蠕虫病毒

泡泡浴

前一段时间，红色代码(Code Red) 大闹天空。风波刚刚过去，今天又出现一种新的蠕虫病毒(Nimda)，害得我们公司网络瘫痪。

这里，我写些常识给大家。

因特网上一种比较厉害的病毒叫蠕虫病毒(worm)，这个带比喻性质的名词非常恰当非常形象。病毒可以通过网络爬到与它相连的其他机器上，不断复制自己，再爬到因特网上成千上万的机器上去复制子子孙孙，周而复始，造成网络负载过重而瘫痪。红色代码这种蠕虫病毒造成的祸害大家已经看到了。

但是，那个聪明的红色代码的作者竟然犯了很低级的错误，他的随机数生成算法有个致命的弱点，生成的是个重复的随机数系列，他用这些随机数来组成被攻击对象计算机的地址，实际上攻来攻去攻的是同一组计算机，变化不大，攻了半个月也没有多大的名堂。后来，别人改进了这段算法，出现红色代码的变种，这才搅得个天翻地覆。

红色代码与普通病毒一样有个病毒标记/签名(signature)，用这个标记可以区别被感染与没有被感染的机器，免得重复去攻击，但是这个标记也成了反病毒软件专门去抓的小尾巴。

现在，比聪明的红色代码的作者还要聪明的黑客，研究出一种新的蠕虫，叫变形蠕虫 (polymorphic worm)，就是繁殖出来的子子孙孙具有不同的标记，转眼间成千上万的变化了标记的蠕虫涌现出来，反病毒软件也只能干瞪眼。这是今年在拉斯维加斯召开的黑客大会上，世界头号黑客 K2 介绍的方法，这个家伙竟然向其他黑客分发了制造变形蠕虫的材料。

所以，现在一些安全专家惊呼相比之下，红色代码简直是“小菜一碟”(small potatoes)，下一轮变形蠕虫的攻击要厉害得多。

那么蠕虫怎么可以说要爬到哪里，就能爬到哪里呢？如果爬不动，再变形也没有用啊。这里，他们利用了一个称为 Buffer overflow 的漏洞。有人为此做了个很好比喻：“如果你家的厕所堵塞了，里面的东西就撒出来，弄得到处都是” 。这个可真恶心。

技术上讲就是，计算机用 field 来接收外来数据，如果外来数据太多，大于field 的容量，计算机就把这些数据另找地方暂时保存起来，而这些散出去的东西里面可以藏进病毒，并执行起来。

微软的操作系统是从台式计算机演化到网络服务器的，台式计算机不用管Buffer overflows的漏洞，因为没有人恶意来堵您的厕所，但是连在网络上的计算机则不同，别人可以堵了您的厕所，再通过您去堵了更多人的厕所。臭不臭？

而要微软的操作系统的上百万行计的代码中，找出所有潜在可能被堵的厕所，预先处理掉，实在是不容易的一件事情。可是，黑客们找得比微软还要快。

红色代码是第一个干此勾当的病毒，以后polymorphic buffer overflow worm 将猛如洪水而来。

seed

不错。可以再讲讲COD RED吗？

泡泡浴

COD 中文叫“鳕鱼”。有谁知道怎么烧吗？我可不会。

seed

sorry.should be code red.

泡泡浴

我还当要“红烧鳕鱼”呢

红色代码(Code Red)就是一种蠕虫病毒，关于什么是蠕虫病毒上面已经说过了，并且已经说了红色代码利用了 Buffer overflow 的漏洞。

我只知道被 Code Red 利用的 Buffer overflow 漏洞在 IIS 中，现在已经有补丁了。