被詛咒的畫——圖片病毒技術內幕

[psac]

被詛咒的畫
——圖片病毒技術內幕
作者：小金

一、被詛咒的油畫
在網路上流傳著一幅詭異的油畫，據說很多人看後會產生幻覺，有人解釋為油畫的構圖色彩導致的視覺刺激，也有人認為是心理作用，眾說紛紜，卻沒有令人信服的答案。在網路公司上班的秘書小王也從一個網友那裡得知了這幅畫，她馬上迫不及待的點擊了網友給的圖片連 接。



圖片出來了，小王終於見識到了傳說中詭異的油畫，面對著螢幕上那兩個看似正常的孩子，她卻覺得背後涼颼颼的。那網友也很熱心的和她聊這幅畫的來源，小王入神的聽著，絲毫沒有注意到IE瀏覽器左下角的狀態列開啟頁面的進度條一直沒停止過。


如果說小王剛才只是背後發冷的話，那麼現在她已經是全身發冷了：電腦光碟自動彈了出來，剛按回去又彈了出來，她著急的請教那個網友，那邊很平靜的說：「哦，也許是光碟壞了吧，我有事先下了，你找人修一下。」然後頭像暗了。



小王已經無法回覆他的話了：滑鼠正在不聽使喚的亂跑，鍵盤也沒了反應，過了一會兒，電腦自己重啟了，而且永遠停留在了「NTLDR is missing...」的出錯資訊上。

顯而易見，這又是一個典型的木馬破壞事件，但是小王開啟的是圖片，難道圖片也會傳播病毒了？答案很簡單也很出人意料：小王開啟的根本不是圖片。


IE瀏覽器的功能很強大，它可以自動識別並開啟特定格式的文件而不用在乎它是什麼文件後面名，因為IE對文件內容的判斷並不是關於後面名的，而是關於文件頭部和MIME。當用戶開啟一個文件時，IE讀取該檔案的頭部訊息並在本地機註冊表資料庫內搜尋它對應的 MIME格式描述，例如開啟一個MIDI文件，IE先讀取文件前面一段資料，根據MIDI文件的標準定義，它必須包含以「RIFF」開頭的描述訊息，根據這段標記，IE在註冊表定位找到了「x-audio/midi」的MIME格式，然後IE驗證它自己不具備開啟這段資料的能力，所以它根據註冊表裡的文件後面名訊息找到某個已經註冊為開啟後面名為「.MID」的文件，然後提交給此程序執行，我們就看到了最終結果。


正是因為這個原理，所以IE很容易受傷。讀者們應該沒有忘記我在《蟲子悠悠爬——深入瞭解網路蠕蟲》一文中提到的MIME漏洞和IFRAME漏洞，入侵者通過偽造一個MIME標記描述訊息而使網頁得以藏蟲，在這裡也是相同的道理，小王開啟的實際上是一個後 綴名改為圖片格式的HTML頁面，它包含上述兩個漏洞的病毒文件和一個高度和寬度都設定為100%的圖片IMG標記，所以在小王看來，這只是一個圖片文件，然而，圖片的背後卻是惡毒的木馬。


木馬程序體積都比較大，下載需要一定時間，這就是IE進度條一直沒 停止的原因。入侵者為了確保受害者開啟頁面的時間可以使整個木馬文件下載完畢，就採用了社會工程學，讓受害者不會在很短的時間內關閉頁面，當木馬下載執行後，「圖片」的詛咒就應驗了。（圖2.MIME漏洞）


二、圖形特性的悲哀


他是一家公司的網路管理員，在伺服器維護和安全性設定方面有足夠多的經驗，因此他無需懼怕那些利用瀏覽器漏洞實現的病毒。這天他在一個技術論壇裡看到一個網友發的關於AMD某些型號的處理器存在運算瑕庇的帖子，並指出一個測試頁面連接，根據官方描述，如果你 用的CPU存在瑕庇，那麼你會看到頁面上的測試圖片顯示得破損錯亂。他心裡一驚：自己用的CPU正是這個型號。他馬上點擊了頁面連接。

