病毒名称：Linux.Slapper.Worm

发现日期：2002-09-13

病毒类型：蠕虫病毒

传播范围：低

危害级别：中

传播速度：低

病毒介绍：

Linux.Slapper.Worm蠕虫病毒只能感染安装有Linux操作系统的计算机，而不会感染安装有Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Macintosh操作系统的计算机。此病毒的别名为Apache/mod_ssl Worm。

1.对外非法开放80, 443, 2002端口。

2.传染的对象为：各不同的Linux版本系统上的Apache Web服务器。

3.此蠕虫病毒会试图连接服务器的80端口，并向服务器发送无效的“GET”请求，以此来识别Apache系统。如果一旦发现了Apache系统，它就会主动连接服务器的443端口，并向远程监听SSL服务系统发送恶意代码。

4.此蠕虫病毒的Linux Shell代码只能在基于英特尔芯片系统上运行，还得需要有shell命令/bin/sh才能够正确执行。

5.此蠕虫病毒还利用了UU编码的方法，先将病毒源代码编写成“.bugtraq.c”（因为只有这样才能够使“ls -a”命令显示此源码文件），之后会将其发送到远程系统上对此文件进行解码。

6.此病毒会使用gcc来编译此文件，并执行编译过的二进制文件“.bugtraq”，这些文件将会被保存在/tmp目录文件下。

7.此蠕虫病毒运行时将利用IP地址作为其参数。这些IP地址是黑客攻击时所要使用的计算机地址，此病毒用其来建立一个利用被感染机器发动拒绝服务攻击的网络系统。

8.其中每一个被此病毒感染的计算机系统会对UDP端口2002进行侦听，用此端口来接收黑客的指令信息。

9.此蠕虫病毒会扫描后缀为如下列数字的IP地址，以此对Apache系统进行攻击：

3, 4, 6, 8, 9, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 24, 25, 26, 28, 29, 30, 32, 33, 34, 35, 38, 40, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 61, 62, 63, 64, 65, 66, 67, 68, 80, 81, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 186, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 216, 217, 218, 219, 220, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239。

解决方案：

1.如果用户使用的是Linux操作系统的计算机，应及时升级杀毒软件，之后认真在整个硬盘上查杀此病毒，彻底清除掉查到的Linux.Slapper.Worm蠕虫病毒。