第三节 蠕虫病毒的发作现象及处理方法

【视频讲解：蠕虫病毒的发作现象及处理方法（上）】

　　蠕虫病毒进入系统并且成功运行后，会搜索当前系统中Outlook通讯簿中存储的邮件地址并进行搜索，每当搜索到一个邮件地址时就会生成一个邮件，然后将病毒文件作为邮件的附件，并且将附件的名称改为一个比较具有诱惑力的名字（例如，“你的银行密码”、“美女图片”等）以吸引邮件接收者打开附件。

5.3.1 尼姆达（Nimda）病毒

　　尼姆达（Nimda）病毒是蠕虫类病毒中具有代表性的病毒之一，它综合运用了当时流行的所有传播方式，因此传播更快，破坏性更大。尼姆达（Nimda）病毒有以下几种传播方式：

　　1、感染文件
　　这是最为常见的病毒传播方式。尼姆达病毒会找到本机系统中的EXE文件，并将病毒代码置入原文件体内，从而达到对文件的感染。当用户执行这些文件的时候，就会传播病毒。

　　2、乱发邮件
尼姆达病毒利用MAPI从邮件的客户端及HTML文件中搜索邮件地址，然后将病毒发送给这些地址。这些邮件包含一个名为README.EXE的附件，在某些系统（Windows NT及Windows 9x未安装相应的补丁）中该README.EXE能够自动执行，从而感染整个系统。

　　3、网络蠕虫
　　尼姆达病毒还会扫描Internet，试图找到WWW主机。一旦找到这样的服务器，蠕虫便会利用已知的系统漏洞来感染该服务器，如果成功，蠕虫将会随机修改该站点的WEB页，当用户浏览该站点时就会在不知不觉中被感染。尼姆达病毒在全球的传播

　　4、局域网传播
　　尼姆达病毒还会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便把一个名为RICHED20.DLL的隐藏文件安装到每一个包含DOC和EML文件的目录中。当用户通过Word、写字板、Outlook打开DOC或EML文档时，这些应用程序将执行RICHED20.DLL文件，从而使计算机被感染。同时，该病毒还可以感染远程服务器中的启动文件。

　　蠕虫病毒的出现可以说是网络管理员的一个噩梦。面对快速复制和疯狂传播的病毒，除了使用网络版杀毒软件进行全网监控和全网查杀以外，还有几点需要客户端使用者与管理员互相配合，共同防范：

　　（1）用户在网络中共享的文件夹一定要将访问权限设置为只读，而且最好给共享文件夹设置一个访问账号和密码。这样病毒在传播的过程中会因为权限不够而造成复制失败。
　　（2）要定期检查自己的系统内是否具有可写权限的共享文件夹（见图5-11），一旦发现，要及时关闭该权限。
　　（3）要定期检查计算机中的账户，查看是否存在不明账户。一旦发现应立即删除该账户，并且要禁用Guest账号，以防止被病毒利用。
　　（4）给计算机中的账户设置比较复杂的密码，以防止被病毒破译。如果在自己的共享文件夹内发现了不明文件，最好将其删除，千万不要尝试打开甚至启动运行。

　　病毒的防范是一项综合的工程，仅靠软件、硬件的配置是远远不够的，只有提高警惕，增强防范意识，掌握必要的防范技巧，“全民皆兵”，才能构筑起病毒防范的坚固防线。从这个角度讲，蠕虫病毒的暴发无疑给我们上了一堂很好的信息安全课。

5.3.2 W32.Sircam病毒

　　“W32.Sircam.Worm”病毒是一种首发于英国的恶性网络蠕虫病毒，具有较高的危害程度，主要通过电子邮件附件进行传播。
　　该病毒邮件的主题往往是随机的，并且带有一个含有病毒代码的附件，附件的名称与主题名称相同。在邮件正文中，第一行往往是“Hi! How are you?”，或者是西班牙文“Hola como estas ?”
　　然后是一些随机内容，大体是让接收者打开或下载附件的内容，最后会用英文或西班牙文（“See you later. Thanks”或“Nos vemos pronto, gracias.”）作为结束。
　　病毒在用户每一次启动计算机时，都会自动地在硬盘中写入垃圾文件，直至吞噬掉硬盘中所有的可用空间，导致系统无法工作。

　　Sircam病毒的手工清除方法：

　　（1）Sircam病毒将Sircam.sys文件隐藏在回收站中，所以首先要先清空回收站。
　　（2）在DOS系统下打开Autoexec.bat文件，删除含有“\recycled\sirc32.exe”字符的一行字符。
　　（3）由于Sircam病毒在每运行一次exe文件时都会发作一次，所以在更改注册表前，先进入DOS系统，键入“copy regedit.exe regedit.com”，将regedit.exe改名为regedit.com。
　　（4）回到Windows注册表，查找 HKEY_CLASSES_ROOT\exefile\shell\open\command，删除原有键值，并将该键值改为“%1”%*；查找主键 HKEY_LOCAL_MACHINE\Software\SirCam并将其删除；查找主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices，在其右侧的面板中删除Driver32。

5.3.3 SCO炸弹（Worm.Novarg）

【视频讲解：蠕虫病毒的发作现象及处理方法（中）】

　　“SCO炸弹”（Worm.Novarg）是2004年1月暴发的传播力极强的蠕虫病毒。病毒通过电子邮件传播。
　　当病毒感染用户系统之后，会在系统目录下复制一个名为“shimgapi.dll”的文件。此文件的主要功能是将用户电脑设置为代理服务器，以便病毒利用该系统对SCO网站进行拒绝服务式攻击。然后，病毒在系统目录下释放一个病毒体，覆盖系统原有的taskmon.exe文件，修改注册表，实现自启动。
　　病毒会在硬盘上查找电子邮件地址，然后利用自带的邮件发送引擎大量发送病毒邮件，进行疯狂传播。病毒会开启多个线程，监听计算机的通讯端口（即端口3127到3198）。

5.3.4 恶性蠕虫病毒“斯文（Worm.Swen）”

　　“斯文（Worm.Swen）”病毒像“求职信”病毒一样可在网络中大面积泛滥并引起网络阻塞，影响用户的正常上网。病毒会将自己伪装成微软公司的升级邮件来诱惑用户点击，当用户运行该病毒时还会显示安装进度条，具有很大的迷惑性。

5.3.5 威金病毒

　　请看视频讲解：

【视频讲解：蠕虫病毒的发作现象及处理方法（下）】