對網(wǎng)頁被掛馬的10種樣式的認識

蠕蟲源起

提到蠕蟲，大家都不會陌生，這些自然界中的低等生物以農(nóng)作物為食，給人類帶來經(jīng)濟損失。但是，如果說計算機中也有這樣一種名為“蠕蟲”的東西存在，同樣也給人類帶來嚴重經(jīng)濟損失，你也許會覺得這是天方夜譚，蟲子怎么會爬進計算機呢?

1988年11月2日，世界上第一個計算機蠕蟲正式誕生。美國康乃爾大學一年級研究生莫里斯為了求證計算機程序能否在不同的計算機之間自我復制傳播，他寫了一段試驗程序，為了程序能順利進入另一臺計算機，他寫了一段破解用戶口令的代碼。11月2日早上5點，這段被稱為“Worm”(蠕蟲)的程序開始了它的旅行，它果然沒有辜負莫里斯的期望：它爬進了幾千臺電腦，讓它們死機，造成了經(jīng)濟損失高達9600萬美元的記錄。從此，“蠕蟲”這個名詞傳開了，莫里斯也許并不知道：他在證明這個結論的同時，也打開了潘多拉魔盒。

自1988年第一個蠕蟲顯示出它的威力以來，越來越多的人加入了蠕蟲病毒制作陣營，他們用這種途徑來證明自己的能力，或者實現(xiàn)一些特殊目的，于是多種多樣的蠕蟲誕生了�？墒遣还苋湎x的“行為方式”(它們進入計算機后要做的事情)有多少種，其“傳播方式”卻僅僅有屈指可數(shù)的幾種：電子郵件、網(wǎng)頁代碼、社會工程學以及系統(tǒng)漏洞等。

下面，我們就來看看蠕蟲進入計算機的幾種主要方式。

破郵箱而出：郵件蠕蟲

也許是受遺傳的影響吧，最初的莫里斯蠕蟲是通過郵件系統(tǒng)復制自身的，發(fā)展到現(xiàn)在，蠕蟲傳播的主流依然是郵件系統(tǒng)，不同的是，蠕蟲“前輩”利用的郵件系統(tǒng)能夠自動完成協(xié)助復制工作，而如今的郵件系統(tǒng)只能負責傳播，要啟動蠕蟲必須由用戶打開郵件才可以。

為什么選擇郵件傳播?因為這是最大的傳播系統(tǒng)。為什么用戶一打開郵件就被蠕蟲撬窗入室?這要從微軟的兩個古老漏洞說起，它們分別是1999年11月11日的IFrame漏洞和2001年3月29日的MIME漏洞。

IFrame是一段用于往網(wǎng)頁里放入一個小頁面的HTML語言，它用來實現(xiàn)“框架”結構。當年有好事者測試出一個可怕的現(xiàn)象：往一個頁面里放入多個IFrame時，框架里請求運行程序的代碼就會被執(zhí)行，如果有人故意做了一個執(zhí)行破壞程序的頁面，那后果可想而知。由于IFrame的尺寸可以自由設置，因此破壞者可以在一個頁面里放入多個“看不見”的框架，并附帶多個“看不見”的有害程序，瀏覽了那個網(wǎng)頁的人自然就成了受害者!

和IFrame漏洞相比，MIME漏洞更加出名，它其實只是一小段用來描述信息類型的數(shù)據(jù)。瀏覽器通過讀取它來得知接收到的數(shù)據(jù)該怎么處理，如果是文本和圖片就顯示出來，是程序就彈出下載確認，是音樂就直接播放。請留意最后一個類型：音樂，瀏覽器對它采取的動作是：播放。

要知道：音樂文件和程序文件都是一樣的二進制數(shù)據(jù)，都需要解碼還原數(shù)據(jù)到系統(tǒng)臨時目錄里，然后瀏覽器通過一個簡單的文件后綴名判斷來決定該用哪種方法處理它。例如用戶收到一個MP3文件，MIME把它描述成音樂文件，所以瀏覽器解碼保存這個文件到一個臨時目錄，而后查找調(diào)用這個文件后綴MP3對應的執(zhí)行程序，這就是一次完整的工作過程;但是問題就出在這個似乎完美的步驟上，如果攻擊者給用戶發(fā)送一個帶有EXE后綴可執(zhí)行文件的郵件，并把它的MIME描述為音樂文件，這時候瀏覽器會把它解到臨時目錄，然后根據(jù)它的后綴名調(diào)用一個能打開它的應用程序——EXE后綴告訴系統(tǒng)，直接運行這個文件!于是這個文件就被順利執(zhí)行了，用戶的機器也開始遭到破壞。正因為這樣，郵件蠕蟲才成了如今世界“蟲害”的主要來源�？苦]件傳播的蠕蟲主要有SoBig、MyDoom、求職信等。相對于郵件蠕蟲病毒，利用網(wǎng)頁傳播的蠕蟲手段無疑更為高明，它分為兩個“門派”：傳統(tǒng)派和腳本派。傳統(tǒng)派使用的技術又包括兩種，一種是用一個IFrame插入一個Mail框架，同樣利用MIME漏洞執(zhí)行蠕蟲，這是直接沿用郵件蠕蟲的方法;另一種是用IFrame漏洞和瀏覽器下載文件的漏洞來運作的，首先由一個包含特殊代碼的頁面去下載放在另一個網(wǎng)站的病毒文件，然后運行它，完成蠕蟲傳播。

