郵件病毒概述
近年來,由于計算機應用的普及以及互聯網的廣泛應用,全球計算機病毒呈爆炸性增長,導致了多次病毒爆發,這也反映出目前計算機系統和網絡應用中的問題,計算機病毒已經成為全球性的安全問題。亞洲地區,特別是中國內地地區,由于計算機普及較快,人們的安全意識相對不夠高,因此對計算機病毒的防范相對薄弱,也在近年連續爆發病毒疫情,造成了巨大的損失和嚴重的破壞。
隨著郵件系統的普及,計算機病毒中的郵件病毒開始大行其道,給社會帶來越來越大的經濟損失,垃圾郵件與郵件病毒已經成為互聯網時代的兩大殺手,而郵件病毒更甚,因為它不但能產生垃圾郵件,而且還能感染電腦、阻塞網絡,造成更大的損失。
雖然世界上最早的郵件系統出現在七十年代初期,而最早的病毒則出現在60年代,但是,病毒與郵件真正的結合是在WINDOWS操作系統出現并大量應用以后的事。當操作系統進入WINDOWS時代時,微軟公司為程序員提供了一個功能強大的API編程接口,該接口將一些復雜的網絡、圖形處理完全屏蔽起來,使程序員不用熟悉復雜的內部機理即可編制出一些功能強大的程序,正是技術上的這種進步,導致了越來越多的人開始編制一些復雜的網絡病毒,郵件病毒就是在這種背景下出現并發展的。
郵件病毒的破壞
對于大多數個人電腦用戶來說,對郵件病毒破壞性的感覺并沒有象CIH病毒這樣強烈,在大多數人的腦海中的印象中郵件病毒是一種只會發發病毒郵件的溫和的病毒。其實,郵件病毒的破壞要遠大于此。
首先,郵件病毒會對主干網的流量造成影響。郵件病毒的傳播過程是這樣的,病毒會被首先釋放到一臺病毒種機中,種機中有大量的公開郵件地址,然后病毒就會通過網絡和郵件從一臺計算機感染到另一臺計算機,由于郵件病毒在每感染一臺計算機后就會搜索一次該計算機的所有E-MAIL地址,再向這些地址發送病毒郵件,被感染的計算機不但會向一些未感染病毒的計算機發送病毒郵件,還會進行郵件互發,從而在全球泛濫的同時大量占用網絡帶寬資源,使整個主干速度變慢,象“求職信”就是這樣的一個病毒。如果郵件病毒又具備了黑客攻擊的手段,那么這種破壞性就更明顯了,象“SCO炸彈(Mydoom)”病毒就是這樣,他不但會進行郵件傳播,還會在某個特定時間對SCO、微軟等網站發起DDoS(分布式拒絕服務)攻擊,病毒的意圖很明顯,就是要集結全球所有被感染計算機,然后統一向這兩個網站發起攻擊,全球范圍內的超量非法服務請求,不但會使這兩個網站癱瘓,還會使整個主干網阻塞。
其次,郵件病毒還會對企業和電子郵件服務商造成影響。如果說對主干網的影響,大家還只是停留在感覺的層次的話,那么郵件病毒對企業和電子郵件服務商的影響就是實實在在的了。每一個現代化的企業,都會有自己獨立的內部網絡和郵件服務器,郵件服務器每秒鐘要收發數以萬記的郵件,但是一個郵件服務器的吞吐量和郵件并發數是有限的,當郵件病毒泛濫時,大量的病毒郵件會隨時從外部網絡涌入,如果企業內部感染了郵件病毒,那么同時也會有大量的病毒郵件從內部網絡經由郵件服務器而發送到外網,當病毒郵件遠遠大于郵件服務器所能承載的最大郵件數時,郵件服務器便會來不及處理郵件請求從而導致郵件阻塞,嚴重時還會使郵件服務器系統崩潰,從而拒絕服務。一些互聯網郵件服務商同樣也面臨著這樣的問題,雖然他們的郵件服務器吞吐量很大,但他們接受的是整個互聯網的郵件請求,因此在郵件病毒大量泛濫時仍然會產生郵件阻塞及拒絕服務的情況。有電腦使用經驗的用戶一定還記得當年求職信病毒爆發時的情形,在病毒的泛濫高峰期,用戶幾乎是無法收取任何郵件的。
