教你如何清除蠕蟲病毒

在本文中，筆者將分析容易受這種特定蠕蟲攻擊的路由器類型，然后討論如何防止這類和其它類型的路由器蠕蟲的感染。最后，我們將探討如何清除感染路由器的蠕蟲。

蠕蟲是怎樣進入路由器的

路由器蠕蟲是通過用于遠程管理路由器的端口進入路由器的。不過，路由器在默認情況下并沒有打開這些端口。必須在路由器Web界面的配置程序上手動啟用之。如下圖1所示：

此外，更大的漏洞在于弱口令。換句話說，如果采取了防御措施，遠程管理就是安全的。

根據有關媒體的研究，這種最新的蠕蟲攻擊的基本上需要滿足下面的標準：

1.這些設備一般都是使用MIPS處理器的設備，這種處理器運行簡版Endian模式(mipsel)運行。這包括大約30種Linksys設備，十種Netgear 型號的設備，還有其它許多種設備。此外，加載其它固件代替品的路由器，如DD-WRT和OpenWRT也易于受到攻擊。

2.啟用了某種類型遠程管理的設備，如啟用了telnet、SSH，或是基于Web的訪問，要知道，僅提供本地的訪問并不容易受到攻擊。

3.遠程管理訪問的用戶名和口令的組合不夠強健，易被解除。或者是其固件容易被漏洞利用程序所利用。

既然路由器蠕蟲是通過遠程管理端口侵入的，保障這些端口的安全就成為了防止感染的關鍵所在。此外，不啟用遠程管理并關閉這些端口就是最佳方案，因為蠕蟲無路可進。不過，如果需要遠程訪問，遵循下面的指南可以防止蠕蟲的入侵：

1.使用強健而安全的口令

要知道，路由器蠕蟲依賴于強力字典攻擊(不斷地努力猜測口令)，所以我們應當使用不易被猜測的口令。不要使用什么“admin”、“router”、“12345”等作為路由器的口令，而要使用一種混合性的組合，如rDF4m9Es0yQ3ha等。其中至少要包括大小寫字母，并利用數字和字母。雖然這種口令不易記憶，但我們可以將其存放于可以某個文件(如文本文件)中，再用TrueCrypt、Cryptainer LE等軟件為各種保存密碼的文件加密。

2.保障遠程連接的加密

例如，盡量不要使用HTTP方式傳送，因為它使用的是明文傳送，而可考慮使用HTTPS來傳送基于Web的訪問。可以打開路由器配置程序的遠程訪問設置，選擇“https”選項。如果需要命令行才能訪問路由器，可使用SSH。因為SSH是一個加密的協議。使用加密的連接并不是防止路由器蠕蟲的必須措施，但它可以加強路由器的總體安全性。

3.改變默認端口

蠕蟲僵尸可通過這些遠程連接的默認端口侵入，如通過HTTP Web 訪問的80或8080端口、加密Web訪問的443端口、SSH的22號端口等。因此，一臺在非默認端口上接收連接的路由器更為安全。很多路由器在緊挨著遠程連接設置功能的位置有一個端口(Port)字段，在此輸入想要使用的端口號碼。例如，鍵入路由器所在位置的面向互聯網的IP地址，加上一個冒號，然后是端口號。如果是通過SSH進行連接，你需要在SSH客戶端程序的連接設置中指定端口號。

4.使用入站過濾器

其實我們可以對有些路由器進行配置，使其過濾哪些IP地址或范圍準許使用進入的連接，如此便可以阻止不在列表中的任何IP地址的蠕蟲。為此，首先，可以看一下是否可以在路由器的遠程管理設置中定義IP地址或IP地址范圍。然后，檢查路由器是否可以設置入站的連接設置。

保障路由器的固件最新

前面我們提到,路由器固件所所使用的軟件也使路由器易于受到蠕蟲攻擊，因此保持路由器總是加載最新的固件版本可有助于防止這種漏洞。路由器的制造商們和固件替換項目會定期發布這些固件的更新，用以修補已知的安全漏洞。

要更新路由器的固件，應從廠商的網站下載新的鏡像。然后登錄進入路由器的配置程序，打開“Admin”/“Misc”或“System”部分，選擇最新的固件，并加載它即可。

清除蠕蟲：還路由器的清潔之軀

我們前面所討論的預防性措施可防止路由器受到蠕蟲的攻擊和危害。記住，如果你不需要遠程訪問就不要啟用它。如果有必要采用此功能，我建議你把用戶名和口令復雜一些，多用一些大小寫、數字等混合的口令，并要通過SSH或HTTPS傳輸，還要考慮使用非默認端口，并盡量采用任何的入站過濾器。

如果路由器已經受到感染，肯定會發生一些不可思議的事情。例如，據報告，Psyb0t會阻止22號端口、23號端口、80號端口的通信。

要清除蠕蟲，最徹底的解決方法是將路由器恢復到出廠默認值，這樣做可以保證清除蠕蟲。按下路由器背面的復位按鈕，并且過上幾秒鐘(不同的廠商要求不一樣，如筆者的路由器要求按下30秒鐘以上才可以)，就可以恢復到出廠狀態。一旦清除了蠕蟲，一定要記得采用本文所介紹的方法喲。