看著頁面上亂七八糟的一幅圖片，他心裡涼了一截：這台機器的CPU居然有問題，而他還要用這台機器處理公司的重要資料的！他馬上去管理部找負責人協商，把顯示著一幅胡裡花哨圖片的機器晾在一邊。


（圖3.「瑕庇圖片」頁面）
管理部答應儘快給他更換一台機器，讓他把硬碟轉移過去，因為上面有重要的業務資料。


他回來時看到那幅圖片還在耀武揚威，他厭惡的關閉了頁面，照例開啟存放資料的資料夾，他的腦袋一下子空白了：資料不見了！誰移除了？他慌亂的搜尋硬碟每個角落，可那些文件卻 像蒸發了一樣。許久，他終於反應過來了：機器被入侵了！他取下硬碟直奔資料恢復公司而去。


事後他仔細分析了原因，因為機器已經通過了嚴格的安全測試而且打了所有修正檔，通過網頁漏洞和溢位攻擊是不可能的了，唯一值得懷疑的只有那個所謂的瑕庇測試網頁了，他迅速下載分析了整個頁面程式碼，看著頁面來源碼裡後面名為「.BMP」的IMG標記和一堆複雜 的指令碼程式碼，他知道自己是栽在了BMP木馬的手上。



那幅「測試瑕庇」的圖片，無論到什麼電腦上都是一樣有「瑕庇」，因為它根本不是圖片文件，而是一個以BMP格式文件頭部開始的木馬程序。



為什麼看似溫順的圖片文件也變成了害人的凶器？這要從圖形（Bitmap）格式說起，許多朋友應該都知道流傳了很久的被稱為「圖片藏字」的「密文」傳播方式，即在圖形文件尾部追加一定量的資料而不會對原圖形文件造成太大破壞，這是圖形格式的限制寬鬆而造成 的。系統判斷一個圖形文件的方法並不是嚴格式化硬碟查，而是僅僅從文件頭部的54字元裡讀取它的長寬、位數、文件大小、資料區長度就完成了圖片的識別，寬鬆的盤查機制使得BMP木馬得以誕生。



不過先要澄清一點概念，BMP木馬並不是在BMP圖形文件屁股後追加的EXE文件，而是一個獨立的EXE可執行文件，但是它的文件PE頭部已經用圖形文件頭部取代了，由於系統的盤查機制，這個EXE文件就被瀏覽器認成圖形文件了。既然是圖形，在瀏覽器的程 序邏輯裡，這是需要下載到Internet高速快取資料夾然後顯示在頁面上的文件，但是因為這個文件本來就不是圖形，它被強制顯示出來以後自然會變成一堆無意義的垃圾資料，在用戶眼裡，它就成了一幅亂七八糟的圖像。但這不是引起木馬危機的原因，要留意的是 這些文字：
「需要下載到Internet高速快取資料夾」！這說明瀏覽器已經請狼入室了——木馬已經在硬碟上安家了，但是目前它還在沉睡中，因為它的文件頭部被改為圖形格式，導致它自身已經不能執行，既然不能執行，理所當然就不能對系統構成危害，那麼這只 狼在硬碟呆多久也是廢物一個，入侵者當然不能任由它浪費，因此他們在做個頁面給瀏覽器下載木馬的同時，也會設定頁面程式碼讓瀏覽器幫忙脫去這隻狼的外衣——把圖形格式頭部換成可執行文件的PE頭部，然後執行它。經過這些步驟，一隻惡狼進駐了系統。



這個無法修補的漏洞十分可怕，用戶很難知道他們正在瀏覽的頁面是否正在偷偷下載著木馬資料，因為即使他們打好了所有修正檔也無濟於事，木馬是被IE「合法」下載的，不屬於程式碼漏洞，而且單靠程序本身也很難判斷這個圖像是不是木馬程序，機器靠二進制完成處理工 作，而不是視網膜成象交給大腦判斷。


