危害網絡安全的群發郵件蠕蟲病毒

由於群發郵件蠕蟲病毒阻塞網絡造成網速緩慢、網絡連接丟失、傳輸文件時頻繁的連接超時報錯，這些典型問題幾乎所有人都遇到過。

本文提供了群發郵件病毒威脅的背景信息。介紹了群發郵件蠕蟲病毒及其生成、傳播和構成的威脅，內容涵蓋蠕蟲的危害、影響和副作用，探討了郵件服務器協議在遏制病毒傳播方面的重要性，還評價了幾種防范蠕蟲病毒的方法。最後，文中還講述了包括垃圾郵件和網絡誘騙郵件在內的其它群發郵件病毒及其構成的威脅。

關於群發郵件蠕蟲病毒

群發郵件蠕蟲病毒最早出現於20世紀80年代後期，到90年代後期開始大量繁殖，在過去的2~3年中呈現出明顯的復雜化發展趨勢。蠕蟲病毒引發了嚴重的安全危機，它能造成互聯網、企業內部網、企業外聯網、B2B電子商務應用程序及企業等部分癱瘓。病毒從網絡內部和外部均可發起攻擊，阻塞郵件服務器，關閉運行網絡服務的應用軟件，消耗系統內其它關鍵應用程序的帶寬。蠕蟲病毒幾小時就可寫完並由一種典型的軟件調制解調器生成，傳播到任何一個人的電腦上就會迅速影響到數十萬台電腦、工作站、家用電腦、網絡電腦及郵件服務器。盡管明顯不合法，而且會造成上億美元的損失，但對這種網上犯罪的懲罰卻極為有限。事實上，病毒越厲害，知名度越高，病毒創造者之後將因此得到越多的回報。

蠕蟲使用獨立的自行傳播的惡意代碼。利用軟件自動進行自我復制並發送至被感染電腦中所有地址及郵件列表的聯系人，以傳播為目的逐個獲取地址，通過合法郵件向盡可能多的地址發送病毒副本。其結果是傳播諸如特洛伊木馬、拒絕代理服務和郵件轉發服務一類具有破壞性的數據淨荷，如果沒有正確的分布式防護工具，很難對這種病毒進行大范圍的控制。

最重要的是，蠕蟲病毒的威脅幾乎隨時存在，每天發生小型攻擊，每隔十幾天發生大規模攻擊。病毒通過攜帶數據淨荷或通過病毒傳播的副作用而造成巨大的危害，它效力迅速而造成致命一擊，可在極短的時間使整個站點癱瘓。很多人應該還記得在2001年，yahoo網站遭到病毒程序攻擊而陷於癱瘓，並通過自動引擎蔓延到代理服務器，使得攻擊者可以操縱上百萬個站點准備發動進一步的攻擊。

群發郵件蠕蟲的傳播

解決群發郵件蠕蟲病毒的主要難題在於它的易傳播性，特別是在最初幾個小時內，此時尚未形成對其足夠的威懾力量。通過一個非常簡單的進程，一個蠕蟲病毒便可以逐一發送上百萬封郵件。

圖一：蠕蟲病毒通過SMTP服務器傳播
　　病毒一旦生成，攻擊者便連接到SMTP服務器上並發送病毒。如圖一所示，這時病毒已儲存在SMTP服務器內，客戶機在訪問SMTP服務器的同時也下載了病毒。通過讀取郵件激活了病毒，在一些復雜的案例中甚至只要客戶端接收了病毒郵件就會激活病毒，病毒發送數據淨荷到電腦後開始掃描硬盤尋找郵件地址，並將自身復制發送至尋找到的所有地址。由於我們通常使用的程序如OUTLOOK中存有大量郵件地址，這樣，，病毒傳播范圍進一步擴大，它可以傳播到其他的SMTP服務器、郵件接收端或客戶機。

