蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。

图1：蠕虫病毒

（1）扫描功能，主要负责探测远程主机的漏洞，模拟了攻防的Scan过程，当蠕虫向某个主机发送探测漏洞的信息并收到成功的应答后，就得到了一个潜在的传播对象。

（2）攻击，特定漏洞的攻击方法对潜在的传播对象进行自动攻击，取得该主机的合适权限，为后续步骤做准备。

（3）复制，在特定权限下，复制功能实现蠕虫引导程序的远程建立工作，即把引导程序复制到攻击对象上。

图2：蠕虫的工作方式

对未知蠕虫的检测：

（1）通用的方法是对流量异常的统计分析：对TCP连接异常的分析，对ICMP数据异常的分析。

（2）在蠕虫的扫描阶段，会随机地或伪随机地生成大量的IP地址进行扫描，探测漏洞主机，这些被扫描的IP地址中会存在许多空的或者不可达的IP地址，从而在一段时间内蠕虫主机会接收到大量来自不同路由器的ICMP-T3（目标不可达）数据包，通过对这些数据包进行检测和统计可在蠕虫的扫描阶段将其发现，然后隔离分析，并采取相应措施。

防范措施：

（1）定期扫描系统，防病毒软件都能够设置成在计算机每次启动时扫描系统或定期运行扫描工作，一些程序还可以在连接到因特网上时在后台扫描系统。

（2）更新防病毒软件，确保它是最新的。

（3）限制邮件附件。

（4）禁止运行附件中的可执行文件（.COM、.EXE等），预防DOC、XLS等附件文档，不要直接运行脚本文件（VBS、SHS）。

（5）邮件程序设置，“附件的安全性”设为“高”，禁止“服务器脚本运行”，慎用邮件预览功能。

（6）关闭WSH功能,有些电子邮件病毒是利用WSH进行破坏的。

参考文献：

1、杨军;计算机蠕虫病毒的解析与防范[J];电脑知识与技术;2005年29期

2、田震;杨金磊;赫玉玲;关于网络蠕虫病毒的原理剖析[J];电脑知识与技术(学术交流);2007年19期

PPT下载：