但是，由於這也是需要下載文件的入侵方式，它能否下載完畢以及用戶願不願意去看頁面就要取決於入侵者的社會工程學了，在任何一個頁面裡放出一個亂七八糟的圖片或者來一個隱藏的圖片框都不是最明智的選項，除非利用一些「暇 庇聲明」或更能引起人的興趣的伎倆。


那家公司的網管之所以會這麼不設防，就是因為攻擊者偷用了人們的「心理盲區」，因為人們對安全、漏洞、病毒、暇庇等內容會特別敏感，所以入侵者發個專業暇庇案例就欺騙了一大堆人，這次是拿真實的事件：AMD某些型號CP U會導致圖像顯示出問題的暇庇來做魚餌，下一次又該拿什麼了呢？用這種漏洞傳播的病毒已經鬧得沸沸揚揚了，反病毒專家甚至懷疑前不久在南寧發生的偷拍網友裸照事件與使用此手法的「密蜂大盜」病毒有關。（圖4.BMP木馬示意圖）

三、魔鬼的詛咒
對於某娛樂論壇的大部分用戶來說，今天是個黑色的日子，因為他們在看過一個《被詛咒的眼睛》油畫帖子後，系統遭到了不明原因的破壞。



論壇管理層的技術人員立即對這個帖子進行了多次分析，可是整個頁面就只有一個JPEG圖片的連接，其他惡意程式碼和程序根本不存在。



入侵者靠什麼破壞了看帖用戶的機器？難道竟是這個JPEG圖片？！

答案恐怕讓人難以接受，的確就是這幅JPEG圖片讓用戶感染了病毒。儘管病毒研究一直未曾停止，可是發展到這個地步，實在讓人不能承受：再下去是不是開啟一個文本文件都會被感染病毒？！
圖片帶毒來襲，實在讓所有人都擦了一把汗，然而我們都知道，JPEG、GIF等格式圖片不具備可以執行自身並散播病毒的條件，這不符合邏輯。


回憶一下2004年9月14日的事，微軟發佈了MS04-028安全公告：JPEG處理(GDI+)中的緩衝區溢位可能使程式碼得以執行。



沒錯，就是這個漏洞，它的術語叫GDI+，對應的動態連接庫為GdiPlus.dll，這是一種圖形設備接頭，能夠為應用程式和程序員提供二維媒介圖形、映像和版面配置，大部分Wi ndows程序都使用這個DLL完成JPEG格式圖片的處理工作。但是現在，正是這個「公眾人物」成了眾矢之的。



（圖5.Microsoft安全公告）
說到這裡，有基礎的讀者應該明白了吧：並不是圖片自己能傳播病毒，而是系統負責圖形處理工作的模組會在處理圖片時發生溢位導致圖片內攜帶的惡意指令得以執行破壞。



如果某個圖片工具不使用這個系統模組，而是使用自己的處理模組，那麼同樣包含惡意指令的圖片就 不能達到破壞目的。

但是因為這個系統模組是預設的處理模組，所以大部分程序在「JPEG病毒」面前紛紛落馬。


這個溢位是怎麼產生的呢？
這要從系統如何讀取JPEG格式圖形的原理說起，系統處理一個JPEG圖片時，需要在記憶體裡載入JPEG處理模組，然後JPEG處理模組再把圖片資料讀入它所佔據的記憶體空間裡，也就是所說的緩衝區，最後我們就看到了圖片的顯示，然 而就是在圖片資料進入緩衝區的這一步出了錯——Windows規定了緩衝區的大小，卻沒有嚴格檢查實際容納的資料量，這個帶缺陷的邊界檢查模式導致了噩夢：
入侵者把一個JPEG圖片的資料加工得異常巨大並加入惡意指令，那麼這個圖片在系統載入記憶體時候會發 生什麼情況呢？圖片資料會漲滿整個JPEG處理模組提供的緩衝區並恰好把惡意指令溢位到程序自身的記憶體區域，而這部分記憶體區域是用於執行指令的，即核心區，於是惡意指令被程序誤執行了，入侵者破壞系統或入侵機器的行為得以正常實施。



