比如近幾年危害很大的“尼姆亞”病毒就是蠕蟲病毒的一種，2007年1月流行的“熊貓燒香”以及其變種也是蠕蟲病毒。這一病毒利用了微軟視窗操作系統(tǒng)的漏洞，計算機感染這一病毒后，會不斷自動撥號上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡(luò)共享進行傳播，最終破壞用戶的大部分重要數(shù)據(jù)。所以今天學(xué)習(xí)啦小編就跟大家介紹下電腦病毒蟲有哪些。

　　電腦病毒蟲：蠕蟲病毒

　　蠕蟲病毒是一種常見的計算機病毒。它是利用網(wǎng)絡(luò)進行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。最初的蠕蟲病毒定義是因為在DOS環(huán)境下，病毒發(fā)作時會在屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲病毒是自包含的程序(或是一套程序)，它能傳播自身功能的拷貝或自身的某些部分到其他的計算機系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連接)。

　　蠕蟲病毒是自包含的程序(或是一套程序),它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連接)。請注意，與一般病毒不同，蠕蟲不需要將其自身附著到宿主程序，有兩種類型的蠕蟲：主機蠕蟲與網(wǎng)絡(luò)蠕蟲。主計算機蠕蟲完全包含在它們運行的計算機中，并且使用網(wǎng)絡(luò)的連接僅將自身拷貝到其他的計算機中，主計算機蠕蟲在將其自身的拷貝加入到另外的主機后，就會終止它自身(因此在任意給定的時刻，只有一個蠕蟲的拷貝運行)，這種蠕蟲有時也叫"野兔"，蠕蟲病毒一般是通過1434端口漏洞傳播。

　　在QQ群下載的分享文件打開后會跳轉(zhuǎn)到色情網(wǎng)站。這是流行的QQ群蠕蟲病毒，不僅會感染PC，安卓手機甚至未越獄的iPhone和iPad也無法幸免。

　　形成原因

　　漏洞攻擊

　　利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行攻擊

　　此類病毒主要是“紅色代碼”和“尼姆亞”，以及依然肆虐的“求職信”等。由于IE瀏覽器的漏洞(IFRAMEEXECCOMMAND)，使得感染了“尼姆亞”病毒的郵件在不去手工打開附件的情況下病毒就能激活，而此前即便是很多防病毒專家也一直認為，帶有病毒附件的郵件，只要不去打開附件，病毒不會有危害。“紅色代碼”是利用了微軟IIS服務(wù)器軟件的漏洞(idq.dll遠程緩存區(qū)溢出)來傳播，SQL蠕蟲王病毒則是利用了微軟的數(shù)據(jù)庫系統(tǒng)的一個漏洞進行大肆攻擊。

　　方式多樣

　　如“尼姆亞”病毒和”求職信”病毒，可利用的傳播途徑包括文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享等等。

　　新技術(shù)

　　與傳統(tǒng)的病毒不同的是，許多新病毒是利用當(dāng)前最新的編程語言與編程技術(shù)實現(xiàn)的，易于修改以產(chǎn)生新的變種，從而逃避反病毒軟件的搜索。另外，新病毒利用Java、ActiveX、VBScript等技術(shù)，可以潛伏在HTML頁面里，在上網(wǎng)瀏覽時觸發(fā)。

　　惡意行為與查殺

　　惡意行為

　　樣本會在QQ群共享文件中上傳誘導(dǎo)性的網(wǎng)站鏈接。如果用戶被其欺騙，則會點擊進入蠕蟲的誘導(dǎo)下載網(wǎng)站，此時不管用戶點擊什么位置，都會觸發(fā)蠕蟲的下載，得到一個壓縮包。雖然壓縮包不大，僅有1、2M，但是會解壓出一個100多M的巨大的可執(zhí)行文件。在QQ群下載的分享文件打開后會跳轉(zhuǎn)到色情網(wǎng)站。不僅會感染PC，安卓手機甚至未越獄的iPhone和iPad也無法幸免[3] 。

