病毒檔案之蠕蟲病毒解析

 

蠕蟲病毒的本質特征之一就是透過網絡主動進行感染，本身不具有太多破壞特性，以消耗系統帶寬、內存、CPU為主。這類病毒最大的破壞之處不是對終端用戶造成的麻煩，而是對網絡的中間設備無謂耗用。例如網絡中的交換機/路由器/DNS服務器/郵件服務器常常是蠕蟲病毒爆發的最大受害者——“互聯網癱瘓了”——2003年1月的SQL蠕蟲病毒爆發就是最好的例證。

 

蠕蟲病毒淺析：

 

在以前，編寫蠕蟲病毒的技術要求相當高。1988年，前面提到的“磁芯大戰”之子羅伯特.莫里斯在發現了幾個系統漏洞后，編寫了一個精巧的程序，短短時間便將當時的大半個互聯網癱瘓。由以上可以看出，蠕蟲的出現，傳播，感染是需要系統漏洞和獲得系統權限的。莫里斯不愧為技術高手，不光在于對病毒的編寫，更在于對系統漏洞的發掘上。隨著時間的推移，操作系統的進步，在功能完善的同時，漏洞也隨之增加。

 

不少真正的安全小組在發現漏洞的同時，除了會給出詳細的技術說明外，往往附帶一個小程序的源代碼，說明利用漏洞獲得權限的實現。而這個小程序被蠕蟲病毒編寫者如獲至寶，將起改寫，加上文件傳輸，ping掃描，修改啟動項自動執行等能用代碼簡單實現的功能，就成了一個蠕蟲病毒——換句話說，現在編寫蠕蟲病毒的門檻已經大大降低了，所以大家會看到18歲的優秀病毒編寫者云云——其實相較起破壞特性來，發現安全漏洞更是需要高超的技術水平——這是安全小組做到的，而不是病毒編寫者。因此可以這樣概括：自從莫里斯發明出蠕蟲病毒以來，該種病毒的編寫者自身實力日漸下降，從操作系統級水平淪落到代碼編寫級水平，不可同日而語。

 

蠕蟲病毒感染途徑：

 

系統漏洞/用戶錯誤權限：蠕蟲病毒本事是一個需要以一定身份執行的程序。因此通過系統漏洞進行感染是其手段，提升權限是其企圖，重復感染是其目的。沒打上系統漏洞補丁的操作系統，權限設置松散的設置，極其簡單的用戶密碼是這類病毒的最愛。

 

蠕蟲病毒自查：

 

由于通過網絡感染，蠕蟲病毒都會大量占用網絡帶寬。由于現在普通pc的性能相當不錯，因此一些新興的蠕蟲病毒在大肆占用網卡發送封包的同時，本機速度不會變的太緩慢，這跟自查帶來了一定麻煩。以天緣工作為例，檢查到內網中有用戶染毒后，電話通知他，結果被反問：“我運行單機程序的時候這么快，只有上網的時候才覺得慢，是不是你們網絡中心故意搗亂？？”網管難做啊，不對單機造成任何傷害的病毒用戶一般難以察覺，因此還是后來會導致系統出錯1分鐘內自動關閉的這類病毒比較受我們網管歡迎呢。上網的朋友可以檢查一下網絡連接的封包發送，如果自己沒進行任何操作的時候，依然有大量的數據報文不斷發出——那么有很大可能您中了蠕蟲病毒。

 

蠕蟲病毒查殺：

 

蠕蟲病毒由于感染非常迅速，而且是通過系統漏洞方式感染，所以對互聯網絡的危害相當大，唇亡齒寒，因此一般來說發現了該漏洞的操作系統公司和殺毒公司都不會坐視不管，會在第一時間推出補丁和專殺工具。用戶下載后，斷網進行殺毒，然后打上patch，重新啟動系統就能避免再次重復感染了。至于病毒傳播速度太快，在殺毒后下載patch的中途又被重復感染的問題，可以閱讀：沖擊波和沖擊波克星感染主機問題解析和刪除沖擊波和沖擊波克星病毒解決方案，舉一反三則可以 。

 

蠕蟲病毒殺毒遺留：

 

由于蠕蟲病毒本身是獨立程序，利用系統漏洞進行遠程權限獲取，進而上傳，運行，感染，所以用專用的軟件殺除后，基本無文件殘留，但部分專殺工具沒有將其啟動項目清理得非常完全，可以使用上面查找木馬啟動設置的方法手工查找加載位置進行刪除。另外切記一定在殺毒后第一時間及時打上補丁，否則重復感染機會高達100% 。

 

蠕蟲病毒防御：

 

1.勤打補丁，一般說來一個操作系統被發現漏洞以后，大概在15天以內相關的病毒就會出現，因此有必要隨時關注自己所使用的操作系統的補丁升級情況，養成每天定時查看補丁升級情形的習慣。這里的補丁不光包括操作系統自身的，也包含程序服務的補丁，例如ftp服務器的補丁等等。

 

2.權限設置，很多蠕蟲病毒感染的條件是需要以root級運行的進程出現漏洞，那么蠕蟲病毒才有權限進行上載、執行的權利，在windows下由于大多數后臺進程是以administrator權限執行，帶來的危害也相當大；*nix下則可設置非關鍵進程使用普通用戶或chroot方式來避免權限提升。

 

3.盡量少開服務，可開可不開的服務絕對不開，最小化風險；

 

4.安裝網絡封包防火墻，只允許特定的端口的數據包通過或者特定的程序訪問網絡。

 

病毒的其他種類及相關的詳細信息請閱讀：腳本病毒、可執行文件病毒、后臺運行進行惡意控制和破壞病毒