深入了解網(wǎng)絡(luò)中的蠕蟲病毒，自1988年第一個(gè)蠕蟲顯示出它的威力以來(lái)，越來(lái)越多的人加入了蠕蟲制作陣營(yíng)，他們用這種途徑來(lái)證明自己的能力，或者實(shí)現(xiàn)一些特殊目的，于是多種多樣的蠕蟲誕生了。可是不管蠕蟲的“行為方式”（它們進(jìn)入計(jì)算機(jī)后要做的事情）有多少種，其“傳播方式”卻僅僅有屈指可數(shù)的幾種：電子郵件、網(wǎng)頁(yè)代碼、社會(huì)工程學(xué)以及系統(tǒng)漏洞等。

蠕蟲源起

提到蠕蟲，大家都不會(huì)陌生，這些自然界中的低等生物以農(nóng)作物為食，給人類帶來(lái)經(jīng)濟(jì)損失。但是，如果說(shuō)計(jì)算機(jī)中也有這樣一種名為“蠕蟲”的東西存在，同樣也給人類帶來(lái)嚴(yán)重經(jīng)濟(jì)損失，你也許會(huì)覺(jué)得這是天方夜譚，蟲子怎么會(huì)爬進(jìn)計(jì)算機(jī)呢?

1988年11月2日，世界上第一個(gè)計(jì)算機(jī)蠕蟲正式誕生。美國(guó)康乃爾大學(xué)一年級(jí)研究生莫里斯為了求證計(jì)算機(jī)程序能否在不同的計(jì)算機(jī)之間自我復(fù)制傳播，他寫了一段試驗(yàn)程序，為了程序能順利進(jìn)入另一臺(tái)計(jì)算機(jī)，他寫了一段破解用戶口令的代碼。11月2日早上5點(diǎn)，這段被稱為“Worm”(蠕蟲)的程序開(kāi)始了它的旅行，它果然沒(méi)有辜負(fù)莫里斯的期望：它爬進(jìn)了幾千臺(tái)電腦，讓它們死機(jī)，造成了經(jīng)濟(jì)損失高達(dá)9600萬(wàn)美元的記錄。從此，“蠕蟲”這個(gè)名詞傳開(kāi)了，莫里斯也許并不知道：他在證明這個(gè)結(jié)論的同時(shí)，也打開(kāi)了潘多拉魔盒。

自1988年第一個(gè)蠕蟲顯示出它的威力以來(lái)，越來(lái)越多的人加入了蠕蟲病毒制作陣營(yíng)，他們用這種途徑來(lái)證明自己的能力，或者實(shí)現(xiàn)一些特殊目的，于是多種多樣的蠕蟲誕生了?？墒遣还苋湎x的“行為方式”(它們進(jìn)入計(jì)算機(jī)后要做的事情)有多少種，其“傳播方式”卻僅僅有屈指可數(shù)的幾種：電子郵件、網(wǎng)頁(yè)代碼、社會(huì)工程學(xué)以及系統(tǒng)漏洞等。

下面，我們就來(lái)看看蠕蟲進(jìn)入計(jì)算機(jī)的幾種主要方式。

破郵箱而出：郵件蠕蟲

也許是受遺傳的影響吧，最初的莫里斯蠕蟲是通過(guò)郵件系統(tǒng)復(fù)制自身的，發(fā)展到現(xiàn)在，蠕蟲傳播的主流依然是郵件系統(tǒng)，不同的是，蠕蟲“前輩”利用的郵件系統(tǒng)能夠自動(dòng)完成協(xié)助復(fù)制工作，而如今的郵件系統(tǒng)只能負(fù)責(zé)傳播，要啟動(dòng)蠕蟲必須由用戶打開(kāi)郵件才可以。

為什么選擇郵件傳播?因?yàn)檫@是最大的傳播系統(tǒng)。為什么用戶一打開(kāi)郵件就被蠕蟲撬窗入室?這要從微軟的兩個(gè)古老漏洞說(shuō)起，它們分別是1999年11月11日的IFrame漏洞和2001年3月29日的MIME漏洞。

