• 蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。
  　　蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，它是一种独立智能程序。有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含（侵占）在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。
  　　比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,去年春天流行“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。
  　　蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件。
  　　蠕虫是怎么发作的？ 如何采取有效措施防范蠕虫？
  　　一、利用操作系统和应用程序的漏洞主动进行攻击
  　　此类病毒主要是“红色代码”和“尼姆亚”，以及至今依然肆虐的”求职信”等。由于IE浏览器的漏洞（IFRAME EXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。
  　　如“尼姆亚”病毒和”求职信”病毒，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
  　　三、病毒制作技术新
  　　与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技术，可以潜伏在HTML页面里，在上网浏览时触发。
  　　四、与黑客技术相结合，潜在的威胁和损失更大
  　　以红色代码为例，感染后的机器的web目录的\scripts下将生成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入。
  　　蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞，这里的漏洞或者说是缺陷，可以分为两种，即软件上的缺陷和人为的缺陷。软件上的缺陷，如远程溢出、微软IE和Outlook的自动执行漏洞等等，需要软件厂商和用户共同配合，不断地升级软件。而人为的缺陷，主要指的是计算机用户的疏忽。这就是所谓的社会工程学（social engineering），当收到一封邮件带着病毒的求职信邮件时候，大多数人都会抱着好奇去点击的。对于企业用户来说，威胁主要集中在服务器和大型应用软件的安全上，而对个人用户而言，主要是防范第二种缺陷。
  　　五、对个人用户产生直接威胁的蠕虫病毒
  　　在以上分析的蠕虫病毒中，只对安装了特定的微软组件的系统进行攻击，而对广大个人用户而言，是不会安装IIS（微软的因特网服务器程序，可以允许在网上提供web服务）或者是庞大的数据库系统的。因此，上述病毒并不会直接攻击个个人用户的电脑（当然能够间接的通过网络产生影响）。但接下来分析的蠕虫病毒，则是对个人用户威胁最大，同时也是最难以根除，造成的损失也更大的一类蠕虫病毒。
  　　对于个人用户而言，威胁大的蠕虫病毒采取的传播方式，一般为电子邮件（Email）以及恶意网页等等。
  　　对于利用电子邮件传播的蠕虫病毒来说，通常利用的是各种各样的欺骗手段诱惑用户点击的方式进行传播。恶意网页确切地讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂，所以会被很多怀不良企图者利用，在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛，并提供破坏程序代码下载，从而造成了恶意网页的大面积泛滥，也使越来越多的用户遭受损失。
  　　对于恶意网页，常常采取vb script和java script编程的形式，由于编程方式十分的简单，所以在网上非常的流行。
  HostWindows脚本主机）解析并执行的，由于其编程非常简单，所以此类脚本病毒在网上疯狂传播，疯狂一时的爱虫病毒就是一种vbs脚本病毒，然后伪装成邮件附件诱惑用户点击运行。更为可怕的是，这样的病毒是以源代码的形式出现的，只要懂得一点关于脚本编程的人就可以修改其代码，形成各种各样的变种。
  　　个人用户对蠕虫病毒的防范措施
  　　通过上述的分析和介绍，我们可以知道，病毒并不是非常可怕的，网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞！所以防范此类病毒需要注意以下几点：
  　　1.选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须向内存实时监控和邮件实时监控发展！另外，面对防不胜防的网页病毒，也使得用户对杀毒软件的要求越来越高！
  　　2.经常升级病毒库，杀毒软件对病毒的查杀是以病毒的特征码为依据的，而病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒。
  　　3.提高防杀毒意识。不要轻易去点击陌生的站点，有可能里面就含有恶意代码！
  　　当运行IE时，点击“工具→Internet选项→安全→ Internet区域的安全级别”，把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止，就可以大大减少被网页恶意代码感染的几率。具体方案是：在IE窗口中点击“工具”→“Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。
  　　4.不随意查看陌生邮件，尤其是带有附件的邮件。由于有的病毒邮件能够利用ie和outlook的漏洞自动执行，所以计算机用户需要升级ie和outlook程序，及常用的其他应用程序。
  　　最新蠕虫病毒“蒙面客”被发现，可泄漏用户隐私
  　　蠕虫病毒与一般病毒的异同
  　　蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，windows下可执行文件的格式为pe格式(Portable Executable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。
  　　蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!
  　　凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒！网络蠕虫病毒，作为对互联网危害严重的 一种计算机程序，其破坏力和传染性不容忽视。与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象！本文中将蠕虫病毒分为针对企业网络和个人用户2类，并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!
  　　防止系统漏洞类蠕虫病毒的侵害，最好的办法是打好相应的系统补丁，可以应用瑞星杀毒软件的“漏洞扫描”工具，这款工具可以引导用户打好补丁并进行相应的安全设置，彻底杜绝病毒的感染。
  　　通过电子邮件传播，是近年来病毒作者青睐的方式之一，像“恶鹰”、“网络天空”等都是危害巨大的邮件蠕虫病毒。这样的病毒往往会频繁大量的出现变种，用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。
  　　防范邮件蠕虫的最好办法 ，就是提高自己的安全意识，不要轻易打开带有附件的电子邮件。另外，启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能，也可以提高自己对病毒邮件的防护能力。
  　　从2004年起，MSN 、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。“性感烤鸡”病毒就通过MSN软件传播，在很短时间内席卷全球，一度造成中国大陆地区部分网络运行异常。
  　　对于普通用户来讲，防范聊天蠕虫的主要措施之一，就是提高安全防范意识，对于通过聊天软件发送的任何文件，都要经过好友确认后再运行；不要随意点击聊天软件发送的网络链接。
  　　随着网络和病毒编写技术的发展，综合利用多种途径的蠕虫也越来越多，比如有的蠕虫病毒就是通过电子邮件传播，同时利用系统漏洞侵入用户系统。还有的病毒会同时通过邮件、聊天软件等多种渠道传播。