有人也許會疑惑，入侵者 都是神算子嗎，他們為什麼能準確的知道會是哪些資料可以溢位執行？

答案很簡單，因為Windows在分配JPEG處理模組的空間時，給它指定的記憶體起始位址是固定的，入侵者只要計算好這個空間大小，就能知道會有哪些資料被執行了，所以JPEG病毒迅速傳播 起來。（圖6.JPEG病毒）
所謂JPEG病毒，並不是JPEG圖片能放出病毒，而是系統處理JPEG圖片的模組自己執行了JPEG圖片攜帶的病毒，所以我們大可不必人心惶惶，只要補上了GDIPLUS.DLL的漏洞，那麼即使你電腦上的所有JPEG圖片都帶有病毒資料，它們也無法流 竄出來搞破壞，正如美國馬薩諸塞州立大學助理教授奧斯汀所言：「病毒不僅僅是可自我複製的程式碼，他們需要通過可執行程式碼的方式來進行傳播。


JPEG文件不能執行程式碼，他們是由應用軟體開啟的資料檔案。應用軟體不會去搜尋資料檔案中的可執行的程式碼，為此不會 執行這些病毒程式碼。」



四、防範
幾乎每次新技術病毒的誕生都會引起一定程度的恐慌，回想去年的DCOM漏洞甚至導致了大陸國內一部分用戶不敢再用電腦連網，面對這種恐慌和國內一些反病毒廠商恣意誇大病毒危害的現象，我無語……國內電腦用戶的安全概念和意識還是太薄弱……
對於虛假圖片文件的欺騙手法，只要用戶補上了MIME和IFRAME漏洞，那麼入侵者讓你停留多久也無濟於事；至於BMP木馬，它的防範是幾乎不可避免，但是它有個最大的弱點，大部分情況下只能在Win9x環境正常執行，用Win2000以上的用戶不必草 木皆兵了；而對於JPEG病毒來說更好辦了，微軟已經提供JPEG模組的更新了，你倒是去補一下啊！即使真的一點也不會，買個防病毒軟體在後台監視也OK了，但是為什麼國內用戶卻偏偏喜歡徒勞的恐慌？
縱觀這一系列圖片病毒的原理和手法，我們可以發現「社會工程學」這個身影的擴大化趨勢。如何避免被騙，這只能看你自己了。

[psac]

蟲子悠悠爬——深入瞭解網路蠕蟲



老皮特坐在電腦前寫著郵件，愁眉不展，連敲Enter鍵也弄出很大的聲響。

「該死的蟲子！我用了幾種農藥也殺不死它們！它們總是躲著，從這棵樹爬到那棵樹！這些可惡的蟲子！現有的農藥不管用！你們快點趕過來，帶上新的殺蟲劑，要快！費用不是問題，重要的是我的果園！看在果實就快要成熟的份上，快點！上帝啊！」。原來，老皮特的果 園正在經歷一場蠕蟲危機，他今天和農業蟲害防治的人員取得了聯繫，正在發電子郵件讓他們馬上過來。


蠕蟲源起

提到蠕蟲，大家都不會陌生，這些自然界中的低等生物以農作物為食，給人類帶來經濟損失。但是，如果說電腦中也有這樣一種名為「蠕蟲」的東西存在，同樣也給人類帶來嚴重經濟損失，你也許會覺得這是天方夜譚，蟲子怎麼會爬進電腦呢？

1988年11月2日，世界上第一個電腦蠕蟲正式誕生。美國康乃爾大學一年級研究生莫裡斯為了求證電腦程序能否在不同的電腦之間自我複製傳播，他寫了一段試驗程序，為了程序能順利進入另一台電腦，他寫了一段破解用戶密碼的程式碼。11月2日早上5點 ，這段被稱為「Worm」（蠕蟲）的程序開始了它的旅行（圖1），它果然沒有辜負莫裡斯的期望：它爬進了幾千台電腦，讓它們當機，造成了經濟損失高達9600萬美元的記錄。從此，「蠕蟲」這個名詞傳開了，莫裡斯也許並不知道：他在證明這個結論的同時，也打 開了潘多拉魔盒。


