蠕蟲病毒的本質(zhì)特征之一就是透過網(wǎng)絡(luò)主動(dòng)進(jìn)行感染，本身不具有太多破壞特性，以消耗系統(tǒng)帶寬、內(nèi)存、CPU為主。這類病毒最大的破壞之處不是對(duì)終端用戶造成的麻煩，而是對(duì)網(wǎng)絡(luò)的中間設(shè)備無謂耗用。例如網(wǎng)絡(luò)中的交換機(jī)/路由器/DNS服務(wù)器/郵件服務(wù)器常常是蠕蟲病毒爆發(fā)的最大受害者——“互聯(lián)網(wǎng)癱瘓了”——2003年1月的SQL蠕蟲病毒爆發(fā)就是最好的例證。

 

蠕蟲病毒淺析：

 

在以前，編寫蠕蟲病毒的技術(shù)要求相當(dāng)高。1988年，前面提到的“磁芯大戰(zhàn)”之子羅伯特.莫里斯在發(fā)現(xiàn)了幾個(gè)系統(tǒng)漏洞后，編寫了一個(gè)精巧的程序，短短時(shí)間便將當(dāng)時(shí)的大半個(gè)互聯(lián)網(wǎng)癱瘓。由以上可以看出，蠕蟲的出現(xiàn)，傳播，感染是需要系統(tǒng)漏洞和獲得系統(tǒng)權(quán)限的。莫里斯不愧為技術(shù)高手，不光在于對(duì)病毒的編寫，更在于對(duì)系統(tǒng)漏洞的發(fā)掘上。隨著時(shí)間的推移，操作系統(tǒng)的進(jìn)步，在功能完善的同時(shí)，漏洞也隨之增加。

 

不少真正的安全小組在發(fā)現(xiàn)漏洞的同時(shí)，除了會(huì)給出詳細(xì)的技術(shù)說明外，往往附帶一個(gè)小程序的源代碼，說明利用漏洞獲得權(quán)限的實(shí)現(xiàn)。而這個(gè)小程序被蠕蟲病毒編寫者如獲至寶，將起改寫，加上文件傳輸，ping掃描，修改啟動(dòng)項(xiàng)自動(dòng)執(zhí)行等能用代碼簡(jiǎn)單實(shí)現(xiàn)的功能，就成了一個(gè)蠕蟲病毒——換句話說，現(xiàn)在編寫蠕蟲病毒的門檻已經(jīng)大大降低了，所以大家會(huì)看到18歲的優(yōu)秀病毒編寫者云云——其實(shí)相較起破壞特性來，發(fā)現(xiàn)安全漏洞更是需要高超的技術(shù)水平——這是安全小組做到的，而不是病毒編寫者。因此可以這樣概括：自從莫里斯發(fā)明出蠕蟲病毒以來，該種病毒的編寫者自身實(shí)力日漸下降，從操作系統(tǒng)級(jí)水平淪落到代碼編寫級(jí)水平，不可同日而語。

 

蠕蟲病毒感染途徑：

 

系統(tǒng)漏洞/用戶錯(cuò)誤權(quán)限：蠕蟲病毒本事是一個(gè)需要以一定身份執(zhí)行的程序。因此通過系統(tǒng)漏洞進(jìn)行感染是其手段，提升權(quán)限是其企圖，重復(fù)感染是其目的。沒打上系統(tǒng)漏洞補(bǔ)丁的操作系統(tǒng)，權(quán)限設(shè)置松散的設(shè)置，極其簡(jiǎn)單的用戶密碼是這類病毒的最愛。

 

蠕蟲病毒自查：

 