“腳本派”蠕蟲就更復雜了，它們不是可執(zhí)行程序，而是一段具有破壞和自動尋找載體能力進行傳播的代碼。湊巧的是，Windows系統(tǒng)自身文件夾模板也是通過腳本運作的(由此可見腳本的強大!)，于是有人把它們的用途放到了入侵方面，通過一段精心編制的腳本，這只“沒有身體”(沒有獨立執(zhí)行的程序體)的蟲子就很輕松地爬進了千家萬戶。當然，這類蠕蟲實現(xiàn)的功能往往比完整的蠕蟲要少，因此編寫者讓它完成的任務一般也很簡單：破壞文件。曾經(jīng)大面積爆發(fā)的歡樂時光就是這樣做才令人“談蟲色變”的，雖然它只是一段很簡單的文件操作代碼集合

細心的讀者應該會有個疑問：既然網(wǎng)頁蠕蟲是通過網(wǎng)頁傳播的，而看網(wǎng)頁的人那么多，它應該成為主流才對啊，為什么卻是郵件蠕蟲?

其實原因很簡單：大部分蠕蟲作者不可能在公共熱門網(wǎng)站里放入自己的蠕蟲框架代碼。要知道，往頁面里加入代碼是要取得服務器管理權限的，這并不是所有人都能做得到的，這就增加了傳播的局限性，因此網(wǎng)頁蠕蟲始終成不了主流。

不記得是誰第一個把網(wǎng)頁蠕蟲和社會學結合在一起了，但是當QQ第一次被迫自動發(fā)出“http://sckiss.yeah.net，你快去看看”的消息時，這一領域的大門被撞開了，“愛情森林”蠕蟲的實體是躲在網(wǎng)頁背后的EXE木馬，又利用QQ把自身網(wǎng)址宣布出去，把這兩個看似不相關的方面結合得天衣無縫!這種蠕蟲的實現(xiàn)原理很簡單：

當蠕蟲爬進你的機器后，它就會查找QQ進程，截獲發(fā)送消息事件并且在QQ的信息里自動加入一段誘惑你的話，讓你去瀏覽它藏身的網(wǎng)頁而被它爬入電腦，同時成為它的又一個宣傳者。顯然，這種“宣傳”方法成功與否，全在于蠕蟲編寫者的社會學和心理學，否則稍有經(jīng)驗的人都會知道這是大名鼎鼎的“QQ尾巴”了(圖4)，例如“想看XX明星緋聞去http://www.xxxxx.com”這種弱智的語言功力，如今已經(jīng)不能拿來騙人了。

2003年1月，很多人特別是從事信息安全的IT人都記住了這個月，因為在這個月里，全世界的網(wǎng)絡被大小僅為376個字節(jié)的“小蟲子”打敗了，直接經(jīng)濟損失超過數(shù)百億美元，更重要的是：這個小蠕蟲又開創(chuàng)了一個蠕蟲里程碑，它就是“SQL蠕蟲王Slammer”，世界上第一個打破常規(guī)的蠕蟲。它不再像前面那些蠕蟲一樣安靜等待別人來觸發(fā)了，它要自己闖天下，它把運行的關鍵指向了SQL溢出漏洞，結果，它成功了：它收拾了全球13臺根域名服務器中的8臺，導致全球主干網(wǎng)絡癱瘓!

“SQL蠕蟲王Slammer”所做的一切似乎只為了宣布一件事情：蠕蟲也可以這樣寫!于是這一新領域的蠕蟲便迅速發(fā)展起來了，利用RPC溢出漏洞的沖擊波、沖擊波殺手，倉促把玩LSASS溢出漏洞的震蕩波、震蕩波殺手……這些反客為主的蠕蟲在每一次新漏洞被公布之時迅速出現(xiàn)，趁火打劫地加入破壞行列，其間又有些號稱“殺手”的“除害蠕蟲”，幫人家把前一個蠕蟲殺了，然后自己也賴著不走了，成為受害者機器里的又一條蠕蟲——拔刀相助，爾后強駐?這似乎不是英雄所為。

系統(tǒng)漏洞蠕蟲一般具備一個小型的溢出系統(tǒng)，它隨機產(chǎn)生IP并嘗試溢出，然后將自身復制過去。它們往往造成被感染系統(tǒng)性能速度迅速降低，甚至系統(tǒng)崩潰，屬于最不受歡迎的一類蟲子。

蠕蟲進入電腦后，會做什么事情呢?現(xiàn)在已經(jīng)很難下定論了，因為蠕蟲病毒的類型已經(jīng)變得非常復雜，但是它們的最終目的不外乎是：偷密碼資料(比如QQ尾巴)、影響用戶正常使用機器(比如沖擊波)、擾亂網(wǎng)絡通訊(比如Nimda)、破壞用戶機器(比如歡樂時光)、“借機殺人”(比如MyDoom、SQL蠕蟲王)、發(fā)email(比如Sobig)等。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]