·網絡安全技巧大全·網絡安全入門要了解的16個問題·確保網絡安全的五種手段·黑客攻防基礎之網絡安全三部曲·只防病毒不安全 網絡安全還要防什麼·網絡安全利劍 卡卡上網安全助手安裝使·巧用文件改名 保障網絡安全十招·DDos攻擊防范和全局網絡安全的應對·合理配置防火牆是網絡安全的要素·菜鳥必知之網絡安全常識 圖二：蠕蟲病毒傳播對服務器的影響

普通的防護措施並不能充分地防范蠕蟲病毒，自然，蠕蟲病毒在郵件服務器上傳播造成非常嚴重的後果，產生沉重的負載，導致連接失敗和服務器傳輸失敗等一系列現象。例如圖二中的曲線圖顯示蠕蟲傳播所造成的影響。大部分外出TCP流程都有一個針對服務器運行的最優阈值，一旦超過此門限阈值，服務器將停止工作。圖中可看出，病毒傳播產生的全面的、破壞性的影響在數日後才顯現出來。到第十三天，流程超出服務器門限值，郵件服務器的服務被終止。

1998年11月2日，互聯網絡在第一個蠕蟲病毒的沖擊下遭受重創，病毒的創造者卻是一個23歲的學生，他的名字叫RobertTappanMorrisJr.，其父親在NSA工作。從那時以來，蠕蟲病毒的發展主要歷經了兩代。第一代是在上世紀90年代末到本世紀初，使用郵件客戶端而不是SMTP引擎進行傳播，典型病毒有Mellisa 和 I-Love。這一代的蠕蟲病毒不能掃描硬盤，但可以將地址簿中的郵件地址作為傳播的接收人，而且病毒運行前提是帶毒郵件附件被點擊打開。因此，所有的病毒郵件都來自被感染電腦中的經過確認的郵件帳號。由於沒有地址簿造假功能，通常很容易就能追蹤到合法地址的郵件發送人。病毒使用VB腳本和office宏來執行惡意代碼，極少數則使用可執行的二進制代碼，附件的擴展名一般為.vbs，.doc，.xls或.exe。

第二代蠕蟲病毒出現於2002年，比第一代病毒更為危險，加強了自動化功能且攜帶致命的數據淨荷，傳播的速度更快、媒介更多，而且由於傳播途徑的多樣化愈加難以截獲，對數據淨荷和帶寬消耗造成更大危害。

第二代病毒如Bagle，Mydoom和Netsky等已經可以掃描硬盤（包括硬盤中的文件和文檔）來搜索郵件地址並包括自身的SMTP客戶端來傳播自身的病毒副本。它們成功地繞過安全措施防線，因為病毒已被加密打包成可執行文件（使用高性能、可下載的UPX包，UPX–ultimate packer executable – 超級壓縮執行包），並具備終止安全軟件運行的功能。

第二代病毒變化多端，以不同的變種出現，包括針對郵件和網絡共享的多樣化傳播源，允許在P2P共享文件夾中自我復制。所以，甚至Windows程序都能感染並實際運行這些病毒。這些蠕蟲病毒還可以包括在代碼中集成的或從惡意網絡服務器上下載的黑客後門組件，可執行拒絕訪問攻擊，有時也會利用軟件漏洞自動執行。

郵件服務器協議的重要性

蠕蟲病毒或群發郵件病毒以簡單郵件傳輸協議(SMTP)為基礎，通過互聯網在郵件服務器之間復制傳播，SMTP協議的重要性十分明顯，就傳播范圍而言，阻止病毒擴散的最佳最便捷的位置就在於通過SMTP進行的服務器之間的通信。

SMTP是一個簡單的、標准化的、基本的且公開執行的純文本協議，它從20世紀70年代起便已開始應用，一般用於發送郵件。它使用RFC2821文本協議和Base64附件傳輸協議，後者可以將二進制數據轉換為ASCII可打印字符，並實現了對可執行文件及圖片或文檔的編碼。

SMTP使用TCP25端口為所有的組織提供非常有價值的服務，是一個互聯網上的開放式協議。然而，由於它不需認證或加密，使得它非常容易被偽造，致使蠕蟲病毒可以始終使用同一種逃避技術。