　　安全專家分析后發(fā)現(xiàn)，在PC端，該蠕蟲病毒會下載大量流氓軟件，試圖欺騙網(wǎng)友安裝;而在Android手機上則會彈出全屏廣告，并在后臺偷偷下載色情應(yīng)用，嚴重影響手機的正常使用;一向“百毒不侵”的iOS也未能幸免，同樣會出現(xiàn)全屏廣告，誘導(dǎo)用戶下載應(yīng)用。

　　這是因為蠕蟲會在自身中填充大量的無用數(shù)據(jù)，用于改變自己的指紋，從而對抗殺毒軟件的云查殺策略。

　　解壓出來的可執(zhí)行文件擁有一個誘惑的名稱，并且為了迷惑用戶，還會使用一些安全軟件常見的信息和數(shù)字簽名來偽裝自己。

　　當(dāng)蠕蟲運行起來之后，會使用特殊技術(shù)手段，嘗試獲取臨時的QQ權(quán)限。值得一提的是，雖然QQ已經(jīng)采用了很多方式來對抗這種非法的訪問請求，還給網(wǎng)頁加上了驗證碼等限制，但是此蠕蟲會利用打碼組件自動識別驗證碼，在用戶還未察覺的情況下繞過這些限制。

　　當(dāng)蠕蟲拿到臨時QQ權(quán)限之后，會主動上傳色情鏈接文件到用戶QQ群共享空間，等到群里的其他用戶成員看到之后點擊進入蠕蟲誘導(dǎo)下載網(wǎng)站，完成下一次的傳播，從而使越來越多的用戶中毒。

　　背景信息

　　計算機蠕蟲(Worm)與病毒、木馬等類似，都是在用戶不知情的情況下，偷偷執(zhí)行預(yù)期外的惡意行為，以達到破壞電腦環(huán)境、竊取用戶信息或傳播自身等操作[1] 。

　　從傳播方式上來說，病毒和木馬需要破壞者進行主動的傳播;感染型病毒可以搜索并感染同一臺電腦上能夠訪問到的其它文件。與它們不同的是，蠕蟲的主要行為是努力通過各種途徑將自身或變種傳播到其它電腦終端上，因此可能造成更廣泛的危害。

　　蠕蟲的傳播方式有：通過操作系統(tǒng)漏洞傳播、通過電子郵件傳播、通過網(wǎng)絡(luò)攻擊傳播、通過移動設(shè)備進行傳播、通過即時通訊等社交網(wǎng)絡(luò)傳播。

　　除此之外，蠕蟲通常還會在傳播的同時執(zhí)行一些其它的惡意行為，以達到自己的目的。

　　查殺

　　哈勃文件分析系統(tǒng)能夠?qū)υ擃悩颖具M行安全警示。

　　騰訊電腦管家能對該類樣本準確識別和查殺

　　黑客技術(shù)

　　與黑客技術(shù)相結(jié)合，潛在的威脅和損失更大

　　以紅色代碼為例，感染后的機器的web目錄的\scripts下將生成一個root.exe，可以遠程執(zhí)行任何命令，從而使黑客能夠再次進入。蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞，這里的漏洞或者說是缺陷，可以分為兩種，即軟件上的缺陷和人為的缺陷。軟件上的缺陷，如遠程溢出、微軟IE和Outlook的自動執(zhí)行漏洞等等，需要軟件廠商和用戶共同配合，不斷地升級軟件。而人為

　　的缺陷，主要指的是計算機用戶的疏忽。這就是所謂的社會工程學(xué)(socialengineering)，當(dāng)收到一封郵件帶著病毒的求職信郵件時候，大多數(shù)人都會抱著好奇去點擊的。對于企業(yè)用戶來說，威脅主要集中在服務(wù)器和大型應(yīng)用軟件的安全上，而對個人用戶而言，主要是防范第二種缺陷。

