深入了解網絡蠕蟲

·XP系統網絡優化六招簡單技巧·系統提示“找不到網絡路徑”怎麼辦？·最常用的網絡命令精萃·深入掌握網絡加密及解密方法·網絡符號表情大全·必學:電腦與網絡維護常用技巧·常用網絡命令及命令實例詳解·制作一張含有網絡功能的dos啟動盤·虛擬網絡計算工具VNC使用指南·初學者應該從哪裡入手絡知識？

　　你知道蘋果裡面會有蟲子，可是你知道電腦裡面也會有“蟲子”嗎？雖然這兩種蟲子截然不同，可是研究發現，電腦“蟲子”在衍生、破壞性等方面卻和自然界的蟲子有不少類似之處。今天，我們就一起來深入了解一下什麼是網絡“蟲子”，以及它的危害和防治。

老皮特坐在電腦前寫著郵件，愁眉不展，連敲回車也弄出很大的聲響。

“該死的蟲子！我用了幾種農藥也殺不死它們！它們總是躲著，從這棵樹爬到那棵樹！這些可惡的蟲子！現有的農藥不管用！你們快點趕過來，帶上新的殺蟲劑，要快！費用不是問題，重要的是我的果園！看在果實就快要成熟的份上，快點！上帝啊！”。原來，老皮特的果園正在經歷一場蠕蟲危機，他今天和農業蟲害防治的人員取得了聯系，正在發電子郵件讓他們馬上過來。蠕蟲源起

提到蠕蟲，大家都不會陌生，這些自然界中的低等生物以農作物為食，給人類帶來經濟損失。但是，如果說計算機中也有這樣一種名為“蠕蟲”的東西存在，同樣也給人類帶來嚴重經濟損失，你也許會覺得這是天方夜譚，蟲子怎麼會爬進計算機呢？

1988年11月2日，世界上第一個計算機蠕蟲正式誕生。美國康乃爾大學一年級研究生莫裡斯為了求證計算機程序能否在不同的計算機之間自我復制傳播，他寫了一段試驗程序，為了程序能順利進入另一台計算機，他寫了一段破解用戶口令的代碼。11月2日早上5點，這段被稱為“Worm”（蠕蟲）的程序開始了它的旅行（圖1），它果然沒有辜負莫裡斯的期望：它爬進了幾千台電腦，讓它們死機，造成了經濟損失高達9600萬美元的記錄。從此，“蠕蟲”這個名詞傳開了，莫裡斯也許並不知道：他在證明這個結論的同時，也打開了潘多拉魔盒。 圖1 蠕蟲最初模型。 爬進機器的蟲子

過了一會兒，老皮特收到兩封郵件，一封是蟲害防治人員的回復，他們說馬上就會過來；另一封就有點奇怪，是個陌生的地址發來的，內容更奇怪，只有一行字：“Hey,is that your photo?”。也許是哪個孩子的惡作劇吧，老皮特隨手把郵件刪除了。但是老皮特做夢也不會想到，他用來管理果園的計算機裡已經來了一個不受歡迎的“客人”。

自1988年第一個蠕蟲顯示出它的威力以來，越來越多的人加入了蠕蟲制作陣營，他們用這種途徑來證明自己的能力，或者實現一些特殊目的，於是多種多樣的蠕蟲誕生了。可是不管蠕蟲的“行為方式”（它們進入計算機後要做的事情）有多少種，其“傳播方式”卻僅僅有屈指可數的幾種：電子郵件、網頁代碼、社會工程學以及系統漏洞等。

下面，我們就來看看蠕蟲進入計算機的幾種主要方式。破郵箱而出：郵件蠕蟲

蟲害防治人員剛趕到老皮特的果園就意識到了這裡蟲害的嚴重性：路邊樹上有個蘋果掉進了他們的車裡，裂開了，裡面爬出兩條毛茸茸的褐色蟲子。

也許是受遺傳的影響吧，最初的莫裡斯蠕蟲是通過郵件系統復制自身的，發展到現在，蠕蟲傳播的主流依然是郵件系統，不同的是，蠕蟲“前輩”利用的郵件系統能夠自動完成協助復制工作，而如今的郵件系統只能負責傳播，要啟動蠕蟲必須由用戶打開郵件才可以。

