Worm 蠕虫

能自我复制并自动跨系统传播的 Malware。区别于病毒和木马,蠕虫不需要宿主文件、不需要用户点击 —— 它自己找下一个受害者。

蠕虫 vs 病毒 vs 木马

类型	需要宿主?	需要用户?	传播方式
Virus	是,寄生在文件	是,要触发	跟着文件走
Trojan	否,本身是程序	是,主动安装	靠社工伪装
Worm	否	否	自己扫网、自己利用漏洞、自己复制

蠕虫的恐怖在于”无需用户参与”这一条。

历史级蠕虫

名字	年份	杀伤
Morris Worm	1988	第一个互联网蠕虫,瘫痪 10% 的当时互联网
Code Red	2001	利用 IIS 漏洞,1 天感染 35 万
SQL Slammer	2003	376 字节,10 分钟感染全球 7.5 万 SQL Server
Conficker	2008	峰值感染 1500 万台 Windows
WannaCry	2017	配合 EternalBlue 漏洞 + 勒索 payload,影响 150 国
NotPetya	2017	同样用 EternalBlue,造成全球 100 亿 USD 损失

现代蠕虫的特点

• 通常配合 ransomware 投递 —— 蠕虫负责传播,勒索负责变现(WannaCry / NotPetya 模式)
• 利用未打补丁的 0day / 1day 漏洞(SMB / RDP / VPN 网关常见入口)
• 进内网后用合法工具横向移动(PsExec、WMI),难检测

防御

• 及时 打补丁 —— WannaCry 用的洞早就有补丁了
• 网络分段 —— 蠕虫一旦进来,扁平内网 = 全军覆没
• 关闭不必要服务和端口 —— SMB / RDP 别裸奔到公网
• EDR + 异常网络流量监控 —— 蠕虫扩散时网络流量特征明显