• Windows系统的安全状况确实让人堪忧，虽然Windows系统安全涉及方面很多，但是始终不变的事实就是：windows环境和IT以及操作系统世界的其他部分一样需要加以保护。每个操作系统都可能受到病毒攻击，不过通常情况下，病毒和蠕虫病毒会选择攻击使用范围广泛的操作系统，在Conflicker事件中，这种现象也不例外。很多人对微软公司存有这样的偏见：他们认为微软公司就是不安全的;微软公司不知道如何保护操作系统;微软公司的系统只有打补丁后才比较安全;如果公司不允许用户成为本地管理员才能保证微软系统的安全性，等等。对于Conflicker而言，在该蠕虫病毒出现后的几个小时内供应商就向用户提供了补丁，但是被感染的计算机数量仍然在不断增加，为什么会这样呢?逻辑表明用户的计算机并没有得到正确的修复，本文将介绍一些方法帮助用户保护计算机免受conflicker蠕虫病毒的攻击，基于该蠕虫攻击系统的方式。

  从本地管理员组移除当前用户帐户

  自2008年11月首次现身以来，总共出现过两种Conflicker变体。第一种conflicker并不像第二种那样严重，想要了解更多相关信息可以浏览微软公司在安全更新MS08-067中对conflicker的描述信息第二代Conflicker病毒于2008年12月发现，具有更广泛和致命的攻击性。

  最新的Conflicker病毒可以在各个点攻击系统，试图在可能的位置潜入系统，而不被发现，即使被发现，也很难将其移除。Conflicker病毒将会通过以下几种方式攻击计算机：

  ·在Windows System文件夹中使用不同的名字创建隐藏DLL文件

  从本地管理员组移除所有成员用户

  ·试图使用现有的登录用户凭证复制自身到目标计算机的ADMIN$共享下

  ·利用普通强度密码，试图“破解”目标计算机的本地SAM的用户密码

  ·在目标计算机上创建远程计划任务(如果用户名和密码被破解)

  ·将自身复制到所有映射和可移动的设备

  ·在所有设备上创建一个autorun.inf文件，该文件将会利用自动播放功能(如果已经启用的话)，然后在自动运行过程中启动病毒感染

  ·禁用查看隐藏文件功能

  ·修改系统的TCP设置以允许大量并发连接

  正如上面所说，ConFlicker是一种非常活跃的蠕虫病毒，它试图感染操作系统的各个不同区域、文件夹、注册表以及刺痛的其他关键区域。

  密码政策能够限制用户帐户密码的强度

  抵御conflicker病毒攻击的最好解决方案就是获取微软公司的修复补丁，下载地址为：

  会发现Windows Vista和Windows 7系统在漏洞方面只是处于“重要”级别，因为这些操作系统的保护和安全功能比之前版本的系统更加有效。

  可以通过组策略禁用AutoPlay自动播放功能

  Groups，你只要为“管理员”配置一个本地组策略，然后选择单选“删除当前用户”按钮，正如图1所示。

  由于该蠕虫病毒还将进行枚举然后攻击目标计算机上的用户名本地列表，你还应该确保在每个桌面的本地SAM中没有其他用户账户。 这也可以使用图1中相同的策略进行修复，但是还需要删除管理员组的所有成员用户。

  Domain Admins组和本地管理员帐户会被迫进入本地管理员帐户组，这也是个最佳安全做法

  2003中并不适用，不过对于vista和server2008而言，是非常好的配置。组策略控制着用户帐户控制(UAC)的所有区域，并可以集中管理UAC对管理员和标准用户的控制，应该启用UAC功能，然后向(管理员)提升权限，并自动拒绝(标准用户)提高权限要求。这样能够阻止病毒、蠕虫和其他恶意软件执行任何行动以修改操作系统文件和注册表。