圖1 蠕蟲最初模型。



爬進機器的蟲子

過了一會兒，老皮特收到兩封郵件，一封是蟲害防治人員的回覆，他們說馬上就會過來；另一封就有點奇怪，是個陌生的位址發來的，內容更奇怪，只有一行字：「Hey,is that your photo?」。也許是哪個孩子的惡作劇吧，老皮特隨手把郵件移除了。但是老皮特做夢也不會想到，他用來管理果園的電腦裡已經來了一個不受歡迎的「客人」。

自1988年第一個蠕蟲顯示出它的威力以來，越來越多的人加入了蠕蟲製作陣營，他們用這種途徑來證明自己的能力，或者實現一些特殊目的，於是多種多樣的蠕蟲誕生了。可是不管蠕蟲的「行為方式」（它們進入電腦後要做的事情）有多少種，其「傳播方式」卻僅僅 有屈指可數的幾種：電子郵件、網頁程式碼、社會工程學以及系統漏洞等。

下面，我們就來看看蠕蟲進入電腦的幾種主要方式。


破郵信箱而出：郵件蠕蟲

蟲害防治人員剛趕到老皮特的果園就意識到了這裡蟲害的嚴重性：路邊樹上有個蘋果掉進了他們的車裡，裂開了，裡面爬出兩條毛茸茸的褐色蟲子。

也許是受遺傳的影響吧，最初的莫裡斯蠕蟲是通過郵件系統複製自身的，發展到現在，蠕蟲傳播的主流依然是郵件系統，不同的是，蠕蟲「前輩」利用的郵件系統能夠自動完成協助複製工作，而如今的郵件系統只能負責傳播，要啟動蠕蟲必須由用戶開啟郵件才可以。

為什麼選項郵件傳播？因為這是最大的傳播系統。為什麼用戶一開啟郵件就被蠕蟲撬窗入室？這要從微軟的兩個古老漏洞說起，它們分別是1999年11月11日的IFrame漏洞和2001年3月29日的MIME漏洞。

IFrame是一段用於往網頁裡放入一個小頁面的HTML語言，它用來實現「框架」結構。當年有好事者測試出一個可怕的現象：往一個頁面裡放入多個IFrame時，框架裡請求執行程序的程式碼就會被執行，如果有人故意做了一個執行破壞程序的頁面，那後果可想 而知。由於IFrame的尺寸可以自由設定，因此破壞者可以在一個頁面裡放入多個「看不見」的框架，並附帶多個「看不見」的有害程序，瀏覽了那個網頁的人自然就成了受害者！

和IFrame漏洞相比，MIME漏洞更加出名，它其實只是一小段用來描述訊息檔案類型的資料。瀏覽器通過讀取它來得知接收到的資料該怎麼處理，如果是文本和圖片就顯示出來，是程序就彈出下載驗證，是音樂就直接播放。請留意最後一個檔案類型：音樂，瀏覽器對它採取 的動作是：播放。

要知道：音樂文件和程式文件都是一樣的二進制資料，都需要解碼還原資料到系統臨時目錄裡，然後瀏覽器通過一個簡單的文件後面名判斷來決定該用哪種方法處理它。



例如用戶收到一個MP3文件，MIME把它描述成音樂文件，所以瀏覽器解碼儲存這個文件到一個臨時 目錄，而後搜尋使用這個文件後面MP3對應的執行程序，這就是一次完整的工作程序；但是問題就出在這個似乎完美的步驟上，如果攻擊者給用戶傳送一個帶有EXE後面可執行文件的郵件，並把它的MIME描述為音樂文件，這時候瀏覽器會把它解到臨時目錄，然後根 據它的後面名使用一個能開啟它的應用程式——EXE後面告訴系統，直接執行這個文件！於是這個文件就被順利執行了，用戶的機器也開始遭到破壞（圖2）。