為什麼選擇郵件傳播？因為這是最大的傳播系統。為什麼用戶一打開郵件就被蠕蟲撬窗入室？這要從微軟的兩個古老漏洞說起，它們分別是1999年11月11日的IFrame漏洞和2001年3月29日的MIME漏洞。

IFrame是一段用於往網頁裡放入一個小頁面的HTML語言，它用來實現“框架”結構。當年有好事者測試出一個可怕的現象：往一個頁面裡放入多個IFrame時，框架裡請求運行程序的代碼就會被執行，如果有人故意做了一個執行破壞程序的頁面，那後果可想而知。由於IFrame的尺寸可以自由設置，因此破壞者可以在一個頁面裡放入多個“看不見”的框架，並附帶多個“看不見”的有害程序，浏覽了那個網頁的人自然就成了受害者！

和IFrame漏洞相比，MIME漏洞更加出名，它其實只是一小段用來描述信息類型的數據。浏覽器通過讀取它來得知接收到的數據該怎麼處理，如果是文本和圖片就顯示出來，是程序就彈出下載確認，是音樂就直接播放。請留意最後一個類型：音樂，浏覽器對它采取的動作是：播放。

要知道：音樂文件和程序文件都是一樣的二進制數據，都需要解碼還原數據到系統臨時目錄裡，然後浏覽器通過一個簡單的文件後綴名判斷來決定該用哪種方法處理它。例如用戶收到一個MP3文件，MIME把它描述成音樂文件，所以浏覽器解碼保存這個文件到一個臨時目錄，自學教程，而後查找調用這個文件後綴MP3對應的執行程序，這就是一次完整的工作過程；但是問題就出在這個似乎完美的步驟上，如果攻擊者給用戶發送一個帶有EXE後綴可執行文件的郵件，並把它的MIME描述為音樂文件，這時候浏覽器會把它解到臨時目錄，然後根據它的後綴名調用一個能打開它的應用程序――EXE後綴告訴系統，直接運行這個文件！於是這個文件就被順利執行了，用戶的機器也開始遭到破壞（圖2）。

圖2 MIME描述漏洞。

正因為這樣，郵件蠕蟲才成了如今世界“蟲害”的主要來源。靠郵件傳播的蠕蟲主要有SoBig、MyDoom、求職信等。頁面藏刀：網頁裡的爬蟲

“它們無處不在”，老皮特砍下了一根樹枝拿給防治人員，從斷口可以看到一個個蟲洞。相對於郵件蠕蟲，利用網頁傳播的蠕蟲手段無疑更為高明，它分為兩個“門派”：傳統派和腳本派。傳統派使用的技術又包括兩種，一種是用一個IFrame插入一個Mail框架，同樣利用MIME漏洞執行蠕蟲，這是直接沿用郵件蠕蟲的方法；另一種是用IFrame漏洞和浏覽器下載文件的漏洞來運作的，首先由一個包含特殊代碼的頁面去下載放在另一個網站的病毒文件，然後運行它，完成蠕蟲傳播。

“腳本派”蠕蟲就更復雜了，它們不是可執行程序，5自學網，而是一段具有破壞和自動尋找載體能力進行傳播的代碼。湊巧的是，Windows系統自身文件夾模板也是通過腳本運作的（由此可見腳本的強大！），於是有人把它們的用途放到了入侵方面，通過一段精心編制的腳本，這只“沒有身體”（沒有獨立執行的程序體）的蟲子就很輕松地爬進了千家萬戶。當然，這類蠕蟲實現的功能往往比完整的蠕蟲要少，因此編寫者讓它完成的任務一般也很簡單：破壞文件。曾經大面積爆發的歡樂時光就是這樣做才令人“談蟲色變”的，雖然它只是一段很簡單的文件操作代碼集合（圖3）。 圖3 網頁背後的秘密。 騙你沒商量：社會學蟲子