  组策略设置中最后需要确定的配置就是用户帐户密码问题，由于Conflicker病毒试图猜测密码，因此要确保密码政策(Password Policies)设置的密码是很长并且复杂的，密码政策设置通常在Active Directory域的默认域策略中完成，不过也可以在独立电脑的本地GPO中进行配置，密码正常设置的位置是Computer Configuration\Windows

  不过即便如此，在AutoPlay自动播放功能的控制下，组策略设置也还是可以被改变的。由于ConFlicker能够向可移动设备(由AutoPlay控制)进行写入，该蠕虫只要将autorun.inf文件放入可移动设备就可以感染计算机。但是，如果用户将自动播放功能禁用，这种感染就不会发生。要想通过组策略禁用自动播放功能，可以进入Computer

  由于整个行业都未采取积极行动，导致ConFlicker病毒感染范围不断扩大。该病毒出现以后，行业就马上提供了有效的修复补丁和防止该蠕虫病毒感染的方法，但仍然无济于事。如果管理员、企业和用户能够采取行动防止蠕虫病毒的进一步渗透，该病毒就不再会对大家造成威胁，而在此之前，病毒感染范围还将继续蔓延。这也就是为什么用户需要理解采取行动制止该病毒继续传播的原因，其中最好的做法就是将组策略配置为拒绝对系统的访问，并帮助提高系统密码的安全强度。拒绝Conflicker对系统的访问很简单，只要系统配置设置为不允许后台作为管理员访问即可。而密码也很容易得到保护，只要将其设置为很长且复杂的密码即可。部署了这些措施，你的系统就能免受Conflicker病毒的毒害。

• 该病毒基本分为两部分：一部分是狭义上的病毒，它感染PE结构文件，病毒大小约为3K，用汇编语言编写；第二部分是蠕虫大小为56K，它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是用VC++编写的，它只可以在WINDOWS 9X或WINDOWS2000上运行，在NT4上无法运行。
  　　它的传播方式有四种：
  　　第一种：通过INTERNET邮件，它搜索当前用户的地址簿文件中的类邮件地址的文本内容，或随机计算邮件地址，通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马，邮件文件是由木马部分形成，并且该邮件会在 OUTLOOK EXPRESS下自动执行，它的主题是随机的，但以下几种情况：
  　　第二种：通过网络邻居，它搜索所有的网络连接，查找共享目录，将自己的文件放到享目录中，并试图让远程计算机将它作为一个服务启动。
  　　第三种：通过磁盘传播，它创建专门的线程感染磁盘，如果当前日期奇数月的13号，将找到的文件内容进行复制。
  　　第四种：方式病毒感染。
  　　病毒部分的运行过程：
  　　一、解密后面的代码长度258H字节
  　　二、然后病毒在内存中查找KERNEL32模块，并根据名字的检验字找到一大批函数入口，这些函数供后面的代码调用。
  　　三、申请内存，将所有代码拷贝到申请的内存中，并转申请的内存执行。
  　　四、查检有无调试程序（调IsDebugPresent函数），如在调试程序下运行，终止病毒代码，返回到原宿主程序（如果是配套的木马，则返回到操作系统）。
  　　六、将当前进程注册为服务进程。
  　　七、创建感染线程，根据系统时间，如果为13号且为3月或9月，感染所有硬盘或网络盘文件。否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程，直到系统崩溃。
  　　八、如果是NT操作系统，同时感染所有网络邻居。
  　　九、返回宿主或操作系统。
  　　木马部分运行过程：
  　　一、解码所有字符串。
  　　二、改变当前进程访问权限。
  　　三、启动线程1，线程1的作用如下：
  　　检查当前所有进程，如果有以下进程（部分匹配），则终止这些进程：
  　　四、启动线程2，作用如下：
  　　复制自己，运行后删除，然后线程终止。
  　　将它作为Service启动。
  　　六、创建线程3，发送EMAIL。
  　　创建线程4，感染网络所有共享文件，每8小时搜索一次。
  　　创建线程5，搜索磁盘文件。
  　　创建线程6，检查当前日期是否为奇数月的13号，如是，将所有文件复制一次，线程5小时运行一次，永不退出。

• Windows系统的安全状况确实让人堪忧，虽然Windows系统安全涉及方面很多，但是始终不变的事实就是：windows环境和IT以及操作系统世界的其他部分一样需要加以保护。每个操作系统都可能受到病毒攻击，不过通常情况下，病毒和蠕虫病毒会选择攻击使用范围广泛的操作系统，在Conflicker事件中，这种现象也不例外。很多人对微软公司存有这样的偏见：他们认为微软公司就是不安全的;微软公司不知道如何保护操作系统;微软公司的系统只有打补丁后才比较安全;如果公司不允许用户成为本地管理员才能保证微软系统的安全性，等等。对于Conflicker而言，在该蠕虫病毒出现后的几个小时内供应商就向用户提供了补丁，但是被感染的计算机数量仍然在不断增加，为什么会这样呢?逻辑表明用户的计算机并没有得到正确的修复，本文将介绍一些方法帮助用户保护计算机免受conflicker蠕虫病毒的攻击，基于该蠕虫攻击系统的方式。

