邮件病毒概述
近年来,由于计算机应用的普及以及互联网的广泛应用,全球计算机病毒呈爆炸性增长,导致了多次病毒爆发,这也反映出目前计算机系统和网络应用中的问题,计算机病毒已经成为全球性的安全问题。亚洲地区,特别是中国内地地区,由于计算机普及较快,人们的安全意识相对不够高,因此对计算机病毒的防范相对薄弱,也在近年连续爆发病毒疫情,造成了巨大的损失和严重的破坏。
随着邮件系统的普及,计算机病毒中的邮件病毒开始大行其道,给社会带来越来越大的经济损失,垃圾邮件与邮件病毒已经成为互联网时代的两大杀手,而邮件病毒更甚,因为它不但能产生垃圾邮件,而且还能感染电脑、阻塞网络,造成更大的损失。
虽然世界上最早的邮件系统出现在七十年代初期,而最早的病毒则出现在60年代,但是,病毒与邮件真正的结合是在WINDOWS操作系统出现并大量应用以后的事。当操作系统进入WINDOWS时代时,微软公司为程序员提供了一个功能强大的API编程接口,该接口将一些复杂的网络、图形处理完全屏蔽起来,使程序员不用熟悉复杂的内部机理即可编制出一些功能强大的程序,正是技术上的这种进步,导致了越来越多的人开始编制一些复杂的网络病毒,邮件病毒就是在这种背景下出现并发展的。
邮件病毒的破坏
对于大多数个人电脑用户来说,对邮件病毒破坏性的感觉并没有象CIH病毒这样强烈,在大多数人的脑海中的印象中邮件病毒是一种只会发发病毒邮件的温和的病毒。其实,邮件病毒的破坏要远大于此。
首先,邮件病毒会对主干网的流量造成影响。邮件病毒的传播过程是这样的,病毒会被首先释放到一台病毒种机中,种机中有大量的公开邮件地址,然后病毒就会通过网络和邮件从一台计算机感染到另一台计算机,由于邮件病毒在每感染一台计算机后就会搜索一次该计算机的所有E-MAIL地址,再向这些地址发送病毒邮件,被感染的计算机不但会向一些未感染病毒的计算机发送病毒邮件,还会进行邮件互发,从而在全球泛滥的同时大量占用网络带宽资源,使整个主干速度变慢,象“求职信”就是这样的一个病毒。如果邮件病毒又具备了黑客攻击的手段,那么这种破坏性就更明显了,象“SCO炸弹(Mydoom)”病毒就是这样,他不但会进行邮件传播,还会在某个特定时间对SCO、微软等网站发起DDoS(分布式拒绝服务)攻击,病毒的意图很明显,就是要集结全球所有被感染计算机,然后统一向这两个网站发起攻击,全球范围内的超量非法服务请求,不但会使这两个网站瘫痪,还会使整个主干网阻塞。
其次,邮件病毒还会对企业和电子邮件服务商造成影响。如果说对主干网的影响,大家还只是停留在感觉的层次的话,那么邮件病毒对企业和电子邮件服务商的影响就是实实在在的了。每一个现代化的企业,都会有自己独立的内部网络和邮件服务器,邮件服务器每秒钟要收发数以万记的邮件,但是一个邮件服务器的吞吐量和邮件并发数是有限的,当邮件病毒泛滥时,大量的病毒邮件会随时从外部网络涌入,如果企业内部感染了邮件病毒,那么同时也会有大量的病毒邮件从内部网络经由邮件服务器而发送到外网,当病毒邮件远远大于邮件服务器所能承载的最大邮件数时,邮件服务器便会来不及处理邮件请求从而导致邮件阻塞,严重时还会使邮件服务器系统崩溃,从而拒绝服务。一些互联网邮件服务商同样也面临着这样的问题,虽然他们的邮件服务器吞吐量很大,但他们接受的是整个互联网的邮件请求,因此在邮件病毒大量泛滥时仍然会产生邮件阻塞及拒绝服务的情况。有电脑使用经验的用户一定还记得当年求职信病毒爆发时的情形,在病毒的泛滥高峰期,用户几乎是无法收取任何邮件的。
最后,邮件病毒会产生大量的垃圾邮件,阻塞用户信箱。这种危害是普通用户能亲身感受到的,邮件病毒泛滥时会给用户的邮箱发送大量的病毒邮件,虽然一些邮件服务商采取了一些邮件过滤的技术,如字符串过滤,截取附件等方法,但是如今的邮件病毒都会采取随机更换邮件标题和内容的方法来躲避过滤,而一些被截去附件的病毒邮件就成了名符其实的垃圾邮件。一些躲过过滤的病毒邮件会有很有迷惑性的标题来诱使用户中毒,而一些被截去附件的病毒邮件则会变成垃圾邮件来占满用户有限的邮箱空间,使用户无法收取正常的邮件。
邮件病毒与反病毒技术的发展
邮件病毒大至经过了经过了三个发展阶段:
第一阶段:邮件漏洞与邮件查杀技术。
1999-2000年是邮件病毒大力发展的第一个阶段。1999年,中国互联网迎来了它的一个发展高潮,网民激增到890万,个人电子邮件开始大面积应用,于是,第一个邮件病毒—“美丽莎”诞生了,该病毒会通过OFFICE系统文档和邮件系统进行传播,发作当天就感染了6000多台电脑。“美丽莎”病毒虽然属于邮件病毒,但是它更强的宏病毒特性实际上促成了宏病毒查杀技术的诞生,这时国内邮件解包技术还处在理论阶段。2000年,邮件病毒--“爱虫”开始大面积泛滥,它的泛滥直接导致了邮件病毒查杀技术的出现,标志是瑞星公司推出的杀毒软件2001版。
