摘要

    由于群发邮件蠕虫病毒阻塞网络造成网速缓慢、网络连接丢失、传输文件时频繁的连接超时报错，这些典型问题几乎所有人都遇到过。

    本文提供了群发邮件病毒威胁的背景信息。介绍了群发邮件蠕虫病毒及其生成、传播和构成的威胁，内容涵盖蠕虫的危害、影响和副作用，探讨了邮件服务器协议在遏制病毒传播方面的重要性，还评价了几种防范蠕虫病毒的方法。最后，文中还讲述了包括垃圾邮件和网络诱骗邮件在内的其它群发邮件病毒及其构成的威胁。

    关于群发邮件蠕虫病毒

    群发邮件蠕虫病毒最早出现于20世纪80年代后期，到90年代后期开始大量繁殖，在过去的2~3年中呈现出明显的复杂化发展趋势。蠕虫病毒引发了严重的安全危机，它能造成互联网、企业内部网、企业外联网、B2B电子商务应用程序及企业等部分瘫痪。病毒从网络内部和外部均可发起攻击，阻塞邮件服务器，关闭运行网络服务的应用软件，消耗系统内其它关键应用程序的带宽。蠕虫病毒几小时就可写完并由一种典型的软件调制解调器生成，传播到任何一个人的电脑上就会迅速影响到数十万台电脑、工作站、家用电脑、网络电脑及邮件服务器。尽管明显不合法，而且会造成上亿美元的损失，但对这种网上犯罪的惩罚却极为有限。事实上，病毒越厉害，知名度越高，病毒创造者之后将因此得到越多的回报。

    蠕虫使用独立的自行传播的恶意代码。利用软件自动进行自我复制并发送至被感染电脑中所有地址及邮件列表的联系人，以传播为目的逐个获取地址，通过合法邮件向尽可能多的地址发送病毒副本。其结果是传播诸如特洛伊木马、拒绝代理服务和邮件转发服务一类具有破坏性的数据净荷，如果没有正确的分布式防护工具，很难对这种病毒进行大范围的控制。

    最重要的是，蠕虫病毒的威胁几乎随时存在，每天发生小型攻击，每隔十几天发生大规模攻击。病毒通过携带数据净荷或通过病毒传播的副作用而造成巨大的危害，它效力迅速而造成致命一击，可在极短的时间使整个站点瘫痪。很多人应该还记得在2001年，yahoo网站遭到病毒程序攻击而陷于瘫痪，并通过自动引擎蔓延到代理服务器，使得攻击者可以操纵上百万个站点准备发动进一步的攻击。

    群发邮件蠕虫的传播

    解决群发邮件蠕虫病毒的主要难题在于它的易传播性，特别是在最初几个小时内，此时尚未形成对其足够的威慑力量。通过一个非常简单的进程，一个蠕虫病毒便可以逐一发送上百万封邮件。

网络诱骗邮件（图一）" src="http://www.qqread.com/ArtImage/20060511/fu4_1.jpg" align="top" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

    图一：蠕虫病毒通过SMTP服务器传播

    病毒一旦生成，攻击者便连接到SMTP服务器上并发送病毒。如图一所示，这时病毒已储存在SMTP服务器内，客户机在访问SMTP服务器的同时也下载了病毒。通过读取邮件激活了病毒，在一些复杂的案例中甚至只要客户端接收了病毒邮件就会激活病毒，病毒发送数据净荷到电脑后开始扫描硬盘寻找邮件地址，并将自身复制发送至寻找到的所有地址。由于我们通常使用的程序如OUTLOOK中存有大量邮件地址，这样，病毒传播范围进一步扩大，它可以传播到其他的SMTP服务器、邮件接收端或客户机。

   

网络诱骗邮件（图二）" src="http://www.qqread.com/ArtImage/20060511/fu4_2.jpg" align="top" border="0" onload="return imgzoom(this,550);" style="cursor: pointer;" onclick="javascript:window.open(this.src);"/>

    图二：蠕虫病毒传播对服务器的影响

    普通的防护措施并不能充分地防范蠕虫病毒，自然，蠕虫病毒在邮件服务器上传播造成非常严重的后果，产生沉重的负载，导致连接失败和服务器传输失败等一系列现象。例如图二中的曲线图显示蠕虫传播所造成的影响。大部分外出TCP流程都有一个针对服务器运行的最优阈值，一旦超过此门限阈值，服务器将停止工作。图中可看出，病毒传播产生的全面的、破坏性的影响在数日后才显现出来。到第十三天，流程超出服务器门限值，邮件服务器的服务被终止。

    1998年11月2日，互联网络在第一个蠕虫病毒的冲击下遭受重创，病毒的创造者却是一个23岁的学生，他的名字叫RobertTappanMorrisJr.，其父亲在NSA工作。从那时以来，蠕虫病毒的发展主要历经了两代。第一代是在上世纪90年代末到本世纪初，使用邮件客户端而不是SMTP引擎进行传播，典型病毒有Mellisa 和 I-Love。这一代的蠕虫病毒不能扫描硬盘，但可以将地址簿中的邮件地址作为传播的接收人，而且病毒运行前提是带毒邮件附件被点击打开。因此，所有的病毒邮件都来自被感染电脑中的经过确认的邮件帐号。由于没有地址簿造假功能，通常很容易就能追踪到合法地址的邮件发送人。病毒使用VB脚本和office宏来执行恶意代码，极少数则使用可执行的二进制代码，附件的扩展名一般为.vbs，.doc，.xls或.exe。

    第二代蠕虫病毒出现于2002年，比第一代病毒更为危险，加强了自动化功能且携带致命的数据净荷，传播的速度更快、媒介更多，而且由于传播途径的多样化愈加难以截获，对数据净荷和带宽消耗造成更大危害。

    第二代病毒如Bagle，Mydoom和Netsky等已经可以扫描硬盘（包括硬盘中的文件和文档）来搜索邮件地址并包括自身的SMTP客户端来传播自身的病毒副本。它们成功地绕过安全措施防线，因为病毒已被加密打包成可执行文件（使用高性能、可下载的UPX包，UPX–ultimate packer executable – 超级压缩执行包），并具备终止安全软件运行的功能。

    第二代病毒变化多端，以不同的变种出现，包括针对邮件和网络共享的多样化传播源，允许在P2P共享文件夹中自我复制。所以，甚至Windows程序都能感染并实际运行这些病毒。这些蠕虫病毒还可以包括在代码中集成的或从恶意网络服务器上下载的黑客后门组件，可执行拒绝访问攻击，有时也会利用软件漏洞自