“這一帶果樹似乎沒有蟲害啊，怎麼回事？”，防治人員走到林萌深處，這裡有一片郁郁蔥蔥的沙棗林。老皮特卻嚴肅地說：“還是別這麼快下結論，留意腳下吧，先生們！”，大家一低頭，只見一群大螞蟻正在耀武揚威地從防治人員腳上爬進沙棗林的根部。

細心的讀者應該會有個疑問：既然網頁蠕蟲是通過網頁傳播的，而看網頁的人那麼多，它應該成為主流才對啊，為什麼卻是郵件蠕蟲？

其實原因很簡單：大部分蠕蟲作者不可能在公共熱門網站裡放入自己的蠕蟲框架代碼。要知道，往頁面裡加入代碼是要取得服務器管理權限的，這並不是所有人都能做得到的，這就增加了傳播的局限性，因此網頁蠕蟲始終成不了主流。

不記得是誰第一個把網頁蠕蟲和社會學結合在一起了，但是當QQ第一次被迫自動發出“，你快去看看”的消息時，這一領域的大門被撞開了，“愛情森林”蠕蟲的實體是躲在網頁背後的EXE木馬，又利用QQ把自身網址宣布出去，把這兩個看似不相關的方面結合得天衣無縫！這種蠕蟲的實現原理很簡單：當蠕蟲爬進你的機器後，它就會查找QQ進程，截獲發送消息事件並且在QQ的信息裡自動加入一段誘惑你的話，讓你去浏覽它藏身的網頁而被它爬入電腦，同時成為它的又一個宣傳者。顯然，這種“宣傳”方法成功與否，全在於蠕蟲編寫者的社會學和心理學，否則稍有經驗的人都會知道這是大名鼎鼎的“QQ尾巴”了（圖4），例如“想看XX明星绯聞去”這種弱智的語言功力，如今已經不能拿來騙人了。 圖4 QQ尾巴。 強行入室：系統漏洞蠕蟲

前面就是老皮特的值班室了。突然一只昆蟲從眾人面前飛過，停在門縫邊努力往裡面鑽。 “快打死它！別讓它鑽進去產卵！”，老皮特抓起棍子打過去，飛蟲倒在地上還在不停地撲騰。

2003年1月，很多人特別是從事信息安全的IT人都記住了這個月，因為在這個月裡，全世界的網絡被大小僅為376個字節的“小蟲子”打敗了，直接經濟損失超過數百億美元，更重要的是：這個小蠕蟲又開創了一個蠕蟲裡程碑，它就是“SQL蠕蟲王Slammer”，世界上第一個打破常規的蠕蟲。它不再像前面那些蠕蟲一樣安靜等待別人來觸發了，它要自己闖天下，它把運行的關鍵指向了SQL溢出漏洞，結果，它成功了：它收拾了全球13台根域名服務器中的8台，導致全球主干網絡癱瘓！

“SQL蠕蟲王Slammer”所做的一切似乎只為了宣布一件事情：蠕蟲也可以這樣寫！於是這一新領域的蠕蟲便迅速發展起來了，利用RPC溢出漏洞的沖擊波、沖擊波殺手，倉促把玩LSASS溢出漏洞的震蕩波、震蕩波殺手……這些反客為主的蠕蟲在每一次新漏洞被公布之時迅速出現，趁火打劫地加入破壞行列，其間又有些號稱“殺手”的“除害蠕蟲”，幫人家把前一個蠕蟲殺了，然後自己也賴著不走了，成為受害者機器裡的又一條蠕蟲――拔刀相助，爾後強駐？這似乎不是英雄所為。

系統漏洞蠕蟲一般具備一個小型的溢出系統，它隨機產生IP並嘗試溢出，然後將自身復制過去。它們往往造成被感染系統性能速度迅速降低，甚至系統崩潰，屬於最不受歡迎的一類蟲子。

蠕蟲進入電腦後，會做什麼事情呢？現在已經很難下定論了，因為蠕蟲的類型已經變得非常復雜，但是它們