病从“网”入——细说电子邮件病毒 - 技术活页 - 李德伟

(这条文章已经被阅读了 55 次) 时间:2001-06-01 12:48:33 来源:李德伟 (木子) 原创-IT

今天,当互联网日益普及并不断走入普通人的日常生活和工作中的时候,当互联网与我们变得密不可分的时候,这种便捷也同时为电脑病毒的传播提供了一个良好的渠道。近两年,大大小小的媒体,甚至中央电视台的新闻联播也时不时的来个病毒警报,“电脑病毒”已经让中国的老百姓耳熟能详。一个个新型病毒不断被制造出来,其速度令人惊讶,再加上各种病毒的变种,每个月甚至每天,我们的电脑无时无刻不在受到病毒的威胁,特别是几种通过电子邮件传播的、对电脑具有强大杀伤力的病毒的出现,更让人“谈毒色变”。一时间,普通用户、防毒公司、官方机构,甚至美国的FBI和CAI都卷入进来,病毒与反病毒迅速成为一场全球性的、似乎永远没有结果的战争……

病毒青睐电子邮件

在过去,电脑病毒的传播媒介主要是磁盘、光盘等移动存储介质,由于条件的限制,电脑相互感染病毒的机会相对比较小。随着互联网的普及,电脑病毒的传播能力得到极大提高,一台台电脑彼此相联,扩大了病毒的传播途径,提高了病毒的传播速度,以致于近两年电脑病毒在全球范围内所造成的危害愈来愈严重,无论是发达国家,还是发展中国家,只有电脑和互联网的地方,几乎无一幸免。
电子邮件是电脑病毒通过互联网进行传播的主要媒介,病毒潜伏在电子邮件当中,并通过互联网肆意传播感染,这种“多米诺效应”所带来的危害常常是致命的,并时常对那些没有采取安全措施的电脑用户造成严重的打击。根据国际计算机安全协会(ICSA)2000年度病毒传播趋势报告,电子邮件病毒的感染率已经达到87%,成为电脑病毒的最主要传播媒介。从1999年“Happy99(Win32/Ska)”病毒、“梅莉莎”病毒,到2000年肆虐全球的“I Love You”病毒,以及2001年5月8日的“欢乐时光(Happy Time)”病毒,以“宏(Macro)”、“VBS/JavaScript”及“特洛伊木马型(Trojan)”等类型病毒成为主流。宏病毒以其高感染率,再度蝉联“最流行病毒类型”榜首,ICSA特别强调,“VBS/JavaScript”类型病毒,如 “I Love You”,来势汹汹,感染率急速向上窜升。而原来的引导型病毒(Boot Virus)、文件型病毒(File Virus)的感染率不断下降,这表明一种新型的病毒类型——即透过E-mail大量散播(Mass Mailers)的病毒,已经成为危害电脑及网络系统安全的最大公敌。
病毒之所以青睐电子邮件,是缘于电子邮箱本身的安全性相对较差和用户的防范意识比较薄弱,电子邮件很容易携带病毒(如木马病毒)进入用户的邮箱,而当不明真相的用户一旦打开这些含有病毒程序的电子邮件附件,电脑就会感染病毒,病毒通常会立即发作,也会潜伏在电脑中等待条件成熟(如特定日期)后再发作。然而,病毒似乎也在不断提升自己的技术含量,如“欢迎时光”病毒,只要用户收到这种含有病毒的邮件,无论打不打开附件,只有浏览了邮件内容,电脑也会立刻感染病毒。

