危害网络安全的群发邮件蠕虫病毒

由于群发邮件蠕虫病毒阻塞网络造成网速缓慢、网络连接丢失、传输文件时频繁的连接超时报错，这些典型问题几乎所有人都遇到过。

本文提供了群发邮件病毒威胁的背景信息。介绍了群发邮件蠕虫病毒及其生成、传播和构成的威胁，内容涵盖蠕虫的危害、影响和副作用，探讨了邮件服务器协议在遏制病毒传播方面的重要性，还评价了几种防范蠕虫病毒的方法。最后，文中还讲述了包括垃圾邮件和网络诱骗邮件在内的其它群发邮件病毒及其构成的威胁。

关于群发邮件蠕虫病毒

群发邮件蠕虫病毒最早出现于20世纪80年代后期，到90年代后期开始大量繁殖，在过去的2~3年中呈现出明显的复杂化发展趋势。蠕虫病毒引发了严重的安全危机，它能造成互联网、企业内部网、企业外联网、B2B电子商务应用程序及企业等部分瘫痪。病毒从网络内部和外部均可发起攻击，阻塞邮件服务器，关闭运行网络服务的应用软件，消耗系统内其它关键应用程序的带宽。蠕虫病毒几小时就可写完并由一种典型的软件调制解调器生成，传播到任何一个人的电脑上就会迅速影响到数十万台电脑、工作站、家用电脑、网络电脑及邮件服务器。尽管明显不合法，而且会造成上亿美元的损失，但对这种网上犯罪的惩罚却极为有限。事实上，病毒越厉害，知名度越高，病毒创造者之后将因此得到越多的回报。

蠕虫使用独立的自行传播的恶意代码。利用软件自动进行自我复制并发送至被感染电脑中所有地址及邮件列表的联系人，以传播为目的逐个获取地址，通过合法邮件向尽可能多的地址发送病毒副本。其结果是传播诸如特洛伊木马、拒绝代理服务和邮件转发服务一类具有破坏性的数据净荷，如果没有正确的分布式防护工具，很难对这种病毒进行大范围的控制。

最重要的是，蠕虫病毒的威胁几乎随时存在，每天发生小型攻击，每隔十几天发生大规模攻击。病毒通过携带数据净荷或通过病毒传播的副作用而造成巨大的危害，它效力迅速而造成致命一击，可在极短的时间使整个站点瘫痪。很多人应该还记得在2001年，yahoo网站遭到病毒程序攻击而陷于瘫痪，并通过自动引擎蔓延到代理服务器，使得攻击者可以操纵上百万个站点准备发动进一步的攻击。

群发邮件蠕虫的传播

问：前两天我打开了mail中的一个附件，因为那个mail的地址和我一个同事的地址很像，因此没有多考虑就将附件下载打开了。不想这个附件是个病毒，它让我的机器变的很慢，杀毒之后好像没有太大作用。请问我该怎么办？

答：病毒、木马、和一些恶意软件，往往都会对Widnows的注册表下毒手，虽然破坏形式不尽相同，但是经过分析它们的破坏手法并非无规律可循。这里列出了一些用户系统中被易被修改的系统设置和注册表项。建议再换用其他木马专杀工具试一下，并再针对以下注册表键值进行检查，看看是否有被改动过的迹象。

系统设置文件

对于Widnows 9X系统，常见的是病毒修改可能会更改autoexec.bat，只要在其中加入执行病毒程序文件的语句即可在系统启动时自动激活病毒。*更改drive:/windows/win.ini或者system.ini文件。病毒通常会在win.ini的“run=”后面加入病毒自身的文件名，或者在system.ini文件中将“shell=”更改。

注册表键值

目前，只要新出的蠕虫/特洛伊类病毒一般都有修改系统注册表的动作。它们修改的位置一般有以下几个地方:

在系统启动时自动执行的程序

HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce/

在系统启动时自动执行的系统服务程序

HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/

在系统启动时自动执行的程序，这是病毒最有可能修改/添加的地方

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/

HKEY_CLASSES_ROOT/exefile/shell/open/command

说明:此键值能使病毒在用户运行任何EXE程序时被运行，以此类推，../txtfile/.. 或者 ../comfile/.. 也可被更改，以便实现病毒自动运行的功能。

另外，有些健值还可能被利用来实现比较特别的功能:

有些病毒会通过修改下面的键值来阻止用户查看和修改注册表:

HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/

System/DisableRegistryTools =

为了阻止用户利用.REG文件修改注册表键值，以下键值也会被修改来显示一个内存访问错误窗口

例如:Win32.Swen.B 病毒 会将缺省健值修改为:

HKCR/regfile/shell/open/command/(Default) = "cxsgrhcl.exe showerror"

通过对以上地方的修改，病毒程序主要达到的目的是在系统启动或者程序运行过程中能够自动被执行，已达到自动激活的目的。 问：前两天我打开了mail中的一个附件，因为那个mail的地址和我一个同事的地址很像，因此没有多考虑就将附件下载打开了。不想这个附件是个病毒，它让我的机器变的很慢，杀毒之后好像没有太大作用。请问我该怎么办？

答：病毒、木马、和一些恶意软件，往往都会对Widnows的注册表下毒手，虽然破坏形式不尽相同，但是经过分析它们的破坏手法并非无规律可循。这里列出了一些用户系统中被易被修改的系统设置和注册表项。建议再换用其他木马专杀工具试一下，并再针对以下注册表键值进行检查，看看是否有被改动过的迹象。