圖2 MIME描述漏洞。
正因為這樣，郵件蠕蟲才成了如今世界「蟲害」的主要來源。靠郵件傳播的蠕蟲主要有SoBig、MyDoom、求職信等。


頁面藏刀：網頁裡的爬蟲

「它們無處不在」，老皮特砍下了一根樹枝拿給防治人員，從斷口可以看到一個個蟲洞。
相對於郵件蠕蟲，利用網頁傳播的蠕蟲手段無疑更為高明，它分為兩個「門派」：傳統派和指令碼派。



傳統派使用的技術又包括兩種，一種是用一個IFrame插入一個Mail框架，同樣利用MIME漏洞執行蠕蟲，這是直接沿用郵件蠕蟲的方法；另一種是用IFram e漏洞和瀏覽器下載文件的漏洞來運作的，首先由一個包含特殊程式碼的頁面去下載放在另一個網站的病毒文件，然後執行它，完成蠕蟲傳播。

「指令碼派」蠕蟲就更複雜了，它們不是可執行程序，而是一段具有破壞和自動尋找媒體能力進行傳播的程式碼。



湊巧的是，Windows系統自身資料夾範本也是通過指令碼運作的（由此可見指令碼的強大！），於是有人把它們的用途放到了入侵方面，通過一段精心編製的指令碼 ，這只「沒有身體」（沒有獨立執行的程序體）的蟲子就很輕鬆地爬進了千家萬戶。當然，這類蠕蟲實現的功能往往比完整的蠕蟲要少，因此編寫者讓它完成的工作一般也很簡單：破壞文件。曾經大面積突發的歡樂時光就是這樣做才令人「談蟲色變」的，雖然它只是一段很 簡單的文件操作程式碼集合（圖3）。


圖3 網頁背後的秘密。



騙你沒商量：社會學蟲子

「這一帶果樹似乎沒有蟲害啊，怎麼回事？」，防治人員走到林萌深處，這裡有一片鬱鬱蔥蔥的沙棗林。老皮特卻嚴肅地說：「還是別這麼快下結論，留意腳下吧，先生們！」，大家一低頭，只見一群大螞蟻正在耀武揚威地從防治人員腳上爬進沙棗林的根部。

細心的讀者應該會有個疑問：既然網頁蠕蟲是通過網頁傳播的，而看網頁的人那麼多，它應該成為主流才對啊，為什麼卻是郵件蠕蟲？

其實原因很簡單：大部分蠕蟲作者不可能在公共熱門網站裡放入自己的蠕蟲框架程式碼。要知道，往頁面裡加入程式碼是要取得伺服器管理權限的，這並不是所有人都能做得到的，這就增加了傳播的局限性，因此網頁蠕蟲始終成不了主流。

不記得是誰第一個把網頁蠕蟲和社會學結合在一起了，但是當QQ第一次被迫自動發出「http://sckiss.yeah.net，你快去看看」的消息時，這一領域的大門被撞開了，「愛情森林」蠕蟲的實體是躲在網頁背後的EXE木馬，又利用QQ把自身網址宣佈出去，把這兩個看似不相關的方面結合得天衣無縫！這種蠕蟲的實現原理很簡單：當蠕蟲爬進你的機 器後，它就會搜尋QQ行程，截獲傳送消息事件並且在QQ的訊息裡自動加入一段誘惑你的話，讓你去瀏覽它藏身的網頁而被它爬入電腦，同時成為它的又一個宣傳者。


顯然，這種「宣傳」方法成功與否，全在於蠕蟲編寫者的社會學和心理學，否則稍有經驗的人都會知道這 是大名鼎鼎的「QQ尾巴」了（圖4），例如「想看XX明星緋聞去http://www.xxxxx.com」這種弱智的語言功力，如今已經不能拿來騙人了。


圖4 QQ尾巴。



強行入室：系統漏洞蠕蟲

前面就是老皮特的值班室了。突然一隻昆蟲從眾人面前飛過，停在門縫邊努力往裡面鑽。 「快打死它！別讓它鑽進去產卵！」，老皮特抓起棍子打過去，飛蟲倒在地上還在不停地撲騰。