  从本地管理员组移除当前用户帐户

  自2008年11月首次现身以来，总共出现过两种Conflicker变体。第一种conflicker并不像第二种那样严重，想要了解更多相关信息可以浏览微软公司在安全更新MS08-067中对conflicker的描述信息第二代Conflicker病毒于2008年12月发现，具有更广泛和致命的攻击性。

  最新的Conflicker病毒可以在各个点攻击系统，试图在可能的位置潜入系统，而不被发现，即使被发现，也很难将其移除。Conflicker病毒将会通过以下几种方式攻击计算机：

  ·在Windows System文件夹中使用不同的名字创建隐藏DLL文件

  从本地管理员组移除所有成员用户

  ·试图使用现有的登录用户凭证复制自身到目标计算机的ADMIN$共享下

  ·利用普通强度密码，试图“破解”目标计算机的本地SAM的用户密码

  ·在目标计算机上创建远程计划任务(如果用户名和密码被破解)

  ·将自身复制到所有映射和可移动的设备

  ·在所有设备上创建一个autorun.inf文件，该文件将会利用自动播放功能(如果已经启用的话)，然后在自动运行过程中启动病毒感染

  ·禁用查看隐藏文件功能

  ·修改系统的TCP设置以允许大量并发连接

  正如上面所说，ConFlicker是一种非常活跃的蠕虫病毒，它试图感染操作系统的各个不同区域、文件夹、注册表以及刺痛的其他关键区域。

  密码政策能够限制用户帐户密码的强度

  抵御conflicker病毒攻击的最好解决方案就是获取微软公司的修复补丁，下载地址为：

  会发现Windows Vista和Windows 7系统在漏洞方面只是处于“重要”级别，因为这些操作系统的保护和安全功能比之前版本的系统更加有效。

  可以通过组策略禁用AutoPlay自动播放功能

  Groups，你只要为“管理员”配置一个本地组策略，然后选择单选“删除当前用户”按钮，正如图1所示。

  由于该蠕虫病毒还将进行枚举然后攻击目标计算机上的用户名本地列表，你还应该确保在每个桌面的本地SAM中没有其他用户账户。 这也可以使用图1中相同的策略进行修复，但是还需要删除管理员组的所有成员用户。

  Domain Admins组和本地管理员帐户会被迫进入本地管理员帐户组，这也是个最佳安全做法

  2003中并不适用，不过对于vista和server2008而言，是非常好的配置。组策略控制着用户帐户控制(UAC)的所有区域，并可以集中管理UAC对管理员和标准用户的控制，应该启用UAC功能，然后向(管理员)提升权限，并自动拒绝(标准用户)提高权限要求。这样能够阻止病毒、蠕虫和其他恶意软件执行任何行动以修改操作系统文件和注册表。

  组策略设置中最后需要确定的配置就是用户帐户密码问题，由于Conflicker病毒试图猜测密码，因此要确保密码政策(Password Policies)设置的密码是很长并且复杂的，密码政策设置通常在Active Directory域的默认域策略中完成，不过也可以在独立电脑的本地GPO中进行配置，密码正常设置的位置是Computer Configuration\Windows

  不过即便如此，在AutoPlay自动播放功能的控制下，组策略设置也还是可以被改变的。由于ConFlicker能够向可移动设备(由AutoPlay控制)进行写入，该蠕虫只要将autorun.inf文件放入可移动设备就可以感染计算机。但是，如果用户将自动播放功能禁用，这种感染就不会发生。要想通过组策略禁用自动播放功能，可以进入Computer

  由于整个行业都未采取积极行动，导致ConFlicker病毒感染范围不断扩大。该病毒出现以后，行业就马上提供了有效的修复补丁和防止该蠕虫病毒感染的方法，但仍然无济于事。如果管理员、企业和用户能够采取行动防止蠕虫病毒的进一步渗透，该病毒就不再会对大家造成威胁，而在此之前，病毒感染范围还将继续蔓延。这也就是为什么用户需要理解采取行动制止该病毒继续传播的原因，其中最好的做法就是将组策略配置为拒绝对系统的访问，并帮助提高系统密码的安全强度。拒绝Conflicker对系统的访问很简单，只要系统配置设置为不允许后台作为管理员访问即可。而密码也很容易得到保护，只要将其设置为很长且复杂的密码即可。部署了这些措施，你的系统就能免受Conflicker病毒的毒害。

