蠕蟲病毒的本質(zhì)特征之一就是透過網(wǎng)絡(luò)主動進行感染，本身不具有太多破壞特性，以消耗系統(tǒng)帶寬、內(nèi)存、CPU為主。這類病毒最大的破壞之處不是對終端用戶造成的麻煩，而是對網(wǎng)絡(luò)的中間設(shè)備無謂耗用。例如網(wǎng)絡(luò)中的交換機/路由器/DNS服務(wù)器/郵件服務(wù)器常常是蠕蟲病毒爆發(fā)的最大受害者——“互聯(lián)網(wǎng)癱瘓了”——2003年1月的SQL蠕蟲病毒爆發(fā)就是最好的例證。

 

蠕蟲病毒淺析：

 

在以前，編寫蠕蟲病毒的技術(shù)要求相當(dāng)高。1988年，前面提到的“磁芯大戰(zhàn)”之子羅伯特.莫里斯在發(fā)現(xiàn)了幾個系統(tǒng)漏洞后，編寫了一個精巧的程序，短短時間便將當(dāng)時的大半個互聯(lián)網(wǎng)癱瘓。由以上可以看出，蠕蟲的出現(xiàn)，傳播，感染是需要系統(tǒng)漏洞和獲得系統(tǒng)權(quán)限的。莫里斯不愧為技術(shù)高手，不光在于對病毒的編寫，更在于對系統(tǒng)漏洞的發(fā)掘上。隨著時間的推移，操作系統(tǒng)的進步，在功能完善的同時，漏洞也隨之增加。

 

不少真正的安全小組在發(fā)現(xiàn)漏洞的同時，除了會給出詳細(xì)的技術(shù)說明外，往往附帶一個小程序的源代碼，說明利用漏洞獲得權(quán)限的實現(xiàn)。而這個小程序被蠕蟲病毒編寫者如獲至寶，將起改寫，加上文件傳輸，ping掃描，修改啟動項自動執(zhí)行等能用代碼簡單實現(xiàn)的功能，就成了一個蠕蟲病毒——換句話說，現(xiàn)在編寫蠕蟲病毒的門檻已經(jīng)大大降低了，所以大家會看到18歲的優(yōu)秀病毒編寫者云云——其實相較起破壞特性來，發(fā)現(xiàn)安全漏洞更是需要高超的技術(shù)水平——這是安全小組做到的，而不是病毒編寫者。因此可以這樣概括：自從莫里斯發(fā)明出蠕蟲病毒以來，該種病毒的編寫者自身實力日漸下降，從操作系統(tǒng)級水平淪落到代碼編寫級水平，不可同日而語。

 

蠕蟲病毒感染途徑：

 

系統(tǒng)漏洞/用戶錯誤權(quán)限：蠕蟲病毒本事是一個需要以一定身份執(zhí)行的程序。因此通過系統(tǒng)漏洞進行感染是其手段，提升權(quán)限是其企圖，重復(fù)感染是其目的。沒打上系統(tǒng)漏洞補丁的操作系統(tǒng)，權(quán)限設(shè)置松散的設(shè)置，極其簡單的用戶密碼是這類病毒的最愛。

 

蠕蟲病毒自查：

 

由于通過網(wǎng)絡(luò)感染，蠕蟲病毒都會大量占用網(wǎng)絡(luò)帶寬。由于現(xiàn)在普通pc的性能相當(dāng)不錯，因此一些新興的蠕蟲病毒在大肆占用網(wǎng)卡發(fā)送封包的同時，本機速度不會變的太緩慢，這跟自查帶來了一定麻煩。以天緣工作為例，檢查到內(nèi)網(wǎng)中有用戶染毒后，電話通知他，結(jié)果被反問：“我運行單機程序的時候這么快，只有上網(wǎng)的時候才覺得慢，是不是你們網(wǎng)絡(luò)中心故意搗亂？？”網(wǎng)管難做啊，不對單機造成任何傷害的病毒用戶一般難以察覺，因此還是后來會導(dǎo)致系統(tǒng)出錯1分鐘內(nèi)自動關(guān)閉的這類病毒比較受我們網(wǎng)管歡迎呢。上網(wǎng)的朋友可以檢查一下網(wǎng)絡(luò)連接的封包發(fā)送，如果自己沒進行任何操作的時候，依然有大量的數(shù)據(jù)報文不斷發(fā)出——那么有很大可能您中了蠕蟲病毒。

 

蠕蟲病毒查殺：

 

蠕蟲病毒由于感染非常迅速，而且是通過系統(tǒng)漏洞方式感染，所以對互聯(lián)網(wǎng)絡(luò)的危害相當(dāng)大，唇亡齒寒，因此一般來說發(fā)現(xiàn)了該漏洞的操作系統(tǒng)公司和殺毒公司都不會坐視不管，會在第一時間推出補丁和專殺工具。用戶下載后，斷網(wǎng)進行殺毒，然后打上patch，重新啟動系統(tǒng)就能避免再次重復(fù)感染了。至于病毒傳播速度太快，在殺毒后下載patch的中途又被重復(fù)感染的問題，可以閱讀：沖擊波和沖擊波克星感染主機問題解析和刪除沖擊波和沖擊波克星病毒解決方案，舉一反三則可以 。

 

蠕蟲病毒殺毒遺留：

 

由于蠕蟲病毒本身是獨立程序，利用系統(tǒng)漏洞進行遠程權(quán)限獲取，進而上傳，運行，感染，所以用專用的軟件殺除后，基本無文件殘留，但部分專殺工具沒有將其啟動項目清理得非常完全，可以使用上面查找木馬啟動設(shè)置的方法手工查找加載位置進行刪除。另外切記一定在殺毒后第一時間及時打上補丁，否則重復(fù)感染機會高達100% 。

 

蠕蟲病毒防御：

 

1.勤打補丁，一般說來一個操作系統(tǒng)被發(fā)現(xiàn)漏洞以后，大概在15天以內(nèi)相關(guān)的病毒就會出現(xiàn)，因此有必要隨時關(guān)注自己所使用的操作系統(tǒng)的補丁升級情況，養(yǎng)成每天定時查看補丁升級情形的習(xí)慣。這里的補丁不光包括操作系統(tǒng)自身的，也包含程序服務(wù)的補丁，例如ftp服務(wù)器的補丁等等。

 

2.權(quán)限設(shè)置，很多蠕蟲病毒感染的條件是需要以root級運行的進程出現(xiàn)漏洞，那么蠕蟲病毒才有權(quán)限進行上載、執(zhí)行的權(quán)利，在windows下由于大多數(shù)后臺進程是以administrator權(quán)限執(zhí)行，帶來的危害也相當(dāng)大；*nix下則可設(shè)置非關(guān)鍵進程使用普通用戶或chroot方式來避免權(quán)限提升。

 

3.盡量少開服務(wù)，可開可不開的服務(wù)絕對不開，最小化風(fēng)險；

 

4.安裝網(wǎng)絡(luò)封包防火墻，只允許特定的端口的數(shù)據(jù)包通過或者特定的程序訪問網(wǎng)絡(luò)。

 

病毒的其他種類及相關(guān)的詳細(xì)信息請閱讀：腳本病毒、可執(zhí)行文件病毒、后臺運行進行惡意控制和破壞病毒