计算机蠕电成长日志

1、 计算机蠕电成长日志 计算机蠕虫的编写者通常会被看作是一批很神秘的人：孤独的，憎恨社会的黑客，用自己扭曲的想法报复社会，但实际上，这类程序也有可能是一些小孩子的恶作剧。事实上，蠕虫目前可以算作是Windows下最容易编写的应用程序。从最基本的角度来看，计算机蠕虫就是一段自我包含的代码块，它的主要作用是通过复制自身，在计算机之间传播。这类程序并不需要设计复杂的用户界面，也不需要进行测试，同时，也不需要包含复杂的文件或数据库。和普通的商业软件相比，蠕虫并不需要遵守编程标准，因此这类程序的源代码中可能包含了一些众所周知的或已经无法使用的“快餐式”程序。实际上，蠕虫的代码可能从来不会被维护，同时，也不

2、用对这类程序考虑技术支持问题。如果蠕虫遇到了意料外的情况或质量低劣的编程，那就直接崩溃好了。这取决于编写者的意图，如果顺便能把整个Windows搞趴下，那就再好不过了。因为编写蠕虫的技术含量变得越来越低，因此就算互联网上蔓延着上百种不同的蠕虫，并伺机感染健康的计算机，这也不足为奇。认识蠕虫问题和病毒不同，病毒需要将自己附加到宿主程序上，并且只有在宿主运行的时候才可以感染，蠕虫是一种自主独立的程序，自己就可以在整个互联网上传播，或附加到电子邮件中。过去几年来捕捉到的蠕虫最小的只有30个字节的长度，而最大的也仅仅是数MB字节，这主要取决于蠕虫的能力和意图。蠕虫来自Www.lw5u.Com的数量在逐

3、渐增多，但一位反病毒研究人员说，事情根本还没有到无法挽回的地步。“新病毒数量的增加并不是以指数形式增长的，虽然很多人经常这样说”，IBM病毒研究员David M Chess这样说。Wildlist反病毒网站()也说： “反病毒人员监视到的新病毒出现的速度最近几年一直在增长，不过大致保持了线性的速率”。Wildlist对已知且保持活力的蠕虫和病毒进行了一次为期一个月的统计，在200 8年9月，总共捕捉到762个，但在上个月，其中的43个已经彻底绝迹了。无论增长速度如何，所有蠕虫都有一些共同之处。其中最基本的元素分别是目标位置、传播源，以及可能还有远程控制和更新机制，最后则是载体。蠕虫的危险程度各

4、不相同，因此其目标位置可能被设计为用多种不同的方式寻找目标。蠕虫可能会检索我们的地址簿，并将自己作为附件用电子邮件的方式发送给我们队识的每个人。例如1 999年臭名昭著的梅丽莎蠕虫病毒就是利用这种方式，使用了一个Windows API读取地址簿，然后将自己发送给地址簿中的前50位联系人。对于今天的蠕虫，电子邮件依然是一种绝佳的传播途径。想一想，我们每个人，有多少次不假思索就打开了熟人发来的电子邮件附件，因此可见，感染的速度依然是会快。为了找到新的受害者，目标位置可能会生成随机的IP地址，甚至可能检索DNS缓存以及自己的Hosts文件。无论使用哪种方法，一旦蠕虫确定了运行中的，并且运行了合适的操

5、作系统的目标，感染机制随后就会尝试使用未被修补的安全漏洞进行攻击，使得蠕虫可以将自己的代码注入目标计算机，并运行。取决于蠕虫的本质可能还会有专门的软件负责处理蠕虫代码的远程控制和更新。这是“僵尸网络”蠕虫的一种功能，这类蠕虫的作者（也叫做“牧人”）需要将自己的代码保持最新，以便完善自己的僵尸网络（包含了被感染计算机的网络，其中计算机的主人并不知情，这类计算机会按照需要发起更多攻击），并使自己的程序能够领先于法律或其他程序的约束。此处比较专业的技术在于需要创建命令并控制难以追踪的结构，并需要下达攻击指令，但僵尸网络在升级、发送垃圾邮件，以及进行拒绝服务攻击等方面，效率非常高。有些蠕虫被设计为尽可

6、能将自己广泛传播，但大部分则有更具体的目的。携带蠕虫是载体的任务，有些蠕虫会收集个人信息，并汇总出售，有些则只是进行破坏。例如，2004年3月发现的Witty蠕虫会删除被感染者硬盘上的部分数据，该蠕虫传播速度很快，并借助了Internet Security Systems系统多种安全产品内的漏洞。也许更令人感到恐慌的是，目前已经有越来越多，并且相当成熟的蠕虫编写工具，这类工具甚至还是免费的，可供没经验的黑客编写自己的蠕虫病毒。例如这类工具之一的Troj anToWorm，可以将病毒重新封包到蠕虫中，令其可以独自传播。根据反病毒公司熊猫(www)所说，TrojanToWorm可能来自西班牙，因为