• 蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。
  　　蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，它是一种独立智能程序。有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含（侵占）在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。
  　　比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,去年春天流行“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。
  　　蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件。
  　　蠕虫是怎么发作的？ 如何采取有效措施防范蠕虫？
  　　一、利用操作系统和应用程序的漏洞主动进行攻击
  　　此类病毒主要是“红色代码”和“尼姆亚”，以及至今依然肆虐的”求职信”等。由于IE浏览器的漏洞（IFRAME EXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。
  　　如“尼姆亚”病毒和”求职信”病毒，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
  　　三、病毒制作技术新
  　　与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技术，可以潜伏在HTML页面里，在上网浏览时触发。
  　　四、与黑客技术相结合，潜在的威胁和损失更大
  　　以红色代码为例，感染后的机器的web目录的\scripts下将生成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入。
  　　蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞，这里的漏洞或者说是缺陷，可以分为两种，即软件上的缺陷和人为的缺陷。软件上的缺陷，如远程溢出、微软IE和Outlook的自动执行漏洞等等，需要软件厂商和用户共同配合，不断地升级软件。而人为的缺陷，主要指的是计算机用户的疏忽。这就是所谓的社会工程学（social engineering），当收到一封邮件带着病毒的求职信邮件时候，大多数人都会抱着好奇去点击的。对于企业用户来说，威胁主要集中在服务器和大型应用软件的安全上，而对个人用户而言，主要是防范第二种缺陷。
  　　五、对个人用户产生直接威胁的蠕虫病毒
  　　在以上分析的蠕虫病毒中，只对安装了特定的微软组件的系统进行攻击，而对广大个人用户而言，是不会安装IIS（微软的因特网服务器程序，可以允许在网上提供web服务）或者是庞大的数据库系统的。因此，上述病毒并不会直接攻击个个人用户的电脑（当然能够间接的通过网络产生影响）。但接下来分析的蠕虫病毒，则是对个人用户威胁最大，同时也是最难以根除，造成的损失也更大的一类蠕虫病毒。
  　　对于个人用户而言，威胁大的蠕虫病毒采取的传播方式，一般为电子邮件（Email）以及恶意网页等等。
  　　对于利用电子邮件传播的蠕虫病毒来说，通常利用的是各种各样的欺骗手段诱惑用户点击的方式进行传播。恶意网页确切地讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂，所以会被很多怀不良企图者利用，在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛，并提供破坏程序代码下载，从而造成了恶意网页的大面积泛滥，也使越来越多的用户遭受损失。
  　　对于恶意网页，常常采取vb script和java script编程的形式，由于编程方式十分的简单，所以在网上非常的流行。
  HostWindows脚本主机）解析并执行的，由于其编程非常简单，所以此类脚本病毒在网上疯狂传播，疯狂一时的爱虫病毒就是一种vbs脚本病毒，然后伪装成邮件附件诱惑用户点击运行。更为可怕的是，这样的病毒是以源代码的形式出现的，只要懂得一点关于脚本编程的人就可以修改其代码，形成各种各样的变种。
  　　个人用户对蠕虫病毒的防范措施
  　　通过上述的分析和介绍，我们可以知道，病毒并不是非常可怕的，网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞！所以防范此类病毒需要注意以下几点：
  　　1.选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须向内存实时监控和邮件实时监控发展！另外，面对防不胜防的网页病毒，也使得用户对杀毒软件的要求越来越高！
  　　2.经常升级病毒库，杀毒软件对病毒的查杀是以病毒的特征码为依据的，而病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒。
  　　3.提高防杀毒意识。不要轻易去点击陌生的站点，有可能里面就含有恶意代码！
  　　当运行IE时，点击“工具→Internet选项→安全→ Internet区域的安全级别”，把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止，就可以大大减少被网页恶意代码感染的几率。具体方案是：在IE窗口中点击“工具”→“Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。
  　　4.不随意查看陌生邮件，尤其是带有附件的邮件。由于有的病毒邮件能够利用ie和outlook的漏洞自动执行，所以计算机用户需要升级ie和outlook程序，及常用的其他应用程序。
  　　最新蠕虫病毒“蒙面客”被发现，可泄漏用户隐私
  　　蠕虫病毒与一般病毒的异同
  　　蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，windows下可执行文件的格式为pe格式(Portable Executable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。
  　　蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!
  　　凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒！网络蠕虫病毒，作为对互联网危害严重的 一种计算机程序，其破坏力和传染性不容忽视。与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象！本文中将蠕虫病毒分为针对企业网络和个人用户2类，并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!
  　　防止系统漏洞类蠕虫病毒的侵害，最好的办法是打好相应的系统补丁，可以应用瑞星杀毒软件的“漏洞扫描”工具，这款工具可以引导用户打好补丁并进行相应的安全设置，彻底杜绝病毒的感染。
  　　通过电子邮件传播，是近年来病毒作者青睐的方式之一，像“恶鹰”、“网络天空”等都是危害巨大的邮件蠕虫病毒。这样的病毒往往会频繁大量的出现变种，用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。
  　　防范邮件蠕虫的最好办法 ，就是提高自己的安全意识，不要轻易打开带有附件的电子邮件。另外，启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能，也可以提高自己对病毒邮件的防护能力。
  　　从2004年起，MSN 、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。“性感烤鸡”病毒就通过MSN软件传播，在很短时间内席卷全球，一度造成中国大陆地区部分网络运行异常。
  　　对于普通用户来讲，防范聊天蠕虫的主要措施之一，就是提高安全防范意识，对于通过聊天软件发送的任何文件，都要经过好友确认后再运行；不要随意点击聊天软件发送的网络链接。
  　　随着网络和病毒编写技术的发展，综合利用多种途径的蠕虫也越来越多，比如有的蠕虫病毒就是通过电子邮件传播，同时利用系统漏洞侵入用户系统。还有的病毒会同时通过邮件、聊天软件等多种渠道传播。