典型的电子邮件病毒

从近年来电脑病毒的发展特点来看,许多新型病毒都将目标集中在电子邮件身上,利用电子邮件对电脑系统进行感染破坏,下面就是几种典型的电子邮件病毒:
“宏”病毒
宏病毒是一类主要感染Word文档和文档模板文件的病毒,它一般是使用某个应用程序自带的宏编程语言编写的。目前国际上已发现三类宏病毒: 感染Word系统的Word宏病毒、感染Excel系统的Excel宏病毒和感染Lotus Ami Pro的宏病毒,我们比较常见的是Word和Excel宏病毒。这种宏病毒自1996年开始在我国大范围流行,它的主要特点是:感染数据文件,这使得“数据文件不会传播病毒”的观念被彻底改变;多平台交叉感染,宏病毒打破了以前病毒在单一平台上传播的局限,当Word、Excel这类软件在不同平台(如Windows、Windows NT、OS/2和Macintosh等)上运行时,会被宏病毒交叉感染;容易编写,以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码形式出现,所以编写和修改宏病毒比传统病毒更加容易。目前,宏病毒种类已从三十多种急剧增加到1000多种;容易传播:如果你接收了含有宏病毒的电子邮件,并且打开了这些邮件,你的计算机就会被宏病毒感染。此后,你打开或新建文件都可能带上宏病毒,这导致了宏病毒的感染率非常高。根据国内外的统计,宏病毒的感染率已高达90%以上, 即在现实生活中每发现100个病毒,其中就有90多个宏病毒。
1999年3月爆发的“梅莉莎”(Melissa)病毒,以及此后出现的各种“梅莉莎”变种病毒(如W97M_Assilem.B,也被称为W97M/Melissa.W)即是一种破坏力很大的宏病毒,这种病毒主要也是通过电子邮件的附件文档中的宏功能实现主机之间的病毒传播。感染这种病毒的条件必须是邮件接收者安装了Microsoft Word97/2000 和OutLook,邮件接收者打开了邮件附件并允许宏运行。
此外,像“萨利姆”(W97M/Salim.A)病毒,也是一种通过映射驱动器传播的宏病毒,同时也是一种通过在线聊天系统传播蠕虫。
“特洛伊木马”病毒
特洛伊木马病毒可以说是电脑病毒家族的老成员了,现在这种类型的病毒不计其数,确切的说,特洛伊木马其实是一种黑客程序,它一般由两部分组成:服务器和控制器。只要任何一台电脑上安装了这种病毒的服务器端程序,那么黑客就可以通过网络利用“客户端”(相对于被安装了木马服务器程序的电脑)的控制器达到控制对方电脑的目的。
目前,特洛伊木马病毒的传播方式也主要是通过电子邮件进行,通常情况下,黑客把木马的服务器端程序以邮件附件的形式寄给“受害人”,以各种名义欺骗(如推荐一种免费软件等等)“受害人”,当打开并执行了这种邮件附件的可执行文件后,电脑就会感染病毒,并且,感染木马病毒的电脑很容易被黑客控制,或盗取用户资料和文件,或进行系统破坏,这种行径也通常是在不知不觉中进行的,就好像自己的电脑上开设了一扇让黑客自由出入的“后门”,因此,特洛伊木马型病毒也被称为“后门工具”。
常见的特洛伊木马病毒,大概有五种类型:即远程访问型、密码发送型、键盘记录型、毁坏型、FTP型。
远程访问型特洛伊木马是目前最流行的一种病毒,且这种病毒的使用方法十分简单,几乎任何懂得使用电脑的人都能够使用它,更不幸的是这种特洛伊木马程序很容易通过网上下载得到。木马程序只有被启动了以后,才能发挥作用,因此,木马程序通常是要加载到注册表的启动组中,也有些捆绑到其他程序中附带进入内存,这些被捆绑程序有电脑启动的时候自动运行的,也有用户自己需要而运行的。黑客通过网络利用TCP/IP协议对远程的“服务器”发送命令并控制对方的电脑,而前提是黑客必须获得对方的IP和电脑通信端口的漏洞。 我们时常这样提醒广大电脑用户:不要轻易打开不明来历的电子邮件,尤其是带有可执行文件的电子邮件附件。为什么?在当前电脑病毒肆意泛滥的今天,因为如果你一旦这样做,十有八九感染上病毒,这绝不是危言耸听。实际上,使用特洛伊木马病毒的人无非也是这些伎俩,他们攻击的对象也往往是那些不精通电脑的普及用户。
“蠕虫”型病毒
严格地说,蠕虫与一般的计算机病毒不同,它不采用将自身拷贝附加到其他程序中的方式来复制自己,因此,很多专家认为不能将蠕虫简单同计算机病毒混为一潭,但无论如何,蠕虫和计算机病毒一样,也攻击计算机系统。“蠕虫”型病毒可以说是近两年来最为活跃的明星,其家族新丁不断,对计算机系统的危害也日新月异。这里,我们简要介绍几种近两年新出现的“蠕虫”型病毒:
“Romeo & Juliet”(罗米欧与朱丽叶)
2000年11月在波兰首次发现了这种病毒,它通过电子邮件进行传播,包含一个超文本格式的文档和两个附件,名字分别为:My Romeo.chm和My Juliet.exe。当电脑用户接收到这种邮件并打开新闻阅读时,病毒的超文本部分立即得到执行,这部分中还包含一个描述语言程序,Windows系统会自动执行这个程序,病毒程序攻击Windows系统,并向系统中装入和激活邮件附件中的My Romeo.chm文件,在这个文件中包含着另外一个载有描述语言程序的被压缩了的HTML页面,第二个描述语言程序会执行My Juliet.exe文件。当蠕虫病毒执行时,它打开用户的地址簿,读取里面的邮件地址,并且向这些地址发送邮件,继而感染其他用户。
“I Love You”(爱虫)
2000年5月4日,一种名叫“I Love You”(我爱你,故称“爱虫”)的病毒开始在全球范围内迅速传播,就连美国中央情报局也未能幸免。“爱虫”病毒也是一种“蠕虫”型病毒,它通过Microsoft OutLook电子邮件系统进行传播,邮件主题为“I Love You”,并包含一个附件。一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件地址发送这种病毒。用户感染了该病毒后,邮件系统会变慢,并可能导致整个网络系统崩溃,这个病毒对于电子邮件系统具有极大的危险性,它同时会感染并破坏文件名为:*.vbs、*.vbe、*.js、*.jse、*.css、*.wsh、*.sct、*.hta、*.jpg、*.jpeg、*.pm3、*.mp2等十二种数据文件。
“Happy Time”(欢乐时光)
2001年的5月8日,一种新的蠕虫型病毒——欢乐时光开始发作,这是一种“国产病毒”,激活这种病毒的特定条件必须是系统的时间月+日=13,也即5月8日首次发作,而6月7日、7月6日、8月5日都会激活病毒。与“爱虫”病毒一样,这种病毒也是通过Microsoft OutLook电子邮件系统进行传播,但是,有所不同的是,这种病毒并不一定要求用户打开并执行病毒邮件中的附件,只要预览了带毒的邮件,嵌入在邮件体中的VB Script代码就可以被执行,完成病毒的传播和感染。如果用户的电脑中安装有Visual Basic,那么病毒就会自动给地址薄中的邮件地址发信,使得其他用户也受到感染。
通过电子邮件进行传播感染的“蠕虫”型病毒还很多,似乎篇幅有限不能一一列举,例如:“安娜·库尔尼科娃”、“裸妻”、“主页病毒”等等,当然,还有不计其数的变种病毒,这些臭名昭著的病毒也可以说都是病毒新秀,其破坏力可谓“空前”却不“绝后”,所以,如果你是一名电脑用户,面对暗藏“杀机”的互联网世界,真得小心戒备!

