广义上来说,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。因此蠕虫也是一种病毒,但是它和一般的病毒有着很大的区别。蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共同特征,如传播性、隐蔽性和破坏性等。同时具有自己的特殊特征,如不利用文件寄生(如只存在于内存中)引起网络拒绝服务故障及与黑客技术相结合等。在破坏性上网络蠕虫也不是普通病毒所能比拟的,它可以在短短的时间内蔓延整个网络,造成网络瘫痪。蠕虫病毒可以分为两类,一类主要攻击企业用户和局域网,它们利用系统漏洞主动进行攻击,可以对整个Internet造成瘫痪性的后果。“红色代码”、“尼姆达”等就是这类蠕虫病毒的典型代表;另一类主要攻击个人用户计算机,主要通过电子邮件或恶意网页形式,经由网络迅速传播,爱虫病毒、求职信病毒是这类蠕虫病毒的典型代表。在这两类蠕虫病毒中,第1类具有很大的主动攻击性,爆发也有一定的突然性;第二种病毒的传播方式比较复杂和多样,有的利用微软公司软件的漏洞,更多的是通过对用户进行欺骗和诱惑。
一般的病毒将自己的指令代码写到称为“宿主”的其他程序体内,首先传染本地文件,然后利用移动执行(Portable Executable)的方式传播。而网络蠕虫是独立的程序,通过复制自身在Internet环境下进行传播和实施主动攻击,传染目标是Internet内的所有计算机。网络环境中的共享文件夹、电子邮件、恶意网页,以及大量存在着漏洞的网络服务器都是蠕虫用做传播的途径。1988年,美国康奈尔大学研究生莫里斯编写的蠕虫病毒,造成了数千台计算机停机,尔后其危害越来越严重。2003年1月26日,一种名为“2003蠕虫王”的病毒横扫全球,造成Internet严重堵塞、域名服务器瘫痪、网络访问迟缓、电子邮件故障、银行自动提款机停止服务、网络订票系统及信用卡等收付款系统不能够正常运行,直接经济损失超过了12亿美元。2003年8月11日开始出现的称为冲击波(MSBlast)的网络蠕虫病毒,以大约每小时感染2500台计算机的速度在网络中快速传播,仅两天时间感染的计算机数量就高达22.8万台。这种病毒先广泛扫描那些易受攻击的计算机,Internet上未打补丁程序的Windows XP计算机在25分钟内就可能感染病毒。
作为Internet高速发展下的一种新型病毒,网络蠕虫病毒对网络产生巨大的危险。在防御上已不再是单独的杀毒厂商能够解决,而需要网络安全公司、计算机系统生产厂商、防病毒厂商及用户共同参与,构筑全方位的防范体系。对于网络管理员而言,防治网络蠕虫病毒需要考虑的问题包括:病毒的查杀能力、病毒的监控能力、灾难的反应能力,以及管理和策略。为了防范蠕虫病毒对局域网的危害,建议采取以下措施。
(1)建立网络病毒检测系统,在第一时间内检测到网络异常和病毒攻击。
(2)建立紧急情况响应系统,在病毒爆发第一时间提供解决方案。
(3)建立灾难备份系统。特别是对于数据库系统必须采用定期备份及多机备份措施,防止意外灾难下的数据丢失。
(4)加强安全管理水平,提高安全意识。蠕虫病毒常常利用系统漏洞进行攻击,要在第一时间内保持系统和应用软件的安全性,保持各种操作系统和应用软件的更新和及时进行安全补丁操作。
(5)在与Internet连接节处建立防火墙式防杀毒系统,将病毒隔离在局域网之外;对邮件服务器进行监控,防止带毒邮件传入局域网;建立局域网内部软件升级服务体系,包括各种操作系统的升级与安全补丁,各种常用应用软件的升级话各种杀毒软件病毒库的升级。 (6)加强用户安全培训,提高防攻击意识,包括①不要轻易访问陌生的网站,防止包含恶意代码的网页传播蠕虫病毒;②当运行浏览器IE时,在“Internet选项”对话框中的“安全”’选项卡中选择“Internet区域的安全级别”,把安全级别由“中”改为“高”;选择“自定义级别”,在“安全设置”中将ActiveX插件和控件、Java脚本等全部禁止,以提高系统抵御包含恶意代码的ActiveX、Applet或JavaScript网页的能力。这样虽然会造成浏览过程中一些正常应用ActiveX的网页无法浏览,但是可以整体提高网络客户端计算机的安全;③不随意查看陌生邮件,尤其是带有附件的邮件;④由于许多病毒邮件利用IE和 Outlook本身漏洞自动传播和攻击,教育用户要及时升级或下载软件补丁,或采用其他应用软件。