IFrame是一段用于往網(wǎng)頁(yè)里放入一個(gè)小頁(yè)面的HTML語(yǔ)言，它用來(lái)實(shí)現(xiàn)“框架”結(jié)構(gòu)。當(dāng)年有好事者測(cè)試出一個(gè)可怕的現(xiàn)象：往一個(gè)頁(yè)面里放入多個(gè)IFrame時(shí)，框架里請(qǐng)求運(yùn)行程序的代碼就會(huì)被執(zhí)行，如果有人故意做了一個(gè)執(zhí)行破壞程序的頁(yè)面，那后果可想而知。由于IFrame的尺寸可以自由設(shè)置，因此破壞者可以在一個(gè)頁(yè)面里放入多個(gè)“看不見(jiàn)”的框架，并附帶多個(gè)“看不見(jiàn)”的有害程序，瀏覽了那個(gè)網(wǎng)頁(yè)的人自然就成了受害者!

和IFrame漏洞相比，MIME漏洞更加出名，它其實(shí)只是一小段用來(lái)描述信息類型的數(shù)據(jù)。瀏覽器通過(guò)讀取它來(lái)得知接收到的數(shù)據(jù)該怎么處理，如果是文本和圖片就顯示出來(lái)，是程序就彈出下載確認(rèn)，是音樂(lè)就直接播放。請(qǐng)留意最后一個(gè)類型：音樂(lè)，瀏覽器對(duì)它采取的動(dòng)作是：播放。

要知道：音樂(lè)文件和程序文件都是一樣的二進(jìn)制數(shù)據(jù)，都需要解碼還原數(shù)據(jù)到系統(tǒng)臨時(shí)目錄里，然后瀏覽器通過(guò)一個(gè)簡(jiǎn)單的文件后綴名判斷來(lái)決定該用哪種方法處理它。例如用戶收到一個(gè)MP3文件，MIME把它描述成音樂(lè)文件，所以瀏覽器解碼保存這個(gè)文件到一個(gè)臨時(shí)目錄，而后查找調(diào)用這個(gè)文件后綴MP3對(duì)應(yīng)的執(zhí)行程序，這就是一次完整的工作過(guò)程;但是問(wèn)題就出在這個(gè)似乎完美的步驟上，如果攻擊者給用戶發(fā)送一個(gè)帶有EXE后綴可執(zhí)行文件的郵件，并把它的MIME描述為音樂(lè)文件，這時(shí)候?yàn)g覽器會(huì)把它解到臨時(shí)目錄，然后根據(jù)它的后綴名調(diào)用一個(gè)能打開(kāi)它的應(yīng)用程序——EXE后綴告訴系統(tǒng)，直接運(yùn)行這個(gè)文件!于是這個(gè)文件就被順利執(zhí)行了，用戶的機(jī)器也開(kāi)始遭到破壞。正因?yàn)檫@樣，郵件蠕蟲才成了如今世界“蟲害”的主要來(lái)源。靠郵件傳播的蠕蟲主要有SoBig、MyDoom、求職信等。相對(duì)于郵件蠕蟲病毒，利用網(wǎng)頁(yè)傳播的蠕蟲手段無(wú)疑更為高明，它分為兩個(gè)“門派”：傳統(tǒng)派和腳本派。傳統(tǒng)派使用的技術(shù)又包括兩種，一種是用一個(gè)IFrame插入一個(gè)Mail框架，同樣利用MIME漏洞執(zhí)行蠕蟲，這是直接沿用郵件蠕蟲的方法;另一種是用IFrame漏洞和瀏覽器下載文件的漏洞來(lái)運(yùn)作的，首先由一個(gè)包含特殊代碼的頁(yè)面去下載放在另一個(gè)網(wǎng)站的病毒文件，然后運(yùn)行它，完成蠕蟲傳播。

