泡泡浴 发表于 2001-9-18 17:19:04

蠕虫病毒

前一段时间,红色代码(Code Red) 大闹天空。风波刚刚过去,今天又出现一种新的蠕虫病毒(Nimda),害得我们公司网络瘫痪。

这里,我写些常识给大家。

因特网上一种比较厉害的病毒叫蠕虫病毒(worm),这个带比喻性质的名词非常恰当非常形象。病毒可以通过网络爬到与它相连的其他机器上,不断复制自己,再爬到因特网上成千上万的机器上去复制子子孙孙,周而复始,造成网络负载过重而瘫痪。红色代码这种蠕虫病毒造成的祸害大家已经看到了。

但是,那个聪明的红色代码的作者竟然犯了很低级的错误,他的随机数生成算法有个致命的弱点,生成的是个重复的随机数系列,他用这些随机数来组成被攻击对象计算机的地址,实际上攻来攻去攻的是同一组计算机,变化不大,攻了半个月也没有多大的名堂。后来,别人改进了这段算法,出现红色代码的变种,这才搅得个天翻地覆。

红色代码与普通病毒一样有个病毒标记/签名(signature),用这个标记可以区别被感染与没有被感染的机器,免得重复去攻击,但是这个标记也成了反病毒软件专门去抓的小尾巴。

现在,比聪明的红色代码的作者还要聪明的黑客,研究出一种新的蠕虫,叫变形蠕虫 (polymorphic worm),就是繁殖出来的子子孙孙具有不同的标记,转眼间成千上万的变化了标记的蠕虫涌现出来,反病毒软件也只能干瞪眼。这是今年在拉斯维加斯召开的黑客大会上,世界头号黑客 K2 介绍的方法,这个家伙竟然向其他黑客分发了制造变形蠕虫的材料。

所以,现在一些安全专家惊呼相比之下,红色代码简直是“小菜一碟”(small potatoes),下一轮变形蠕虫的攻击要厉害得多。

那么蠕虫怎么可以说要爬到哪里,就能爬到哪里呢?如果爬不动,再变形也没有用啊。这里,他们利用了一个称为 Buffer overflow 的漏洞。有人为此做了个很好比喻:“如果你家的厕所堵塞了,里面的东西就撒出来,弄得到处都是” 。这个可真恶心。

技术上讲就是,计算机用 field 来接收外来数据,如果外来数据太多,大于field 的容量,计算机就把这些数据另找地方暂时保存起来,而这些散出去的东西里面可以藏进病毒,并执行起来。

微软的操作系统是从台式计算机演化到网络服务器的,台式计算机不用管Buffer overflows的漏洞,因为没有人恶意来堵您的厕所,但是连在网络上的计算机则不同,别人可以堵了您的厕所,再通过您去堵了更多人的厕所。臭不臭?

而要微软的操作系统的上百万行计的代码中,找出所有潜在可能被堵的厕所,预先处理掉,实在是不容易的一件事情。可是,黑客们找得比微软还要快。

红色代码是第一个干此勾当的病毒,以后polymorphic buffer overflow worm 将猛如洪水而来。

seed 发表于 2001-9-18 21:42:44

不错。可以再讲讲COD RED吗?

泡泡浴 发表于 2001-9-19 11:36:02

COD 中文叫“鳕鱼”。有谁知道怎么烧吗?我可不会。

seed 发表于 2001-9-19 11:38:31

sorry.should be code red.

泡泡浴 发表于 2001-9-19 14:08:09

我还当要“红烧鳕鱼”呢 :)

红色代码(Code Red)就是一种蠕虫病毒,关于什么是蠕虫病毒上面已经说过了,并且已经说了红色代码利用了 Buffer overflow 的漏洞。

我只知道被 Code Red 利用的 Buffer overflow 漏洞在 IIS 中,现在已经有补丁了。
页: [1]
查看完整版本: 蠕虫病毒