一、蠕虫病毒简介
蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。
比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
在QQ群下载的分享文件打开后会跳转到*网站。这是流行的QQ群蠕虫病毒,不仅会感染PC,安卓手机甚至未越狱的iPhone和iPad也无法幸免。
二、蠕虫病毒的形成原因
漏洞攻击
利用操作系统和应用程序的漏洞主动进行攻击,此类病毒主要是“红色代码”和“尼姆亚”,以及依然肆虐的“求职信”等。由于IE浏览器的漏洞(IFRAMEEXECCOMMAND),使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播,SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。
方式多样
如“尼姆亚”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
新技术
与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VBScript等技术,可以潜伏在HTML页面里,在上网浏览时触发。
*
与*相结合,潜在的威胁和损失更大
以红色代码为例,感染后的机器的web目录的cripts下将生成一个root.exe,可以远程执行任何命令,从而使黑客能够再次进入。蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,可以分为两种,即软件上的缺陷和人为的缺陷。软件上的缺陷,如远程溢出、微软IE和Outlook的自动执行漏洞等等,需要软件厂商和用户共同配合,不断地升级软件。而人为的缺陷,主要指的是计算机用户的疏忽。这就是所谓的社会工程学(socialengineering),当收到一封邮件带着病毒的求职信邮件时候,大多数人都会抱着好奇去点击的。对于企业用户来说,威胁主要集中在服务器和大型应用软件的安全上,而对个人用户而言,主要是防范第二种缺陷。
三、蠕虫病毒的恶意行为
样本会在QQ群共享文件中上传诱导性的网站链接。如果用户被其欺骗,则会点击进入蠕虫的诱导下载网站,此时不管用户点击什么位置,都会触发蠕虫的下载,得到一个压缩包。虽然压缩包不大,仅有1、2M,但是会解压出一个100多M的巨大的可执行文件。在QQ群下载的分享文件打开后会跳转到*网站。不仅会感染PC,安卓手机甚至未越狱的iPhone和iPad也无法幸免。
安全专家分析后发现,在PC端,该蠕虫病毒会下载大量流氓软件,试图欺骗网友安装;而在Android手机上则会弹出全屏广告,并在后台偷偷下载*应用,严重影响手机的正常使用;一向“百毒不侵”的iOS也未能幸免,同样会出现全屏广告,诱导用户下载应用。
这是因为蠕虫会在自身中填充大量的无用数据,用于改变自己的指纹,从而对抗杀毒软件的云查杀策略。
解压出来的可执行文件拥有一个诱惑的名称,并且为了迷惑用户,还会使用一些安全软件常见的信息和数字签名来伪装自己。
当蠕虫运行起来之后,会使用特殊技术手段,尝试获取临时的QQ权限。值得一提的是,虽然QQ已经采用了很多方式来对抗这种非法的访问请求,还给网页加上了验证码等限制,但是此蠕虫会利用打码组件自动识别验证码,在用户还未察觉的情况下绕过这些限制。
当蠕虫拿到临时QQ权限之后,会主动上传*链接文件到用户QQ群共享空间,等到群里的其他用户成员看到之后点击进入蠕虫诱导下载网站,完成下一次的传播,从而使越来越多的用户中毒。
四、蠕虫病毒防范措施
蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,防范邮件蠕虫的最好办法,就是提高自己的安全意识,不要轻易打开带有附件的电子邮件。另外,可以启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能,也可以提高自己对病毒邮件的防护能力。
从2004年起,MSN、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。“性感烤鸡”病毒就通过MSN软件传播,在很短时间内席卷全球,一度造成中国大陆地区部分网络运行异常。
对于普通用户来讲,防范聊天蠕虫的主要措施之一,就是提高安全防范意识,对于通过聊天软件发送的任何文件,都要经过好友确认后再运行;不要随意点击聊天软件发送的网络链接。
病毒并不是非常可怕的,网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏洞!所以防范此类病毒需要注意以下几点:
1、选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮件实时监控发展!另外,面对防不胜防的网页病毒,也使得用户对杀毒软件的要求越来越高!
2、经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快、变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒。
3、提高防杀毒意识。不要轻易去点击陌生的站点,有可能里面就含有恶意代码!
当运行IE时,点击“工具→Internet选项→安全→Internet区域的安全级别”,把安全级别由“中”改为“高”。因为这一类网页主要是含有恶意代码的ActiveX或Applet、JavaScript的网页文件,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止,就可以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。
4、不随意查看陌生邮件,尤其是带有附件的邮件。由于有的病毒邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升级ie和outlook程序,及常用的其他应用程序。