最后,郵件病毒會產生大量的垃圾郵件,阻塞用戶信箱。這種危害是普通用戶能親身感受到的,郵件病毒泛濫時會給用戶的郵箱發送大量的病毒郵件,雖然一些郵件服務商采取了一些郵件過濾的技術,如字符串過濾,截取附件等方法,但是如今的郵件病毒都會采取隨機更換郵件標題和內容的方法來躲避過濾,而一些被截去附件的病毒郵件就成了名符其實的垃圾郵件。一些躲過過濾的病毒郵件會有很有迷惑性的標題來誘使用戶中毒,而一些被截去附件的病毒郵件則會變成垃圾郵件來占滿用戶有限的郵箱空間,使用戶無法收取正常的郵件。
郵件病毒與反病毒技術的發展
郵件病毒大至經過了經過了三個發展階段:
第一階段:郵件漏洞與郵件查殺技術。
1999-2000年是郵件病毒大力發展的第一個階段。1999年,中國互聯網迎來了它的一個發展高潮,網民激增到890萬,個人電子郵件開始大面積應用,于是,第一個郵件病毒—“美麗莎”誕生了,該病毒會通過OFFICE系統文檔和郵件系統進行傳播,發作當天就感染了6000多臺電腦。“美麗莎”病毒雖然屬于郵件病毒,但是它更強的宏病毒特性實際上促成了宏病毒查殺技術的誕生,這時國內郵件解包技術還處在理論階段。2000年,郵件病毒--“愛蟲”開始大面積泛濫,它的泛濫直接導致了郵件病毒查殺技術的出現,標志是瑞星公司推出的殺毒軟件2001版。
第一代郵件病毒主要是利用系統提供的郵件發送引擎來向外發送大量病毒郵件,病毒往往是利用郵件的漏洞將自身嵌入到郵件正文中,使用戶看不到附件,或者編制一些有自動預覽能力郵件,用戶只要將鼠標移動到郵件上面就會激活病毒。而這時候的反郵件病毒技術則是主動清除,就是對郵箱進行分析,查殺郵箱內部的病毒。
第二階段:社會工程學與郵件監控技術
2001年,個人郵箱系統已經相當成熟,郵件病毒也大量產生,其中的代表病毒就是求職信,這時候的郵件病毒已經不是簡單地利用那個預覽漏洞進行傳播了,而是更多地攙入了社會工程學的因素,郵件標題開始采用一些有誘惑性的句子,附件也開始偽裝成如MP3這類的媒體文件了,因為一般人認為媒體文件是不會有病毒的。
對了應對郵件病毒越來越多的趨勢,反郵件病毒技術也走進了一步,出現了以防為主的郵件病毒監控系統,該技術被稱為第二代的郵件反病毒技術,該技術能在電腦進入郵件之前將病毒攔截,不但大大減小了中郵件病毒的可能性還有效地控制了病毒產生的垃圾郵件數量,減輕了用戶的負擔。
第三階段:混合VS 智能郵件監控技術
第三代郵件病毒在保有第一代的漏洞特性和第二代的社會工程學特性外,還借鑒了木馬、黑客、后門等病毒的特性,具有了混合特性。2002年以后,網絡編程技術開始成熟,郵件病毒開始借鑒一些其它類型病毒如黑客、木馬、后門的技術,于是混合郵件病毒開始大量泛濫,其中的代表病毒就是去年的“愛情后門”和前一段全球泛濫的“SCO炸彈(Worm. Novarg)”,不但能發送病毒郵件還可以對指定網站發動黑客攻擊。
這時反郵件病毒技術也進入了穩步發展階段,出現了集未知病毒檢測功能的郵件監控系統,能夠識別大量這些有復雜病毒特性的郵件病毒。
現在,為了能高效地對付郵件病毒,又出現了郵件病毒中間件產品,這種產品主要利用嵌入式技術,并以病毒查殺引擎作為產品內核,對外提供統一的接口供外部程序調用,有自主知識產權的軟件開發廠商和系統集成商可以根據自己的需要,只要經過簡單的二次開發,便可在自己的郵件系統中內嵌入郵件防病毒中間件來實現郵件病毒的檢測和清除。作為中間件的一種,郵件防病毒中間件具有標準的程序接口和協議,能夠屏蔽操作系統和網絡協議的差異,實現不同硬件和操作系統平臺上的數據共享和應用互操作,從而確保企業設備投資的有效性,并保證其它應用軟件的相對穩定和功能擴展。因此,與郵件網關等防毒產品相比,它具有無縫嵌入、高效穩定、跨平臺、智能升級等特點。
