|
深入了解網(wǎng)絡(luò)中的蠕蟲病毒,自1988年第一個(gè)蠕蟲顯示出它的威力以來���,越來越多的人加入了蠕蟲制作陣營,他們用這種途徑來證明自己的能力����,或者實(shí)現(xiàn)一些特殊目的,于是多種多樣的蠕蟲誕生了�������?墒遣还苋湎x的“行為方式”(它們進(jìn)入計(jì)算機(jī)后要做的事情)有多少種����,其“傳播方式”卻僅僅有屈指可數(shù)的幾種:電子郵件、網(wǎng)頁代碼����、社會工程學(xué)以及系統(tǒng)漏洞等。
蠕蟲源起
提到蠕蟲�,大家都不會陌生����,這些自然界中的低等生物以農(nóng)作物為食��,給人類帶來經(jīng)濟(jì)損失�����。但是����,如果說計(jì)算機(jī)中也有這樣一種名為“蠕蟲”的東西存在,同樣也給人類帶來嚴(yán)重經(jīng)濟(jì)損失��,你也許會覺得這是天方夜譚����,蟲子怎么會爬進(jìn)計(jì)算機(jī)呢?
1988年11月2日,世界上第一個(gè)計(jì)算機(jī)蠕蟲正式誕生����。美國康乃爾大學(xué)一年級研究生莫里斯為了求證計(jì)算機(jī)程序能否在不同的計(jì)算機(jī)之間自我復(fù)制傳播,他寫了一段試驗(yàn)程序���,為了程序能順利進(jìn)入另一臺計(jì)算機(jī)����,他寫了一段破解用戶口令的代碼。11月2日早上5點(diǎn)�����,這段被稱為“Worm”(蠕蟲)的程序開始了它的旅行����,它果然沒有辜負(fù)莫里斯的期望:它爬進(jìn)了幾千臺電腦����,讓它們死機(jī),造成了經(jīng)濟(jì)損失高達(dá)9600萬美元的記錄���。從此����,“蠕蟲”這個(gè)名詞傳開了�����,莫里斯也許并不知道:他在證明這個(gè)結(jié)論的同時(shí)����,也打開了潘多拉魔盒�。
自1988年第一個(gè)蠕蟲顯示出它的威力以來�����,越來越多的人加入了蠕蟲病毒制作陣營��,他們用這種途徑來證明自己的能力�,或者實(shí)現(xiàn)一些特殊目的,于是多種多樣的蠕蟲誕生了�。可是不管蠕蟲的“行為方式”(它們進(jìn)入計(jì)算機(jī)后要做的事情)有多少種����,其“傳播方式”卻僅僅有屈指可數(shù)的幾種:電子郵件、網(wǎng)頁代碼����、社會工程學(xué)以及系統(tǒng)漏洞等。
下面�����,我們就來看看蠕蟲進(jìn)入計(jì)算機(jī)的幾種主要方式。
破郵箱而出:郵件蠕蟲
也許是受遺傳的影響吧��,最初的莫里斯蠕蟲是通過郵件系統(tǒng)復(fù)制自身的��,發(fā)展到現(xiàn)在���,蠕蟲傳播的主流依然是郵件系統(tǒng)��,不同的是�����,蠕蟲“前輩”利用的郵件系統(tǒng)能夠自動完成協(xié)助復(fù)制工作,而如今的郵件系統(tǒng)只能負(fù)責(zé)傳播���,要啟動蠕蟲必須由用戶打開郵件才可以�。
為什么選擇郵件傳播?因?yàn)檫@是最大的傳播系統(tǒng)���。為什么用戶一打開郵件就被蠕蟲撬窗入室?這要從微軟的兩個(gè)古老漏洞說起���,它們分別是1999年11月11日的IFrame漏洞和2001年3月29日的MIME漏洞。
IFrame是一段用于往網(wǎng)頁里放入一個(gè)小頁面的HTML語言��,它用來實(shí)現(xiàn)“框架”結(jié)構(gòu)。當(dāng)年有好事者測試出一個(gè)可怕的現(xiàn)象:往一個(gè)頁面里放入多個(gè)IFrame時(shí)��,框架里請求運(yùn)行程序的代碼就會被執(zhí)行��,如果有人故意做了一個(gè)執(zhí)行破壞程序的頁面����,那后果可想而知。由于IFrame的尺寸可以自由設(shè)置���,因此破壞者可以在一個(gè)頁面里放入多個(gè)“看不見”的框架����,并附帶多個(gè)“看不見”的有害程序����,瀏覽了那個(gè)網(wǎng)頁的人自然就成了受害者!