2003年1月，很多人特別是從事訊息安全的IT人都記住了這個月，因為在這個月裡，全世界的網路被大小僅為376個字元的「小蟲子」打敗了，直接經濟損失超過數百億美元，更重要的是：這個小蠕蟲又開創了一個蠕蟲里程碑，它就是「SQL蠕蟲王Slamme r」，世界上第一個打破一般的蠕蟲。它不再像前面那些蠕蟲一樣安靜等待別人來觸發了，它要自己闖天下，它把執行的關鍵指向了SQL溢位漏洞，結果，它成功了：它收拾了全球13台根網域名服務器中的8台，導致全球主幹網路癱瘓！

「SQL蠕蟲王Slammer」所做的一切似乎只為了宣佈一件事情：蠕蟲也可以這樣寫！於是這一新領域的蠕蟲便迅速發展起來了，利用RPC溢位漏洞的衝擊波、衝擊波殺手，倉促把玩LSASS溢位漏洞的震盪波、震盪波殺手……這些反客為主的蠕蟲在每一次新漏 洞被公佈之時迅速出現，趁火打劫地加入破壞行列，其間又有些號稱「殺手」的「除害蠕蟲」，幫人家把前一個蠕蟲殺了，然後自己也賴著不走了，成為受害者機器裡的又一條蠕蟲——拔刀相助，爾後強駐？這似乎不是英雄所為。

系統漏洞蠕蟲一般具備一個小型的溢位系統，它隨機產生IP並嘗試溢位，然後將自身複製過去。它們往往造成被感染系統效能速度迅速降低，甚至系統崩潰，屬於最不受歡迎的一類蟲子。

蠕蟲進入電腦後，會做什麼事情呢？現在已經很難下定論了，因為蠕蟲的檔案類型已經變得非常複雜，但是它們的最終目的不外乎是：偷密碼資料（比如QQ尾巴）、影響用戶正常使用機器（比如衝擊波）、擾亂網路通訊（比如Nimda）、破壞用戶機器（比如歡樂時光）、 「藉機殺人」（比如MyDoom、SQL蠕蟲王）、發email（比如Sobig）等。


殺蟲劑：你準備好了嗎？

「您們拿殺蟲劑來了嗎？要有效的！」，老皮特邊看著監視器邊跺腳，顯示螢幕上有只蟲子正在咬蘋果。

「嗯，最新配方，非常有效。」一個防治人員拿出一個大瓶子，裡面都是藥片。「每顆藥片用二加侖的水稀釋，不要太稀，免得它們抗藥。」。他右手舉起一個瓶子，裡面是幾隻蟲子的屍體，他剛才在果園裡抓來試驗的。

「謝謝，嗯……」。老皮特留意到電腦有異常動靜，他跑過去弄了一會兒，無效，他無奈的回過頭來：「順便問一下，您們有人懂得修電腦嗎？」

「是蠕蟲病毒，讓我來，別怕。」一個懂電腦的工程師走了過去。


蠕蟲的防治

蠕蟲已經成了當前病毒的主流方式，每年由蠕蟲造成的經濟損失超過數億美元，不僅如此，它們還在向威脅人類正常使用電腦的方向發展，如果再不嚴厲打擊製造蠕蟲的幕後黑手，總有一天世界網路會被這些小蟲子摧毀。

由於蠕蟲發展越來越壯大，它的行程也由單一文件變成多行程互相防護、DLL掛鉤、文件並聯等方式。


普通用戶要想手工清除這些蠕蟲已經變得相當困難，最好的方法是預防。


其實大部分蠕蟲都是利用了系統漏洞進行傳播的，如果用戶安全意識較高，那麼蠕蟲就會無門可 鑽。專家認為：提高用戶的安全防範意識，學習一點常備的電腦維護知識，遠比一味跟在蠕蟲後面昇級殺毒軟體的方法更加實際和有效！

[cwvdavid]

非常好的文章~~
感謝您的轉貼...