• Windows系统的安全状况确实让人堪忧，虽然Windows系统安全涉及方面很多，但是始终不变的事实就是：windows环境和IT以及操作系统世界的其他部分一样需要加以保护。每个操作系统都可能受到病毒攻击，不过通常情况下，病毒和蠕虫病毒会选择攻击使用范围广泛的操作系统，在Conflicker事件中，这种现象也不例外。很多人对微软公司存有这样的偏见：他们认为微软公司就是不安全的;微软公司不知道如何保护操作系统;微软公司的系统只有打补丁后才比较安全;如果公司不允许用户成为本地管理员才能保证微软系统的安全性，等等。对于Conflicker而言，在该蠕虫病毒出现后的几个小时内供应商就向用户提供了补丁，但是被感染的计算机数量仍然在不断增加，为什么会这样呢?逻辑表明用户的计算机并没有得到正确的修复，本文将介绍一些方法帮助用户保护计算机免受conflicker蠕虫病毒的攻击，基于该蠕虫攻击系统的方式。

  从本地管理员组移除当前用户帐户

  自2008年11月首次现身以来，总共出现过两种Conflicker变体。第一种conflicker并不像第二种那样严重，想要了解更多相关信息可以浏览微软公司在安全更新MS08-067中对conflicker的描述信息第二代Conflicker病毒于2008年12月发现，具有更广泛和致命的攻击性。

  最新的Conflicker病毒可以在各个点攻击系统，试图在可能的位置潜入系统，而不被发现，即使被发现，也很难将其移除。Conflicker病毒将会通过以下几种方式攻击计算机：

  ·在Windows System文件夹中使用不同的名字创建隐藏DLL文件

  从本地管理员组移除所有成员用户

  ·试图使用现有的登录用户凭证复制自身到目标计算机的ADMIN$共享下

  ·利用普通强度密码，试图“破解”目标计算机的本地SAM的用户密码

  ·在目标计算机上创建远程计划任务(如果用户名和密码被破解)

  ·将自身复制到所有映射和可移动的设备

  ·在所有设备上创建一个autorun.inf文件，该文件将会利用自动播放功能(如果已经启用的话)，然后在自动运行过程中启动病毒感染

  ·禁用查看隐藏文件功能

  ·修改系统的TCP设置以允许大量并发连接

  正如上面所说，ConFlicker是一种非常活跃的蠕虫病毒，它试图感染操作系统的各个不同区域、文件夹、注册表以及刺痛的其他关键区域。

  密码政策能够限制用户帐户密码的强度

  抵御conflicker病毒攻击的最好解决方案就是获取微软公司的修复补丁，下载地址为：

  会发现Windows Vista和Windows 7系统在漏洞方面只是处于“重要”级别，因为这些操作系统的保护和安全功能比之前版本的系统更加有效。

  可以通过组策略禁用AutoPlay自动播放功能

  Groups，你只要为“管理员”配置一个本地组策略，然后选择单选“删除当前用户”按钮，正如图1所示。

  由于该蠕虫病毒还将进行枚举然后攻击目标计算机上的用户名本地列表，你还应该确保在每个桌面的本地SAM中没有其他用户账户。 这也可以使用图1中相同的策略进行修复，但是还需要删除管理员组的所有成员用户。

  Domain Admins组和本地管理员帐户会被迫进入本地管理员帐户组，这也是个最佳安全做法

  2003中并不适用，不过对于vista和server2008而言，是非常好的配置。组策略控制着用户帐户控制(UAC)的所有区域，并可以集中管理UAC对管理员和标准用户的控制，应该启用UAC功能，然后向(管理员)提升权限，并自动拒绝(标准用户)提高权限要求。这样能够阻止病毒、蠕虫和其他恶意软件执行任何行动以修改操作系统文件和注册表。