加强电子信箱的安全

鉴于越来越多的病毒使用电子邮件作为传播的主要媒介,防止自己的电子信箱被病毒攻击,成为不可忽视的注意事项。对于大多数普通用户来说,养成一个良好的电子信箱使用习惯是至关重要的,例如,有许多人通常在使用过自己的信箱后,喜欢直接关闭浏览器,这是很危险的,尤其是对于像网吧、办公室这样一个公众场所。正确的做法,是使用完自己的信箱后,点击邮箱上面的“退出”正常关闭。不要随便加入邮件列表,许多网站都向用户提供免费的电子刊物,然而,这很容易让用户的电子信箱地址被黑客窃取,所以,不要轻易的将自己的电子信箱地址加入别人的邮件列表中去。在网上聊天的时候,也不要轻易的将自己的电子信箱地址告诉陌生人,很多情况下,黑客正是通过在线聊天获取了他人的电脑安全漏洞,并实施在线攻击,以及通过电子邮件传播“木马”病毒。要充分利用电子信箱的安全保护功能,设置电子邮件过滤措施,对那些极易包含病毒信息(如一些病毒的特定主题)进行过滤,防止病毒邮件进入信箱。
当然,比较理想的措施,就是在自己的电脑中安装实时病毒防火墙软件,专业的防火墙软件能够保障电脑不受病毒的侵害。所谓“魔高一尺,道高一丈”,尽管新病毒层次不穷,但反病毒软件也在不断升级更新。作为用户,在不断了解和掌握电脑安全知识的同时,制定一个全面、立体的反病毒措施,只能是有百利而无一害,否则,痛失数据的感受也许会降临你的头上哟!