以上是郵件病毒與反郵件病毒技術的一個發展歷程,郵件病毒還將繼續向前發展,然后溶入更多的新特性,而反郵件病毒技術也一樣,功能會越來越強大。
郵件病毒產生的原因
縱觀郵件病毒產生的歷史,我們可以發現,郵件病毒產生的原因大概有以下幾個方面:
郵件病毒隨著操作系統的發展,使得技術上有了出現這類病毒的可能。操作系統進入WINDOWS時代,微軟公司為程序員提供了一個功能強大的API編程接口,該接口將一些復雜的網絡、圖形處理完全屏蔽起來,使程序員不用熟悉復雜的內部機理即可編制出一些功能強大的程序,正是技術上的這種進步,導致了越來越多的人開始編制一些復雜病毒。
隨著網絡的發展,開始有了產生這類病毒的土壤。在網絡還沒有飛速發展的時代,雖然已經有這些可以實現復雜功能的API編程接口,但病毒編寫者的視野還僅限于編制一些感染個人計算機的單機類病毒,象CIH病毒就是這時候產生的杰作,然而隨后的網絡大潮使上網人數呈幾何增長,網絡經濟初步形成,這時病毒編寫者開始編制越來越多的信賴網絡傳播的病毒。
個人郵件的飛速發展,有了產生這類病毒的契機。前兩年,隨著網絡的發展,個人郵件空前繁榮,幾乎每個接觸電腦的人都會有兩個以上的個人郵箱,后來,出現了早期的電子商務模式,這時,一些人開始編制郵件群發軟件,而另一些人則利用這些軟件進行商務活動,于是垃圾郵件開始產生,垃圾郵件的產生引起了病毒編寫者的注意,當發現了郵件系統的IFRAME漏洞即郵件預覽漏洞后,郵件病毒開始大量產生,這類病毒其實是在網絡蠕蟲的基礎上又加入郵件傳播特性,在病毒編制上只用增加一點兒功能卻能獲得大得多的傳播特性,因此郵件病毒發展非常迅速,在同反病毒技術的斗爭中幾經變異,終于形成了今天的集病毒、黑客、垃圾郵件于一身的新型郵件病毒。
編寫郵件病毒的目的
可以說,每個病毒編寫者都會有不同的編寫目的,但總的來講,每一類病毒的出現對于病毒作者來說都會有一些共同的心理,如果我們能了解一些郵件病毒編寫者的心理,那么對我們來掌握郵件病毒發展趨勢是有好處的,編寫郵件病毒的目的大至有以下幾點:
一、追求技術的成就感
這是病毒產生的初衷和病毒編寫的傳統,這些病毒作者編寫病毒只是為了挖掘計算機的潛力和追求技術的無限可能性,因此這類病毒一般以技術為主,破壞性不強。象早期的郵件病毒只是以附件形式將自己發送出去,有固定的標題,而后來病毒作者就開始進行改進,采用隨機算法使每次產生的病毒郵件都有不同的標題,以逃避郵件過濾程序的過濾和用戶的判斷,附件也采用雙后綴命名法,將病毒程序偽裝成圖片、視頻、屏保等多種形式來誘騙用戶,再后來有的病毒作者開始在郵件病毒里加入黑客技術從而成就了象“SCO炸彈(Mydoom)”這樣的新型郵件病毒。
二、為了炫耀
不可排除追求技術的病毒作者也有炫耀心理,但他主要是在技術交流這一層次,而真正為了炫耀的病毒作者是向普通的電腦用戶炫耀自己,因此作者會把病毒編寫的首要任務放在病毒的表現和傳播上,象“中文版求職信”病毒就是一位浙大的學生為了炫耀自己,而將英文版求職信的代碼拿過來進行修改的一個作品,在這種心態下產生的病毒往往比單純追求技術而產生的病毒破壞性大。
三、滿足商業目的
隨著社會的網絡化、商品化的發展,有商業目的郵件病毒會發展起來并且會在未來形成一種潮流。病毒作者為了獲得某些經濟利益,如想得到QQ用戶的密碼信息,或者某些網絡游戲的帳號等,他們就會編制一些帶有目的性的郵件病毒,向用戶發送一些有誘惑性標題的病毒郵件,誘騙用戶運行病毒,只要用戶運行,病毒就會把用戶的相關信息偷走,從而達到病毒作者的目的。