  组策略设置中最后需要确定的配置就是用户帐户密码问题，由于Conflicker病毒试图猜测密码，因此要确保密码政策(Password Policies)设置的密码是很长并且复杂的，密码政策设置通常在Active Directory域的默认域策略中完成，不过也可以在独立电脑的本地GPO中进行配置，密码正常设置的位置是Computer Configuration\Windows

  不过即便如此，在AutoPlay自动播放功能的控制下，组策略设置也还是可以被改变的。由于ConFlicker能够向可移动设备(由AutoPlay控制)进行写入，该蠕虫只要将autorun.inf文件放入可移动设备就可以感染计算机。但是，如果用户将自动播放功能禁用，这种感染就不会发生。要想通过组策略禁用自动播放功能，可以进入Computer

  由于整个行业都未采取积极行动，导致ConFlicker病毒感染范围不断扩大。该病毒出现以后，行业就马上提供了有效的修复补丁和防止该蠕虫病毒感染的方法，但仍然无济于事。如果管理员、企业和用户能够采取行动防止蠕虫病毒的进一步渗透，该病毒就不再会对大家造成威胁，而在此之前，病毒感染范围还将继续蔓延。这也就是为什么用户需要理解采取行动制止该病毒继续传播的原因，其中最好的做法就是将组策略配置为拒绝对系统的访问，并帮助提高系统密码的安全强度。拒绝Conflicker对系统的访问很简单，只要系统配置设置为不允许后台作为管理员访问即可。而密码也很容易得到保护，只要将其设置为很长且复杂的密码即可。部署了这些措施，你的系统就能免受Conflicker病毒的毒害。

• 该病毒基本分为两部分：一部分是狭义上的病毒，它感染PE结构文件，病毒大小约为3K，用汇编语言编写；第二部分是蠕虫大小为56K，它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是用VC++编写的，它只可以在WINDOWS 9X或WINDOWS2000上运行，在NT4上无法运行。
  　　它的传播方式有四种：
  　　第一种：通过INTERNET邮件，它搜索当前用户的地址簿文件中的类邮件地址的文本内容，或随机计算邮件地址，通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马，邮件文件是由木马部分形成，并且该邮件会在 OUTLOOK EXPRESS下自动执行，它的主题是随机的，但以下几种情况：
  　　第二种：通过网络邻居，它搜索所有的网络连接，查找共享目录，将自己的文件放到享目录中，并试图让远程计算机将它作为一个服务启动。
  　　第三种：通过磁盘传播，它创建专门的线程感染磁盘，如果当前日期奇数月的13号，将找到的文件内容进行复制。
  　　第四种：方式病毒感染。
  　　病毒部分的运行过程：
  　　一、解密后面的代码长度258H字节
  　　二、然后病毒在内存中查找KERNEL32模块，并根据名字的检验字找到一大批函数入口，这些函数供后面的代码调用。
  　　三、申请内存，将所有代码拷贝到申请的内存中，并转申请的内存执行。
  　　四、查检有无调试程序（调IsDebugPresent函数），如在调试程序下运行，终止病毒代码，返回到原宿主程序（如果是配套的木马，则返回到操作系统）。
  　　六、将当前进程注册为服务进程。
  　　七、创建感染线程，根据系统时间，如果为13号且为3月或9月，感染所有硬盘或网络盘文件。否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程，直到系统崩溃。
  　　八、如果是NT操作系统，同时感染所有网络邻居。
  　　九、返回宿主或操作系统。
  　　木马部分运行过程：
  　　一、解码所有字符串。
  　　二、改变当前进程访问权限。
  　　三、启动线程1，线程1的作用如下：
  　　检查当前所有进程，如果有以下进程（部分匹配），则终止这些进程：
  　　四、启动线程2，作用如下：
  　　复制自己，运行后删除，然后线程终止。
  　　将它作为Service启动。
  　　六、创建线程3，发送EMAIL。
  　　创建线程4，感染网络所有共享文件，每8小时搜索一次。
  　　创建线程5，搜索磁盘文件。
  　　创建线程6，检查当前日期是否为奇数月的13号，如是，将所有文件复制一次，线程5小时运行一次，永不退出。

• Windows系统的安全状况确实让人堪忧，虽然Windows系统安全涉及方面很多，但是始终不变的事实就是：windows环境和IT以及操作系统世界的其他部分一样需要加以保护。每个操作系统都可能受到病毒攻击，不过通常情况下，病毒和蠕虫病毒会选择攻击使用范围广泛的操作系统，在Conflicker事件中，这种现象也不例外。很多人对微软公司存有这样的偏见：他们认为微软公司就是不安全的;微软公司不知道如何保护操作系统;微软公司的系统只有打补丁后才比较安全;如果公司不允许用户成为本地管理员才能保证微软系统的安全性，等等。对于Conflicker而言，在该蠕虫病毒出现后的几个小时内供应商就向用户提供了补丁，但是被感染的计算机数量仍然在不断增加，为什么会这样呢?逻辑表明用户的计算机并没有得到正确的修复，本文将介绍一些方法帮助用户保护计算机免受conflicker蠕虫病毒的攻击，基于该蠕虫攻击系统的方式。