7、该软件的用户界面可以在西班牙语、葡萄牙语、加泰罗尼亚语以及英语之间切换，同时该软件中高级的指向和点击选项中包含了禁用例如Windows任务管理器以及注册表编辑器，甚至网络浏览器等系统功能的选项。另外，该工具甚至可用于设置感染的日期，并在受害人的计算机上显示一条信息。释放蠕虫蠕虫如果不释放出来那就等于不存在。但对编写者来说，真正的问题在于通过追踪，可以判断出蠕虫传播的源头。因为有意释放蠕虫或病毒会导致很严重的后果，因此蠕虫编写者更多依赖心理学的技巧，而非技术本身。在网吧中未经监控的Internet终端上释放蠕虫和病毒是一种可行的方法，或者也可以在公共图书馆或社区活动中心等场所进行。不过此类场合在

8、加强物理安全措施，以及当23岁的康奈尔大学博士生Robert Morris在1 988年发布了他的计算机蠕虫程序后，这一举动彻底改变了网络安全领域的一切。这次发布很显然只是一次私人研究，是为了估算迅速增长的Internet的规模，但Morris的蠕虫传播速度确实很快。至于传播方法，该蠕虫使用了某些计算机上的Sendmail程序中包含的安全漏洞，同时该蠕虫还会尝试破解密码。但该蠕虫本身也有漏洞，导致自身的运行速度逐渐变慢，并最终因为多次感染而拖累了目标计算机的运行。Morris目前是康奈尔大学的助教，他当时被起诉并被判缓刑3年，400小时的社区服务，以及处罚金1万美元。被感染的计算机数量大概是6

9、000台，造成的损失则在一千万到一亿美元之间。但根据一则文章(wwwpaulgrahamcom/submarine html)的脚注所说，程序员以及风险投资家Padl Graham猜测说： “在估算损失时我就在场，估算方法是这样的 有人猜测，当时有6万台计算机连接在Internet上，而该蠕虫大概感染了其中的10%”。因为Morris蠕虫用了直接注入运行代码的方式感染，因此重启动被感染的计算机即可解决。然而Graham points也说过： “人们都喜欢数字，而这个程序几乎传遍了整个Internet，这本身就像某种虫子一样”。安装及时更新的安全软件后，已经有效降低了在此类场合释放的可能性，但依

10、然有很多方面不够完善。蠕虫编写者可以将僵尸网络出租给他人，或者利用僵尸网络发送数不清的垃圾邮件。僵尸网络的主人通常都为自己的安全问题担心，因此他们的活动一般都非常隐秘。就算只有一位收件人点击了附件，也可能会相信自己收到了不是自己买的东西的账单，随后蠕虫就会开始运行并传播。释放蠕虫的人可能还会破解被弃用的电子邮件帐户的密码，并将蠕虫释放给受害人的联系人。另外一种比较冒险的方法是将代码直接匿名发送到黑客的论坛，并宣称自己已经捕捉并隔离了该蠕虫，并奢望别人会释放该蠕虫，然后渔翁得利。另外还有一种方法，就是将蠕虫放置到可能被所谓的“脚本小孩”访问到的地方，脚本小孩是指只会利用别人的成功进行攻击，而并不

11、理解原理或细节的年轻人。脚本小孩可能会相信某些经过掩饰的蠕虫是一种免费的攻击工具。另一种相关的发布方法是将蠕虫捆绑到多媒体文件中，并将载体文件在点对点网络中共享出来。只要有一个人下载并观看了这个多媒体文件，那么释放工作就等于开始了。一旦蠕虫被广泛传播，那么后续的传播速度就会相当快。传播和检测蠕虫编写者可能也会吃惊于自己作品的传播速度，而别人也会有相同的感觉。在24小时内，就可能造成恐慌，而编写者可能会开始担心随之而来的媒体和警方，以及为他们撑腰的各大信息安全研究机构。但编写者可能没有意识到的是，在发布后不到30分钟的时间内，就会有反病毒实验室开始发布报告，并开始尝试控制感染。在有关自己的报道上

12、了头版之前，编写者可能并不会意识到自己所作所为的真正影响。如果代码被设计为需要与作者联系，那么代码的传播就是可监控的，因为这等于是编写者直接将所有线索都指向了自己。为了捕获和分析新的蠕虫，反病毒公司通常会使用蜜罐系统。在今天的互联网上，未受保护的计算机在一小时内就会被感染。研究人员正是利用了这一特点，就像猎人一样，利用诱饵诱骗猎物上钩。有些蜜罐系统甚至包含了多台不同的计算机，并伪装成一个网络，并等待蠕虫的感染或黑客的闯入。当尝试性的攻击开始后，蜜罐系统的软件会做出类似自己真的被感染后的反应，但这实际上只是一种假象。实际上，蜜罐系统会收集有关攻击的具体信息，并可以回放，供实验室详细分析。通过收集