和IFrame漏洞相比,MIME漏洞更加出名�����,它其實(shí)只是一小段用來描述信息類型的數(shù)據(jù)�����。瀏覽器通過讀取它來得知接收到的數(shù)據(jù)該怎么處理,如果是文本和圖片就顯示出來�����,是程序就彈出下載確認(rèn)���,是音樂就直接播放�。請留意最后一個(gè)類型:音樂��,瀏覽器對它采取的動作是:播放�����。
要知道:音樂文件和程序文件都是一樣的二進(jìn)制數(shù)據(jù)�,都需要解碼還原數(shù)據(jù)到系統(tǒng)臨時(shí)目錄里���,然后瀏覽器通過一個(gè)簡單的文件后綴名判斷來決定該用哪種方法處理它����。例如用戶收到一個(gè)MP3文件�,MIME把它描述成音樂文件,所以瀏覽器解碼保存這個(gè)文件到一個(gè)臨時(shí)目錄���,而后查找調(diào)用這個(gè)文件后綴MP3對應(yīng)的執(zhí)行程序���,這就是一次完整的工作過程;但是問題就出在這個(gè)似乎完美的步驟上�����,如果攻擊者給用戶發(fā)送一個(gè)帶有EXE后綴可執(zhí)行文件的郵件�,并把它的MIME描述為音樂文件���,這時(shí)候?yàn)g覽器會把它解到臨時(shí)目錄����,然后根據(jù)它的后綴名調(diào)用一個(gè)能打開它的應(yīng)用程序——EXE后綴告訴系統(tǒng)�,直接運(yùn)行這個(gè)文件!于是這個(gè)文件就被順利執(zhí)行了,用戶的機(jī)器也開始遭到破壞�。正因?yàn)檫@樣,郵件蠕蟲才成了如今世界“蟲害”的主要來源�������?苦]件傳播的蠕蟲主要有SoBig����、MyDoom�����、求職信等��。相對于郵件蠕蟲病毒����,利用網(wǎng)頁傳播的蠕蟲手段無疑更為高明����,它分為兩個(gè)“門派”:傳統(tǒng)派和腳本派。傳統(tǒng)派使用的技術(shù)又包括兩種��,一種是用一個(gè)IFrame插入一個(gè)Mail框架��,同樣利用MIME漏洞執(zhí)行蠕蟲��,這是直接沿用郵件蠕蟲的方法;另一種是用IFrame漏洞和瀏覽器下載文件的漏洞來運(yùn)作的�,首先由一個(gè)包含特殊代碼的頁面去下載放在另一個(gè)網(wǎng)站的病毒文件����,然后運(yùn)行它���,完成蠕蟲傳播。
“腳本派”蠕蟲就更復(fù)雜了�,它們不是可執(zhí)行程序,而是一段具有破壞和自動尋找載體能力進(jìn)行傳播的代碼�。湊巧的是,Windows系統(tǒng)自身文件夾模板也是通過腳本運(yùn)作的(由此可見腳本的強(qiáng)大!)���,于是有人把它們的用途放到了入侵方面�,通過一段精心編制的腳本��,這只“沒有身體”(沒有獨(dú)立執(zhí)行的程序體)的蟲子就很輕松地爬進(jìn)了千家萬戶����。當(dāng)然,這類蠕蟲實(shí)現(xiàn)的功能往往比完整的蠕蟲要少��,因此編寫者讓它完成的任務(wù)一般也很簡單:破壞文件����。曾經(jīng)大面積爆發(fā)的歡樂時(shí)光就是這樣做才令人“談蟲色變”的,雖然它只是一段很簡單的文件操作代碼集合
細(xì)心的讀者應(yīng)該會有個(gè)疑問:既然網(wǎng)頁蠕蟲是通過網(wǎng)頁傳播的���,而看網(wǎng)頁的人那么多�����,它應(yīng)該成為主流才對啊�����,為什么卻是郵件蠕蟲?