其他的基於互聯網的郵件傳輸協議包括POP3（用於將郵件從服務器下載到客戶端的文本協議）、IMAP4（比POP3更先進的一種協議），MAPI（一種交換協議，用於服務器與客戶端的通信交換）和X400（一種很少用到的服務器間郵件傳輸協議）。

識別進而防止蠕蟲病毒感染的關鍵是要以對SMTP服務器進行不間斷的監測為基本前提。基於SMTP服務器的Map、Monitor、Alert和Rectify都是防止病毒感染的關鍵命令。

蠕蟲病毒的危害、影響和副作用

蠕蟲病毒能造成破壞性結果，其傳播帶來的影響是多方面的。對於郵件服務器資源，它們搶占存儲空間和連接數，很容易導致服務器拒絕服務；對於使用防病毒網關的用戶，資源負載過大會出現郵件傳輸延遲，特別是當每個攜帶偽造信息的郵件，由於其無效的收收件人和發件人地址而每一循環至少會產生兩個以上無法遞送的郵件，從而使帶寬消耗大幅增加。另一方面，合法的發件人地址將收到上千個郵件無法送達的通知。即使是蠕蟲病毒已經被消除，大量的廣告、垃圾郵件、欺騙郵件（這類郵件一種表面是提示防止病毒感染，實際則是激活病毒，另一種是病毒警告郵件，有時欺騙使用者刪除重要文件並繼續發送虛假報警信息）仍可能存活數月。

此外，蠕蟲病毒的數據淨荷也會產生重大影響並可能造成危害。例如，安裝後門程序和特洛伊木馬而威脅到某些工作站或服務器可造成一系列後果：轉發垃圾郵件、執行遠程代碼、盜竊機密信息、引發服務器拒絕服務(DoS)、掃描和其他類型的哄騙攻擊，以及建立代理連接來避免蠕蟲病毒源被偵測到。

其它影響包括直接發起Dos拒絕服務攻擊、致使工作站癱瘓、刪除或修改硬盤上的文件，而有時僅僅是移動桌面圖標來騷擾使用者。

蠕蟲病毒的生成

制造蠕蟲病毒背後的動機可能是尋求挑戰刺激，想出名，搞破壞或進行詐騙。蠕蟲病毒目前最可怕的方面是它易於生成，根本不需要實際的專業知識或編程經驗。

蠕蟲病毒可以用C語言、Delphi、高級VB或更先進的低級匯編編程來生成。甚至有成套工具和框架工具，例如VBSWG，可以簡單地自動生成並傳播病毒，加之一系列現成的模塊可選擇應用，如SMTP引擎、DoS、SynFlood和後門程序，還可提供不同的變種選擇（變換模塊、攻擊地址、打包方式、編輯和定時），這樣，由於可以通過向導定制生成蠕蟲病毒而產生莫大威脅，因為病毒越來越復雜使得抗擊病毒更加困難。

其它群發郵件病毒威脅

蠕蟲病毒並不是目前對計算機安全唯一的威脅。垃圾郵件和網絡誘騙郵件同樣也是群發郵件病毒的代表，而不能和蠕蟲病毒混為一談。

垃圾郵件，從字面上說就是我們不希望在郵箱裡看到的東西，經常攜帶危險內容。我們都會收到垃圾郵件，通常是商業廣告、欺詐消息、虛假信息、詐騙信、技術錯誤、垃圾信息、發送失敗信息，或是外國文字、字體、亂碼及不可讀信息。網絡誘騙郵件是嚴重違法的。通過精心設計偽造成看似同實際運營網站一樣的HTML網絡誘騙郵件，引誘人們進入圈套從而洩露重要的敏感信息，如信用卡號、注冊用戶名或密碼。

垃圾郵件和網絡誘騙郵件與蠕蟲病毒類似，但只是部分自動化，使用自動獲取和郵件廣播軟件，主要集中在防護較