13、的数据，研究如果蠕虫的创建和释放都那么容易，那么这种技术是否有什么善意的用途7Milan Vojnovic以及他在微软剑桥研究中心的同事正在研究一种可以能够传播用于防范蠕虫的官方补丁的定位机制，这样他们就可以赶在被蠕虫感染之前，用更快的速度将补丁传播出去，保护Windows系统的安全。另外还有一些非官方的所谓善意蠕虫正在开发中。例如Welchia蠕虫，同样利用了Windows XP系统的远程过程调用服务漏洞，这一点和冲击波蠕虫类似，但和；中击波不同的是，该蠕虫会尝试安装来自微软的安全更新，并防止冲击波蠕虫的再次传染。然而Welchia却会在不通知用户的前提下重启动计算机，并且这种现象也是普遍存

14、在的。2001年出现的Cheese蠕虫可以关闭Linux系统中一个已知的安全漏洞。当年晚些时间，研究人员就发现了Noped蠕虫，该蠕虫会扫描被感染计算机上的JPEG文件的名称，并与一个已知的儿童色情图片名称的列表进行对比。如果找到匹配内容则会随机选择一个儿童保护机构，并将该计算机的IP地址上报。人员就可以知道该蠕虫的感染途径到底是全新的，还是借用了原有的漏洞和未经修补的系统。如果是新的漏洞，那么研究人员就可以提醒开发人员，开发人员会尽快发布补丁。研究人员还会为自己的反病毒软件创建并发布更新，以便针对新的蠕虫提供保护。进化在蠕虫编写者和反病毒研究人员之间不断进行着竞赛。有些编写者使用的武器之一是

15、使自己的蠕虫成为可变种的，并可以在传播的过程中在保持原有功能的同时改变代码的新型蠕虫。为此需要对蠕虫进行加密，只将蠕虫的头部信息保持不加密。在第一部分被运行后，可以将蠕虫剩余的部分解密，但解密算法和相关的密钥都是被硬编码的，因此非常容易被察觉。所以蠕虫编写者会尝试隐藏未加密的部分，为此可能需要用没有任何意义的垃圾操作进行填充，或直接跳过这些操作。有些蠕虫还会创建自己的副本，并使用和父级不同的密钥进行加密。这使得对其进行检测的过程变得更困难，但反恶意软件引擎会使用更准确的统计技术判断一个程序是否是某种蠕虫的变种。此类蠕虫未加密的主体部分依然需要执行某种会泄露一定信息的操作，例如包含随机IP地址，

16、而编写者原本可能希望使用垃圾代码掩盖自己的目的。时不时的，蠕虫编写者可能会被发现，或学习一种新的蠕虫。他们可能会利用其他蠕虫的特点，并将其应用到自己的成果中，或更换蠕虫的载体。有时编写者可能还会和伙伴分享自己的成果，并对蠕虫进行改善和释放。在2004年，华盛顿时报报道了黑客通过这种方式积极地分享自己的代码，并创建了SoBig蠕虫的变种。随着每一次进化，载体都将变得更具毁灭性。但并非所有盲目模仿的蠕虫编写者都可以看到源代码，或能够将其应用到自己的成果中。例如在2002年爆发了安娜库尔尼科娃病毒后，很快就有大量类似的病毒出现，但很多根本无法生效，而生效的大部分都很好清除。不过某些蠕虫以及变体可能会

17、在今后若干年内造成很多麻烦。因此这就产生了一个重要的问题：恶意程序真的可能完全灭绝吗？或者随着越来越多的程序员利用这些恶意软件的代码，是否会有越来越多的此类程序出现？虽然有些病毒根据设计会在一定时间后自己灭亡，但大部分并不行。理论上，反病毒软件应该可以快速识别出老的蠕虫来自wWw.lw5u.coM和新的变种，但实际上这一点做的并不好。那么为什么需要用甚至数年的时间才能清除某些恶意软件？或者说，恶意软件真的能彻底清除吗？答案很简单：尽管有很多免费的安全软件，但有些用户就是不愿意保护自己的网络安全。编写者监控自己作品传播范围的一种方法是通过设计让程序在每一次新的感染后都在IRC或ICO频道上留下一条信息，或者联系某个临时的电子邮件帐户。然而，负责提供此类服务的人依然会知道访问这些信息的人的IP地址，因此对官方机构来说，通过网络空间