　　在以上分析的蠕蟲病毒中，只對安裝了特定的微軟組件的系統(tǒng)進行攻擊，而對廣大個人用戶而言，是不會安裝IIS(微軟的因特網(wǎng)服務(wù)器程序，可以允許在網(wǎng)上提供web服務(wù))或者是龐大的數(shù)據(jù)庫系統(tǒng)的。因此，上述病毒并不會直接攻擊個人用戶的電腦(當(dāng)然能夠間接的通過網(wǎng)絡(luò)產(chǎn)生影響)。但接下來分析的蠕蟲病毒，則是對個人用戶威脅最大，同時也是最難以根除，造成的損失也更大的一類蠕蟲病毒。對于個人用戶而言，威脅大的蠕蟲病毒采取的傳播方式，一般為電子郵件(Email)以及惡意網(wǎng)頁等等。

　　對于利用電子郵件傳播的蠕蟲病毒來說，通常利用的是各種各樣的欺騙手段誘惑用戶點擊的方式進行傳播。惡意網(wǎng)頁確切地講是一段黑客破壞代碼程序，它內(nèi)嵌在網(wǎng)頁中，當(dāng)用戶在不知情的情況下打開含有病毒的網(wǎng)頁時，病毒就會發(fā)作。這種病毒代碼鑲嵌技術(shù)的原理并不復(fù)雜，所以會被很多懷不良企圖者利用，在很多黑客網(wǎng)站竟然出現(xiàn)了關(guān)于用網(wǎng)頁進行破壞的技術(shù)的論壇，并提供破壞程序代碼下載，從而造成了惡意網(wǎng)頁的大面積泛濫，也使越來越多的用戶遭受損失。對于惡意網(wǎng)頁，常常采取vbscript和javascript編程的形式，由于編程方式十分的簡單，所以在網(wǎng)上非常的流行。

　　Vbscript是由微軟操作系統(tǒng)的wsh(WindowsScriptingHostWindows腳本主機)解析并執(zhí)行的，由于其編程非常簡單，所以此類腳本病毒在網(wǎng)上瘋狂傳播，瘋狂一時的愛蟲病毒就是一種vbs腳本病毒，然后偽裝成郵件附件誘惑用戶點擊運行。更為可怕的是，這樣的病毒是以源代碼的形式出現(xiàn)的，只要懂得一點關(guān)于腳本編程的人就可以修改其代碼，形成各種各樣的變種。

　　電腦病毒蟲：愛蟲病毒

　　2000年5月4日，一種名為“我愛你”的電腦病毒開始在全球各地迅速傳播。這個病毒是通過Microsoft Outlook電子郵件系統(tǒng)傳播的，郵件的主題為“I LOVE YOU”，并包含一個附件。一旦在Microsoft Outlook里打開這個郵件，系統(tǒng)就會自動復(fù)制并向地址簿中的所有郵件電址發(fā)送這個病毒。 “我愛你”病毒，又稱“愛蟲”病毒，是一種蠕蟲病毒，它與1999年的梅麗莎病毒非常相似。據(jù)稱，這個病毒可以改寫本地及網(wǎng)絡(luò)硬盤上面的某些文件。用戶機器染毒以后，郵件系統(tǒng)將會變慢，并可能導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)崩潰。

　　背景資料

　　由于是通過電子郵件系統(tǒng)傳播，“我愛你”病毒在很短的時間內(nèi)就襲擊了全球無以數(shù)計的電腦，并且，從被感染的電腦系統(tǒng)來看，“愛蟲”病毒的襲擊對象并不是普通的計算機用戶，而是那些具有高價值IT資源的電腦系統(tǒng)：美國國防部的多個安全部門、中央情報局、英國國會等政府機構(gòu)及多個跨國公司的電子郵件系統(tǒng)遭到襲擊。