  从本地管理员组移除当前用户帐户

  自2008年11月首次现身以来，总共出现过两种Conflicker变体。第一种conflicker并不像第二种那样严重，想要了解更多相关信息可以浏览微软公司在安全更新MS08-067中对conflicker的描述信息第二代Conflicker病毒于2008年12月发现，具有更广泛和致命的攻击性。

  最新的Conflicker病毒可以在各个点攻击系统，试图在可能的位置潜入系统，而不被发现，即使被发现，也很难将其移除。Conflicker病毒将会通过以下几种方式攻击计算机：

  ·在Windows System文件夹中使用不同的名字创建隐藏DLL文件

  从本地管理员组移除所有成员用户

  ·试图使用现有的登录用户凭证复制自身到目标计算机的ADMIN$共享下

  ·利用普通强度密码，试图“破解”目标计算机的本地SAM的用户密码

  ·在目标计算机上创建远程计划任务(如果用户名和密码被破解)

  ·将自身复制到所有映射和可移动的设备

  ·在所有设备上创建一个autorun.inf文件，该文件将会利用自动播放功能(如果已经启用的话)，然后在自动运行过程中启动病毒感染

  ·禁用查看隐藏文件功能

  ·修改系统的TCP设置以允许大量并发连接

  正如上面所说，ConFlicker是一种非常活跃的蠕虫病毒，它试图感染操作系统的各个不同区域、文件夹、注册表以及刺痛的其他关键区域。

  密码政策能够限制用户帐户密码的强度

  抵御conflicker病毒攻击的最好解决方案就是获取微软公司的修复补丁，下载地址为：

  会发现Windows Vista和Windows 7系统在漏洞方面只是处于“重要”级别，因为这些操作系统的保护和安全功能比之前版本的系统更加有效。

  可以通过组策略禁用AutoPlay自动播放功能

  Groups，你只要为“管理员”配置一个本地组策略，然后选择单选“删除当前用户”按钮，正如图1所示。

  由于该蠕虫病毒还将进行枚举然后攻击目标计算机上的用户名本地列表，你还应该确保在每个桌面的本地SAM中没有其他用户账户。 这也可以使用图1中相同的策略进行修复，但是还需要删除管理员组的所有成员用户。

  Domain Admins组和本地管理员帐户会被迫进入本地管理员帐户组，这也是个最佳安全做法

  2003中并不适用，不过对于vista和server2008而言，是非常好的配置。组策略控制着用户帐户控制(UAC)的所有区域，并可以集中管理UAC对管理员和标准用户的控制，应该启用UAC功能，然后向(管理员)提升权限，并自动拒绝(标准用户)提高权限要求。这样能够阻止病毒、蠕虫和其他恶意软件执行任何行动以修改操作系统文件和注册表。

  组策略设置中最后需要确定的配置就是用户帐户密码问题，由于Conflicker病毒试图猜测密码，因此要确保密码政策(Password Policies)设置的密码是很长并且复杂的，密码政策设置通常在Active Directory域的默认域策略中完成，不过也可以在独立电脑的本地GPO中进行配置，密码正常设置的位置是Computer Configuration\Windows

  不过即便如此，在AutoPlay自动播放功能的控制下，组策略设置也还是可以被改变的。由于ConFlicker能够向可移动设备(由AutoPlay控制)进行写入，该蠕虫只要将autorun.inf文件放入可移动设备就可以感染计算机。但是，如果用户将自动播放功能禁用，这种感染就不会发生。要想通过组策略禁用自动播放功能，可以进入Computer

  由于整个行业都未采取积极行动，导致ConFlicker病毒感染范围不断扩大。该病毒出现以后，行业就马上提供了有效的修复补丁和防止该蠕虫病毒感染的方法，但仍然无济于事。如果管理员、企业和用户能够采取行动防止蠕虫病毒的进一步渗透，该病毒就不再会对大家造成威胁，而在此之前，病毒感染范围还将继续蔓延。这也就是为什么用户需要理解采取行动制止该病毒继续传播的原因，其中最好的做法就是将组策略配置为拒绝对系统的访问，并帮助提高系统密码的安全强度。拒绝Conflicker对系统的访问很简单，只要系统配置设置为不允许后台作为管理员访问即可。而密码也很容易得到保护，只要将其设置为很长且复杂的密码即可。部署了这些措施，你的系统就能免受Conflicker病毒的毒害。

赶紧去下载安装一个腾讯手机管家

然后使用里面的安全检测功能，去找出手机的木马病毒

然后将检测出手机的木马病毒后直接删除即可