其實(shí)原因很簡單:大部分蠕蟲作者不可能在公共熱門網(wǎng)站里放入自己的蠕蟲框架代碼�����。要知道���,往頁面里加入代碼是要取得服務(wù)器管理權(quán)限的�,這并不是所有人都能做得到的�,這就增加了傳播的局限性,因此網(wǎng)頁蠕蟲始終成不了主流���。
不記得是誰第一個(gè)把網(wǎng)頁蠕蟲和社會學(xué)結(jié)合在一起了��,但是當(dāng)QQ第一次被迫自動發(fā)出“http://sckiss.yeah.net�����,你快去看看”的消息時(shí)���,這一領(lǐng)域的大門被撞開了,“愛情森林”蠕蟲的實(shí)體是躲在網(wǎng)頁背后的EXE木馬��,又利用QQ把自身網(wǎng)址宣布出去�,把這兩個(gè)看似不相關(guān)的方面結(jié)合得天衣無縫!這種蠕蟲的實(shí)現(xiàn)原理很簡單:
當(dāng)蠕蟲爬進(jìn)你的機(jī)器后,它就會查找QQ進(jìn)程���,截獲發(fā)送消息事件并且在QQ的信息里自動加入一段誘惑你的話���,讓你去瀏覽它藏身的網(wǎng)頁而被它爬入電腦,同時(shí)成為它的又一個(gè)宣傳者����。顯然,這種“宣傳”方法成功與否����,全在于蠕蟲編寫者的社會學(xué)和心理學(xué),否則稍有經(jīng)驗(yàn)的人都會知道這是大名鼎鼎的“QQ尾巴”了(圖4)��,例如“想看XX明星緋聞去http://www.xxxxx.com”這種弱智的語言功力��,如今已經(jīng)不能拿來騙人了��。
2003年1月,很多人特別是從事信息安全的IT人都記住了這個(gè)月��,因?yàn)樵谶@個(gè)月里����,全世界的網(wǎng)絡(luò)被大小僅為376個(gè)字節(jié)的“小蟲子”打敗了,直接經(jīng)濟(jì)損失超過數(shù)百億美元����,更重要的是:這個(gè)小蠕蟲又開創(chuàng)了一個(gè)蠕蟲里程碑,它就是“SQL蠕蟲王Slammer”�����,世界上第一個(gè)打破常規(guī)的蠕蟲�。它不再像前面那些蠕蟲一樣安靜等待別人來觸發(fā)了,它要自己闖天下��,它把運(yùn)行的關(guān)鍵指向了SQL溢出漏洞����,結(jié)果,它成功了:它收拾了全球13臺根域名服務(wù)器中的8臺��,導(dǎo)致全球主干網(wǎng)絡(luò)癱瘓!
“SQL蠕蟲王Slammer”所做的一切似乎只為了宣布一件事情:蠕蟲也可以這樣寫!于是這一新領(lǐng)域的蠕蟲便迅速發(fā)展起來了,利用RPC溢出漏洞的沖擊波���、沖擊波殺手,倉促把玩LSASS溢出漏洞的震蕩波����、震蕩波殺手……這些反客為主的蠕蟲在每一次新漏洞被公布之時(shí)迅速出現(xiàn),趁火打劫地加入破壞行列���,其間又有些號稱“殺手”的“除害蠕蟲”�,幫人家把前一個(gè)蠕蟲殺了���,然后自己也賴著不走了����,成為受害者機(jī)器里的又一條蠕蟲——拔刀相助����,爾后強(qiáng)駐?這似乎不是英雄所為。
系統(tǒng)漏洞蠕蟲一般具備一個(gè)小型的溢出系統(tǒng)����,它隨機(jī)產(chǎn)生IP并嘗試溢出,然后將自身復(fù)制過去。它們往往造成被感染系統(tǒng)性能速度迅速降低�����,甚至系統(tǒng)崩潰�����,屬于最不受歡迎的一類蟲子��。
蠕蟲進(jìn)入電腦后�,會做什么事情呢?現(xiàn)在已經(jīng)很難下定論了,因?yàn)槿湎x病毒的類型已經(jīng)變得非常復(fù)雜����,但是它們的最終目的不外乎是:偷密碼資料(比如QQ尾巴)、影響用戶正常使用機(jī)器(比如沖擊波)��、擾亂網(wǎng)絡(luò)通訊(比如Nimda)��、破壞用戶機(jī)器(比如歡樂時(shí)光)���、“借機(jī)殺人”(比如MyDoom���、SQL蠕蟲王)���、發(fā)email(比如Sobig)等。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�!虛擬主機(jī)域名注冊頂級提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