　　據(jù)稱：“愛蟲”病毒是迄今為止發(fā)現(xiàn)的傳染速度最快而且傳染面積最廣的計算機病毒，它已對全球包括股票經(jīng)紀、食品、媒體、汽車和技術(shù)公司以及大學(xué)甚至醫(yī)院在內(nèi)的眾多機構(gòu)造成了負面影響。目前，“愛蟲”仍在迅速擴散之中，其危害性將繼續(xù)擴大。

　　變種

　　在瘋狂的“愛蟲”病毒被發(fā)現(xiàn)當(dāng)天不久，冠群金辰的全球病毒監(jiān)測網(wǎng)發(fā)現(xiàn)，該病毒為了誘惑更多的網(wǎng)絡(luò)用戶上當(dāng)，現(xiàn)又生成另外一種變型病毒，帶有這種病毒的電子郵件主題詞中往往帶有“笑話”一詞，以引誘用戶打開郵件。預(yù)計，在未來幾天之內(nèi)“我愛你”病毒還會生成更多種類的變型病毒。

　　此次被冠群金辰公司發(fā)現(xiàn)的這種新變型除了在電子郵件的主題詞中寫有“笑話”一詞以外，其附件中還帶有一個名為“特別可笑”的文件夾。為此，冠群金辰特提醒廣大網(wǎng)絡(luò)用戶千萬不要打開任何帶有上述標志的電子郵件并應(yīng)立即將之刪除。同時，冠群金辰提醒計算機用戶要及時升級KILL反病毒軟件，因為KILL最新病毒庫版本已可查殺此病毒。

　　細節(jié)分析

　　VBS/LoveLetter.A蠕蟲

　　VBS/LoveLetter.A 蠕蟲的特征

　　VBS/LoveLetter.A 是一個基于 e-mail 的VBS(Visual Basic Script)蠕蟲，它以一個電子郵件的附件到達您的郵箱，郵件的主題是 ILOVEYOU(全大寫，無空格)。

　　e-mail 的正文：

　　請盡快查收來自我的郵件附件的LOVELETTER。

　　e-mail 帶有名為 LOVE-LETTER-FOR-YOU.TXT.vbs 的附件。.VBS擴展名是否顯示，依賴于系統(tǒng)的設(shè)置。

　　如果您收到了一封與以上所述相符的e-mail，您不要打開郵件的附件，并立即刪除e-mail。

　　LoveLetter蠕蟲通過產(chǎn)生如上所述的e-mail 傳播，蠕蟲自身作為郵件的附件，且發(fā)送給在Outlook 通訊簿中的所有收件人。在大的機構(gòu)中，產(chǎn)生的大量e-mail 可能會使電子郵件服務(wù)器超載，處于癱瘓狀態(tài)。

　　LoveLetter蠕蟲傳播的目標是Windows 98, 缺省安裝的Windows 2000 和Windows NT 4.0以及安裝了Windows Scripting Host(WSH)引擎的Windows 95系統(tǒng)。蠕蟲使用不同的名字將自身復(fù)制到多重子目錄中：

　　在Windows目錄中的文件名是Win32DLL.vbs，在\Windows\system目錄中的文件名為MSKernel32.vbs 和 LOVE-LETTER-FOR-YOU.TXT.vbs。

　　LoveLetter蠕蟲修改注冊表信息，以便它在下次啟動時能運行：

　　HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs

　　C:\WINDOWS\SYSTEM\MSKernel32.vbs

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win

　　32DLL=C:\WINDOWS\Win32DLL.vbs

　　蠕蟲還設(shè)置缺省的IE(Internet Explorer)主頁，下載WIN_BUGFIX.exe 文件的一個副本，該文件看起來是一個“后門服務(wù)器”(backdoor server)。該文件在Web上真實的位置目前是關(guān)閉的?！KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=C:\WINDOWS\SYSTEM\WinFAT32

　　LoveLetter蠕蟲搜索所有的子目錄，并用自身的副本覆蓋(overwrite)擴展名為JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2 的所有文件，給無VBS(non-VBS)后綴的文件名添加VBS擴展名。如：一個名為的文件將變?yōu)?。下一次染毒文件被點擊或被激活，蠕蟲將開始傳播。

