安全专家日前警告称，专门攻击Linux系统上的Apache Web服务器的蠕虫Slapper已发现两个新变种，而且变种已开始传播。原版的Slapper（Slapper.A）是在两周前出现的，新变种Slapper.B及Slapper.C对“前辈”作了些修改，使得其一旦被感染，更加难以清除。

　　Slapper蠕虫利用了安全插座层（SSL）交换进程中存在的缓冲溢出漏洞，至目前为止已感染了全球数千台服务器。SSL的交换进程是SSL服务器端与SSL客户端之间进行原始的信息交换。蠕虫利用此SSL漏洞将恶意代码传送到远程机器上，然后再对代码进行编译，使其形成新的可执行文件。Web服务器一旦感染了Slapper蠕虫，它就会成为一个由众多被感染服务器形成的大的P2P网络中的主机，用以扫描其他Web主机，从而进一步感染其他服务器。在感染过程中，它利用了UDP端口中的一个。

　　而新变种利用不同的UDP端口来与其他被感染服务器进行通信，且具有不同的病毒名。原版Slapper叫"bugtraq"，依靠的是UDP2002端口，Slapper.B名叫"cinik"，利用1978端口，而Slapper.c名为"unlock"，使用的是4156端口。系统管理员及反病毒软件可利用这些名字来搜索服务器中的各个目录及文件，以确认是否被蠕虫感染。同时也可监测受影响端口的流量，如有非正常的流量过大，则表明已中毒。

　　新变种对原版的上述修改没什么实际意义，容易发现。但改变不仅于此，Slapper.B还作了其他修改，使得其很难从服务器上清除。据安全研究公司F-Secure称，假如Slapper.B从被感染服务器上清除后，它可从Web页上重新获取病毒源代码。它使用了一款常见的免费工具wget，从home.ro domain站点上的被感染Web页上获取病毒源代码。据F-Secure表示，该站点位于罗马尼亚，已告知其管理员将受感染网页删除。

　　Slapper.B相对原版本的这种变化使得它在澳大利亚等许多国家快速传播开来。在澳大利亚，有120多家企业已遭到该变种的侵袭。

　　幸运的是，变种还没有改变此蠕虫基本的感染机制：利用OpenSSl的缓冲溢出漏洞。因此，系统管理员只要安装了此漏洞的补丁，就可防范Slapper蠕虫及其变种。