“腳本派”蠕蟲就更復(fù)雜了，它們不是可執(zhí)行程序，而是一段具有破壞和自動(dòng)尋找載體能力進(jìn)行傳播的代碼。湊巧的是，Windows系統(tǒng)自身文件夾模板也是通過(guò)腳本運(yùn)作的(由此可見(jiàn)腳本的強(qiáng)大!)，于是有人把它們的用途放到了入侵方面，通過(guò)一段精心編制的腳本，這只“沒(méi)有身體”(沒(méi)有獨(dú)立執(zhí)行的程序體)的蟲子就很輕松地爬進(jìn)了千家萬(wàn)戶。當(dāng)然，這類蠕蟲實(shí)現(xiàn)的功能往往比完整的蠕蟲要少，因此編寫者讓它完成的任務(wù)一般也很簡(jiǎn)單：破壞文件。曾經(jīng)大面積爆發(fā)的歡樂(lè)時(shí)光就是這樣做才令人“談蟲色變”的，雖然它只是一段很簡(jiǎn)單的文件操作代碼集合

細(xì)心的讀者應(yīng)該會(huì)有個(gè)疑問(wèn)：既然網(wǎng)頁(yè)蠕蟲是通過(guò)網(wǎng)頁(yè)傳播的，而看網(wǎng)頁(yè)的人那么多，它應(yīng)該成為主流才對(duì)啊，為什么卻是郵件蠕蟲?

其實(shí)原因很簡(jiǎn)單：大部分蠕蟲作者不可能在公共熱門網(wǎng)站里放入自己的蠕蟲框架代碼。要知道，往頁(yè)面里加入代碼是要取得服務(wù)器管理權(quán)限的，這并不是所有人都能做得到的，這就增加了傳播的局限性，因此網(wǎng)頁(yè)蠕蟲始終成不了主流。

不記得是誰(shuí)第一個(gè)把網(wǎng)頁(yè)蠕蟲和社會(huì)學(xué)結(jié)合在一起了，但是當(dāng)QQ第一次被迫自動(dòng)發(fā)出“http://sckiss.yeah.net，你快去看看”的消息時(shí)，這一領(lǐng)域的大門被撞開(kāi)了，“愛(ài)情森林”蠕蟲的實(shí)體是躲在網(wǎng)頁(yè)背后的EXE木馬，又利用QQ把自身網(wǎng)址宣布出去，把這兩個(gè)看似不相關(guān)的方面結(jié)合得天衣無(wú)縫!這種蠕蟲的實(shí)現(xiàn)原理很簡(jiǎn)單：

當(dāng)蠕蟲爬進(jìn)你的機(jī)器后，它就會(huì)查找QQ進(jìn)程，截獲發(fā)送消息事件并且在QQ的信息里自動(dòng)加入一段誘惑你的話，讓你去瀏覽它藏身的網(wǎng)頁(yè)而被它爬入電腦，同時(shí)成為它的又一個(gè)宣傳者。顯然，這種“宣傳”方法成功與否，全在于蠕蟲編寫者的社會(huì)學(xué)和心理學(xué)，否則稍有經(jīng)驗(yàn)的人都會(huì)知道這是大名鼎鼎的“QQ尾巴”了(圖4)，例如“想看XX明星緋聞去http://www.xxxxx.com”這種弱智的語(yǔ)言功力，如今已經(jīng)不能拿來(lái)騙人了。

2003年1月，很多人特別是從事信息安全的IT人都記住了這個(gè)月，因?yàn)樵谶@個(gè)月里，全世界的網(wǎng)絡(luò)被大小僅為376個(gè)字節(jié)的“小蟲子”打敗了，直接經(jīng)濟(jì)損失超過(guò)數(shù)百億美元，更重要的是：這個(gè)小蠕蟲又開(kāi)創(chuàng)了一個(gè)蠕蟲里程碑，它就是“SQL蠕蟲王Slammer”，世界上第一個(gè)打破常規(guī)的蠕蟲。它不再像前面那些蠕蟲一樣安靜等待別人來(lái)觸發(fā)了，它要自己闖天下，它把運(yùn)行的關(guān)鍵指向了SQL溢出漏洞，結(jié)果，它成功了：它收拾了全球13臺(tái)根域名服務(wù)器中的8臺(tái)，導(dǎo)致全球主干網(wǎng)絡(luò)癱瘓!

