和硬盤數據進行破壞．甚至有的還通過植入木馬程序等技術手段，大量對計算機目標系統的數據、資料進行竊取、破壞和攻擊，從而使得計算機系統無法正常運行．值得一提的是，越來越多的網絡病毒已經大肆占據了網絡資源，使得網絡在短時間內出現癱瘓等不良現象．

2計算機網絡病毒的傳播模式研究

2．1網絡病毒傳播的基本模式分析

2．1．1通過E－mail傳播

通過E－mail進行傳播是計算機網絡病毒在網絡上得以全面傳播的主要途徑之一．很多網絡病毒都使用這一傳播途徑．實際上，在網絡上傳送電子郵件，染毒郵件正不斷增加．染毒郵件在網絡上泛濫，已嚴重影響了正常的信息交換．病毒在E－mail中的存在，主要有以下幾種方式:1)感染E－mail正文．E－mail正文可以是純文本或者html文本，能夠被病毒感染的就是E－mail正文的html文本．病毒感染html文件主要有兩種方法，一是在其中直接加入惡意的腳本語言代碼，二是加入對惡意程序的引用．這里所說的惡意程序，可存在于電子郵件的附件中，也可利用URL的遠程進行調用．2)存在于E－mail附件中，并把病毒體自身或者染毒程序作為附件進行發送．值得注意的是，有的病毒比如VBSKJ病毒，雖不會主動發送電子郵件，但是如果修改了計算機系統中的Mi-erosoftOutlookExpreSS或者MierosoftOutlook2000/XP設置，采用了html格式的信紙撰寫郵件，所有的信紙就會被全部感染．所以，當發送電子郵件時，計算機網絡病毒就可以自動感染電子郵件正文，這一方式更具隱蔽性．3)獲取計算機系統控制權．當病毒通過E－mail到達接收端以后，一般都是通過以下方法獲取計算機系統的控制權．一是利用欺騙手段，使計算機用戶執行被感染的文件，而病毒就會用多變的特征，吸引和誘騙人們，進而達到傳播的目的．二是利用系統漏洞．如前面分析，html格式的E－mail正文可以被感染病毒．如果使用瀏覽器為IE5．0的話，且其安全等級設定在中級或者更低級時，病毒就能夠直接啟動并運行，期間，IE不會給用戶任何的提示．病毒常常利用微軟IE異常處理MIME漏洞進行，因為這一漏洞使IE在解釋一些html電子郵件時，由于不能正確處理一些代碼而引起附件自動下載，且更為嚴重的是下載結束后會自動打開附件．即使IE在解釋帶病毒郵件時提示用戶，其提示信息也可能被病毒修改為txt之類的無害信息等．三是前面兩種方式綜合運用．在一些計算機系統漏洞中，并不會使病毒直接運行，但是可能會被病毒利用并作為其偽裝．特別是含有那些雙擴展名的文件，即使關閉了“隱藏已知文件類型的擴展名”選項后，仍能顯示為txt文件，具有很強的欺騙性．

2．1．2通過自動掃描傳播

1)直接改寫系統文件．這是病毒通過局域網絡進行傳播時的獨特方法．有的局域網絡上的機器，其系統文件都為遠程可寫的．此外，有的病毒可以通過在局域網絡中尋找可寫win．ini或者注冊表文件并進行修改，便于下次重新啟動以后蠕蟲病毒被自動執行．有的病毒還可以直接拷貝本身到局域網絡內可寫啟動目錄中．2)通過服務器傳播．病毒可以利用一些常見的漏洞，使得病毒獲得遠程服務器主機的控制權．隨后，病毒就可以隨意傳染和攻擊計算機系統及網絡服務器．而后，又通過網絡服務器，傳染到訪問這個服務器的所有客戶計算機．此外，還有的病毒可以在局域網絡內自動搜索FTP，并向其上傳一些帶毒的文件，然后再利用社交工程對用戶進行欺騙，進而實現下載并自動被執行．

2．2網絡病毒傳播的模型研究

因為計算機網絡病毒是以網絡傳播為主要途徑，實際上，計算機網絡病毒在潛伏、傳染以及攻擊方面都同生物病毒傳播的模型比較相似，所以在計算機網絡病毒的模型研究及其防御系統研究中，都在很大程度上運用了生物學病毒的很多研究成果及方式［4］．本文研究的計算機網絡病毒傳播模型，就是以生物學模型為前提和基礎的．

2．2．1計算機網絡病毒傳播模型探討

一般而言，計算機網絡作為由若干計算機按一定連接方式組成的集合之一，這些計算機在物理連接方面具有一定的結構與特征．而計算機網絡病毒的傳播，則需要借助一定的載體，比如E－mail或者用戶操作等．此外，計算機網絡病毒傳播有不同的條件以及途徑．因此，所處的傳播環境可以抽象地分為同構混合環境與隨機結構環境兩種．從這種意義上看，這個結構并不是網絡連接的結構，而是指網絡節點之間通過信息交流，包括傳輸文件、電子郵件等形式產生聯系而具有的結構．計算機網絡病毒也正是通過這種聯系而得以廣泛傳播的．1)同構混合環境．在計算機網絡中，其任意節點都是其它節點的鄰居，每一節點都可以感染其它節點和被其它節點所感染，其被感染的概率幾乎相同，即每一被感染節點都有相同數量的沒有被感染的鄰居，每一未被感染的節點也都可能會被數量相同的感染節點感染．在這種環境下，計算機網絡病毒傳播的模型是一個具有確定性、連續的分析模型．這個模型是在生物學病毒傳播的基本原理上，根據同構混合環境的基本特點而構建的，這一模型屬于白箱模型．2)隨機結構環境．隨機結構的計算機網絡環境就是指計算機網絡中的用戶通過一定的方式進行信息交流，這種個體間聯系的特征，就是計算機網絡中每一個節點的鄰居只為整個計算機網絡中的一個部分，且發生聯系的事件具有一定的隨機性．按照建模的目的，我們又可以把其分為分析、描述以及預報等模型．而按對客觀現象內部機理的了解程度，則又可以分為白箱、灰箱和黑箱等模型．