病毒及攻击防御手册之五

3 ．蠕虫病毒

　　繁殖，繁殖，再繁殖，利用系统漏洞，通过网络感染感染其他计算机，繁殖，繁殖，再繁殖。此类病毒深得“乾坤生两仪，两仪生四象，四象生八卦”之能，每台受感染的机器，本身又以病毒发送者的身份将蠕虫病毒送向四面八方。

　　病毒描述：这类病毒的本质特征之一就是透过网络主动进行感染，本身不具有太多破坏特性，以消耗系统带宽、内存、CPU为主。这类病毒最大的破坏之处不是对终端用户造成的麻烦，而是对网络的中间设备无谓耗用。例如网络中的交换机/路由器/DNS服务器/邮件服务器常常是蠕虫病毒爆发的最大受害者――“互联网瘫痪了！？”――2003年1月的SQL蠕虫爆发就是最好的例证。

　　病毒浅析：在以前，编写这类病毒的技术要求相当高。1988年，前面提到的“磁芯大战”之子罗伯特.莫里斯 在发现了几个系统漏洞后，编写了一个精巧的程序，短短时间便将当时的大半个互联网瘫痪。由以上可以看出，蠕虫的出现，传播，感染是需要系统漏洞和获得系统权限的。莫里斯不愧为技术高手，不光在于对病毒的编写，更在于对系统漏洞的发掘上。随着时间的推移，操作系统的进步，在功能完善的同时，漏洞也随之增加。

　　不少真正的安全小组在发现漏洞的同时，除了会给出详细的技术说明外，往往附带一个小程序的源代码，说明利用漏洞获得权限的实现。而这个小程序被蠕虫病毒编写者如获至宝，将起改写，加上文件传输，ping扫描，修改启动项自动执行等能用代码简单实现的功能，就成了一个蠕虫病毒――换句话说，现在编 写蠕虫病毒的门槛已经大大降低了，所以大家会看到18岁的优秀病毒编写者云云――其实相较起破坏特性来，发现安全漏洞更是需要高超的技术水平――这是安全 小组做到的，而不是病毒编写者。因此可以这样概括：自从莫里斯发明出蠕虫病毒以来，该种病毒的编写者自身实力日渐下降，从操作系统级水平沦落到代码编写级水平，不可同日而语。

　　感染途径：系统漏洞/用户错误权限

　　蠕虫病毒本事是一个需要以一定身份执行的程序。因此通过系统漏洞进行感染是其手段，提升权限是其企图，重复感染是其目的。没打上系统漏洞补丁的操作系统，权限设置松散的设置，极其简单的用户密码是这类病毒的最爱。

　　病毒自查：由于通过网络感染，这类病毒都会大量占用网络带宽。由于现在普通pc的性能相当不错，因此一些新兴的蠕虫病毒在大肆占用网卡发送封包的同时，本机速度不会变的太缓慢，这跟自查带来了一定麻烦。以天缘工作为例，检查到内网中有用户染毒后，电话通知他，结果被反问：“我运行单机程序的时候这么快，只有上网的时候才觉得慢，是不是你们网络中心故意捣乱？？”网管难做啊，不对单机造成任何伤害的病毒用户一般难以察觉，因此还是后来会导致系统出错1分钟内自动关闭的 这类病毒比较受我们网管欢迎呢。上网的朋友可以检查一下网络连接的封包发送，如果自己没进行任何操作的时候，依然有大量的数据报文不断发出――那么有很大 可能您中了蠕虫病毒。

　　病毒查杀：这类蠕虫病毒由于感染非常迅速，而且是通过系统漏洞方式感染，所以对互联网络的危害相当大，唇亡齿寒，因此一般来说发现了该漏洞的操作系统公司和杀毒公司都不会坐视不管，会在第一时间推出补丁和专杀工具。用户下载后，断网进行杀毒，然后打上 patch，重新启动系统就能避免再次重复感染了。至于病毒传播速度太快，在杀毒后下载patch的中途又被重复感染的问题，可见我以前的一篇文章《网管笔记之小兵逞英雄》，举一反三则可以 。

　　杀毒遗留：由于该类病毒本身是独立程序，利用系统漏洞进行远程权限获取，进而上传，运行，感染，所以用专用的软件杀除后，基本无文件残留，但部分专杀工具没有将其启动项目清理得非常完全，可以使用上面查找木马启动设置的方法手工查找加载位置进行删除。另外切记 一定在杀毒后第一时间及时打上补丁，否则重复感染机会高达100% 。

　　病毒防御：

　　1.勤打补丁，一般说来一个操作系统被发现漏洞以后，大概在15天以内相关的病毒就会出现，因此有必要随时关注自己所使用的操作系统的补丁升级 情况，养成每天定时查看补丁升级情形的习惯。这里的补丁不光包括操作系统自身的，也包含程序服务的补丁，例如ftp服务器的补丁等等。

　　2.权限设置，很多蠕虫感染的条件是需要以root级运行的进程出现漏洞，那么蠕虫才有权限进行上载、执行的权利，在windows下由于大多数后台进程是以administrator权限执行，带来的危害也相当大；*nix下则可设置非关键进程使用普通用户或chroot方式来避免权限提升。

　　3.尽量少开服务，可开可不开的服务绝对不开，最小化风险；

　　4.安装网络封包防火墙，只允许特定的端口的数据包通过或者特定的程序访问网络。这部分我们放在后面攻击防御那里介绍。