“SQL蠕蟲王Slammer”所做的一切似乎只為了宣布一件事情：蠕蟲也可以這樣寫!于是這一新領(lǐng)域的蠕蟲便迅速發(fā)展起來(lái)了，利用RPC溢出漏洞的沖擊波、沖擊波殺手，倉(cāng)促把玩LSASS溢出漏洞的震蕩波、震蕩波殺手……這些反客為主的蠕蟲在每一次新漏洞被公布之時(shí)迅速出現(xiàn)，趁火打劫地加入破壞行列，其間又有些號(hào)稱“殺手”的“除害蠕蟲”，幫人家把前一個(gè)蠕蟲殺了，然后自己也賴著不走了，成為受害者機(jī)器里的又一條蠕蟲——拔刀相助，爾后強(qiáng)駐?這似乎不是英雄所為。

系統(tǒng)漏洞蠕蟲一般具備一個(gè)小型的溢出系統(tǒng)，它隨機(jī)產(chǎn)生IP并嘗試溢出，然后將自身復(fù)制過(guò)去。它們往往造成被感染系統(tǒng)性能速度迅速降低，甚至系統(tǒng)崩潰，屬于最不受歡迎的一類蟲子。

蠕蟲進(jìn)入電腦后，會(huì)做什么事情呢?現(xiàn)在已經(jīng)很難下定論了，因?yàn)槿湎x病毒的類型已經(jīng)變得非常復(fù)雜，但是它們的最終目的不外乎是：偷密碼資料(比如QQ尾巴)、影響用戶正常使用機(jī)器(比如沖擊波)、擾亂網(wǎng)絡(luò)通訊(比如Nimda)、破壞用戶機(jī)器(比如歡樂(lè)時(shí)光)、“借機(jī)殺人”(比如MyDoom、SQL蠕蟲王)、發(fā)email(比如Sobig)等。

蠕蟲的防治

蠕蟲已經(jīng)成了當(dāng)前病毒的主流方式，每年由蠕蟲造成的經(jīng)濟(jì)損失超過(guò)數(shù)億美元，不僅如此，它們還在向威脅人類正常使用電腦的方向發(fā)展，如果再不嚴(yán)厲打擊制造蠕蟲的幕后黑手，總有一天世界網(wǎng)絡(luò)會(huì)被這些小蟲子摧毀。

由于蠕蟲發(fā)展越來(lái)越壯大，它的進(jìn)程也由單一文件變成多進(jìn)程互相防護(hù)、DLL掛鉤、文件并聯(lián)等方式。普通用戶要想手工清除這些蠕蟲已經(jīng)變得相當(dāng)困難，最好的方法是預(yù)防。其實(shí)大部分蠕蟲都是利用了系統(tǒng)漏洞進(jìn)行傳播的，如果用戶安全意識(shí)較高，那么蠕蟲病毒就會(huì)無(wú)門可鉆。專家認(rèn)為：提高用戶的安全防范意識(shí)，學(xué)習(xí)一點(diǎn)常備的電腦維護(hù)知識(shí)，遠(yuǎn)比一味跟在蠕蟲后面升級(jí)殺毒軟件的方法更加實(shí)際和有效!

【編輯推薦】

1. 群發(fā)郵件蠕蟲病毒突襲互聯(lián)網(wǎng)
2. 首款利用SSH漏洞的iPhone蠕蟲病毒現(xiàn)身
3. 如何在局域網(wǎng)內(nèi)防止蠕蟲病毒的傳播？
4. Conficker蠕蟲病毒并未終結(jié)
5. UTM跨界組合情景視頻：蠕蟲病毒防御