　　如果IRC(在線聊天系統(tǒng))客戶在系統(tǒng)中出現(xiàn)，LoveLetter蠕蟲將產(chǎn)生一個HTML文件，將自身發(fā)送到IRC通道中。

　　預(yù)防

　　愛蟲病毒的厲害之處在于，它能夠通過Microsoft Outlook自動向被感染者地址簿中所有郵件發(fā)送病毒，造成網(wǎng)絡(luò)系統(tǒng)崩潰。此病毒與去年曾一度鬧的人心惶惶的美麗殺手(即Melissa，梅麗莎病毒)病毒有類似的傳播手段。相比較而言，此病毒的感染性更強，它可尋找本地驅(qū)動器和映射驅(qū)動器，并在系統(tǒng)所有目錄和子目錄中搜索可以感染的目標。這也是此病毒能夠在美麗殺手爆發(fā)一年后，再次造成全球大面積網(wǎng)絡(luò)癱瘓的一個重要原因。

　　冠群金辰認為21世紀網(wǎng)絡(luò)的發(fā)展為企業(yè)和個人孕育著無限的商機，但是，伴隨網(wǎng)絡(luò)接踵而來的黑客大肆攻擊網(wǎng)站事件、蠕蟲病毒導(dǎo)致嚴重網(wǎng)絡(luò)癱瘓事件，已經(jīng)不斷向人們敲響了網(wǎng)絡(luò)安全的警鐘。據(jù)冠群金辰對當(dāng)前病毒傳播手段的統(tǒng)計表明，企業(yè)當(dāng)前面臨的網(wǎng)絡(luò)不安全因素主要源于郵件系統(tǒng);而對個人用戶構(gòu)成最大、最多威脅的病毒也多通過郵件、網(wǎng)絡(luò)進行傳播，以“美麗殺手”“ZIP蠕蟲”“愛蟲”等大量通過互聯(lián)網(wǎng)郵件系統(tǒng)自動的病毒呈現(xiàn)出爆發(fā)頻率加快的態(tài)勢。因此，作為一個反毒廠家目前要作到的就是從企業(yè)內(nèi)部的每一個可能傳播病毒的計算機和服務(wù)器進行防護，特別值得指出的是，針對郵件系統(tǒng)的安全防護已經(jīng)成為企業(yè)目前必須解決網(wǎng)絡(luò)的安全問題。并且企業(yè)級的網(wǎng)絡(luò)安全產(chǎn)品必須具備優(yōu)秀先進的實時防護技術(shù)，全平臺防護技術(shù)，同時安全產(chǎn)品應(yīng)針對病毒、蠕蟲這些頻繁出現(xiàn)的不安全因素提供病毒快速捕捉及病毒庫升級功能，即具備全球病毒監(jiān)測及全國服務(wù)網(wǎng)的能力。

　　針對目前企業(yè)受到郵件病毒爆發(fā)的威脅的情況，冠群金辰推出了一系列專門針對企業(yè)用戶的套裝組合，在此套裝組合中，冠群金辰公司將的KILL for Microsoft Exchange和KILL for Lotus Notes兩種唯一通過公安部評測的郵件群件防護軟件與KILL網(wǎng)絡(luò)版的服務(wù)器端產(chǎn)品和客戶端產(chǎn)品無縫集成在一起，為用戶提供先進的病毒檢測技術(shù)、通過對服務(wù)器、郵件服務(wù)器、客戶端的3位一體全面防護，從而達到自動發(fā)現(xiàn)，自動報警，自動清除所有通過網(wǎng)絡(luò)傳播的病毒的功能，時時刻刻全方位保護用戶的郵件及文件系統(tǒng)，確保用戶不會受到“愛蟲”一類病毒困擾。企業(yè)的網(wǎng)絡(luò)將能夠真正構(gòu)架起安全的樓宇。