由于通過網(wǎng)絡(luò)感染，蠕蟲病毒都會(huì)大量占用網(wǎng)絡(luò)帶寬。由于現(xiàn)在普通pc的性能相當(dāng)不錯(cuò)，因此一些新興的蠕蟲病毒在大肆占用網(wǎng)卡發(fā)送封包的同時(shí)，本機(jī)速度不會(huì)變的太緩慢，這跟自查帶來了一定麻煩。以天緣工作為例，檢查到內(nèi)網(wǎng)中有用戶染毒后，電話通知他，結(jié)果被反問：“我運(yùn)行單機(jī)程序的時(shí)候這么快，只有上網(wǎng)的時(shí)候才覺得慢，是不是你們網(wǎng)絡(luò)中心故意搗亂？？”網(wǎng)管難做啊，不對(duì)單機(jī)造成任何傷害的病毒用戶一般難以察覺，因此還是后來會(huì)導(dǎo)致系統(tǒng)出錯(cuò)1分鐘內(nèi)自動(dòng)關(guān)閉的這類病毒比較受我們網(wǎng)管歡迎呢。上網(wǎng)的朋友可以檢查一下網(wǎng)絡(luò)連接的封包發(fā)送，如果自己沒進(jìn)行任何操作的時(shí)候，依然有大量的數(shù)據(jù)報(bào)文不斷發(fā)出——那么有很大可能您中了蠕蟲病毒。

 

蠕蟲病毒查殺：

 

蠕蟲病毒由于感染非常迅速，而且是通過系統(tǒng)漏洞方式感染，所以對(duì)互聯(lián)網(wǎng)絡(luò)的危害相當(dāng)大，唇亡齒寒，因此一般來說發(fā)現(xiàn)了該漏洞的操作系統(tǒng)公司和殺毒公司都不會(huì)坐視不管，會(huì)在第一時(shí)間推出補(bǔ)丁和專殺工具。用戶下載后，斷網(wǎng)進(jìn)行殺毒，然后打上patch，重新啟動(dòng)系統(tǒng)就能避免再次重復(fù)感染了。至于病毒傳播速度太快，在殺毒后下載patch的中途又被重復(fù)感染的問題，可以閱讀：沖擊波和沖擊波克星感染主機(jī)問題解析和刪除沖擊波和沖擊波克星病毒解決方案，舉一反三則可以 。

 

蠕蟲病毒殺毒遺留：

 

由于蠕蟲病毒本身是獨(dú)立程序，利用系統(tǒng)漏洞進(jìn)行遠(yuǎn)程權(quán)限獲取，進(jìn)而上傳，運(yùn)行，感染，所以用專用的軟件殺除后，基本無文件殘留，但部分專殺工具沒有將其啟動(dòng)項(xiàng)目清理得非常完全，可以使用上面查找木馬啟動(dòng)設(shè)置的方法手工查找加載位置進(jìn)行刪除。另外切記一定在殺毒后第一時(shí)間及時(shí)打上補(bǔ)丁，否則重復(fù)感染機(jī)會(huì)高達(dá)100% 。

 

蠕蟲病毒防御：

 

1.勤打補(bǔ)丁，一般說來一個(gè)操作系統(tǒng)被發(fā)現(xiàn)漏洞以后，大概在15天以內(nèi)相關(guān)的病毒就會(huì)出現(xiàn)，因此有必要隨時(shí)關(guān)注自己所使用的操作系統(tǒng)的補(bǔ)丁升級(jí)情況，養(yǎng)成每天定時(shí)查看補(bǔ)丁升級(jí)情形的習(xí)慣。這里的補(bǔ)丁不光包括操作系統(tǒng)自身的，也包含程序服務(wù)的補(bǔ)丁，例如ftp服務(wù)器的補(bǔ)丁等等。

 

2.權(quán)限設(shè)置，很多蠕蟲病毒感染的條件是需要以root級(jí)運(yùn)行的進(jìn)程出現(xiàn)漏洞，那么蠕蟲病毒才有權(quán)限進(jìn)行上載、執(zhí)行的權(quán)利，在windows下由于大多數(shù)后臺(tái)進(jìn)程是以administrator權(quán)限執(zhí)行，帶來的危害也相當(dāng)大；*nix下則可設(shè)置非關(guān)鍵進(jìn)程使用普通用戶或chroot方式來避免權(quán)限提升。

 

3.盡量少開服務(wù)，可開可不開的服務(wù)絕對(duì)不開，最小化風(fēng)險(xiǎn)；

 

4.安裝網(wǎng)絡(luò)封包防火墻，只允許特定的端口的數(shù)據(jù)包通過或者特定的程序訪問網(wǎng)絡(luò)。

 

病毒的其他種類及相關(guān)的詳細(xì)信息請(qǐng)閱讀：腳本病毒、可執(zhí)行文件病毒、后臺(tái)運(yùn)行進(jìn)行惡意控制和破壞病毒