第一代邮件病毒主要是利用系统提供的邮件发送引擎来向外发送大量病毒邮件,病毒往往是利用邮件的漏洞将自身嵌入到邮件正文中,使用户看不到附件,或者编制一些有自动预览能力邮件,用户只要将鼠标移动到邮件上面就会激活病毒。而这时候的反邮件病毒技术则是主动清除,就是对邮箱进行分析,查杀邮箱内部的病毒。
第二阶段:社会工程学与邮件监控技术
2001年,个人邮箱系统已经相当成熟,邮件病毒也大量产生,其中的代表病毒就是求职信,这时候的邮件病毒已经不是简单地利用那个预览漏洞进行传播了,而是更多地搀入了社会工程学的因素,邮件标题开始采用一些有诱惑性的句子,附件也开始伪装成如MP3这类的媒体文件了,因为一般人认为媒体文件是不会有病毒的。
对了应对邮件病毒越来越多的趋势,反邮件病毒技术也走进了一步,出现了以防为主的邮件病毒监控系统,该技术被称为第二代的邮件反病毒技术,该技术能在电脑进入邮件之前将病毒拦截,不但大大减小了中邮件病毒的可能性还有效地控制了病毒产生的垃圾邮件数量,减轻了用户的负担。
第三阶段:混合VS 智能邮件监控技术
第三代邮件病毒在保有第一代的漏洞特性和第二代的社会工程学特性外,还借鉴了木马、黑客、后门等病毒的特性,具有了混合特性。2002年以后,网络编程技术开始成熟,邮件病毒开始借鉴一些其它类型病毒如黑客、木马、后门的技术,于是混合邮件病毒开始大量泛滥,其中的代表病毒就是去年的“爱情后门”和前一段全球泛滥的“SCO炸弹(Worm. Novarg)”,不但能发送病毒邮件还可以对指定网站发动黑客攻击。
这时反邮件病毒技术也进入了稳步发展阶段,出现了集未知病毒检测功能的邮件监控系统,能够识别大量这些有复杂病毒特性的邮件病毒。
现在,为了能高效地对付邮件病毒,又出现了邮件病毒中间件产品,这种产品主要利用嵌入式技术,并以病毒查杀引擎作为产品内核,对外提供统一的接口供外部程序调用,有自主知识产权的软件开发厂商和系统集成商可以根据自己的需要,只要经过简单的二次开发,便可在自己的邮件系统中内嵌入邮件防病毒中间件来实现邮件病毒的检测和清除。作为中间件的一种,邮件防病毒中间件具有标准的程序接口和协议,能够屏蔽操作系统和网络协议的差异,实现不同硬件和操作系统平台上的数据共享和应用互操作,从而确保企业设备投资的有效性,并保证其它应用软件的相对稳定和功能扩展。因此,与邮件网关等防毒产品相比,它具有无缝嵌入、高效稳定、跨平台、智能升级等特点。
以上是邮件病毒与反邮件病毒技术的一个发展历程,邮件病毒还将继续向前发展,然后溶入更多的新特性,而反邮件病毒技术也一样,功能会越来越强大。
邮件病毒产生的原因
纵观邮件病毒产生的历史,我们可以发现,邮件病毒产生的原因大概有以下几个方面:
邮件病毒随着操作系统的发展,使得技术上有了出现这类病毒的可能。操作系统进入WINDOWS时代,微软公司为程序员提供了一个功能强大的API编程接口,该接口将一些复杂的网络、图形处理完全屏蔽起来,使程序员不用熟悉复杂的内部机理即可编制出一些功能强大的程序,正是技术上的这种进步,导致了越来越多的人开始编制一些复杂病毒。
随着网络的发展,开始有了产生这类病毒的土壤。在网络还没有飞速发展的时代,虽然已经有这些可以实现复杂功能的API编程接口,但病毒编写者的视野还仅限于编制一些感染个人计算机的单机类病毒,象CIH病毒就是这时候产生的杰作,然而随后的网络大潮使上网人数呈几何增长,网络经济初步形成,这时病毒编写者开始编制越来越多的信赖网络传播的病毒。
个人邮件的飞速发展,有了产生这类病毒的契机。前两年,随着网络的发展,个人邮件空前繁荣,几乎每个接触电脑的人都会有两个以上的个人邮箱,后来,出现了早期的电子商务模式,这时,一些人开始编制邮件群发软件,而另一些人则利用这些软件进行商务活动,于是垃圾邮件开始产生,垃圾邮件的产生引起了病毒编写者的注意,当发现了邮件系统的IFRAME漏洞即邮件预览漏洞后,邮件病毒开始大量产生,这类病毒其实是在网络蠕虫的基础上又加入邮件传播特性,在病毒编制上只用增加一点儿功能却能获得大得多的传播特性,因此邮件病毒发展非常迅速,在同反病毒技术的斗争中几经变异,终于形成了今天的集病毒、黑客、垃圾邮件于一身的新型邮件病毒。
编写邮件病毒的目的
可以说,每个病毒编写者都会有不同的编写目的,但总的来讲,每一类病毒的出现对于病毒作者来说都会有一些共同的心理,如果我们能了解一些邮件病毒编写者的心理,那么对我们来掌握邮件病毒发展趋势是有好处的,编写邮件病毒的目的大至有以下几点:
一、追求技术的成就感
这是病毒产生的初衷和病毒编写的传统,这些病毒作者编写病毒只是为了挖掘计算机的潜力和追求技术的无限可能性,因此这类病毒一般以技术为主,破坏性不强。象早期的邮件病毒只是以附件形式将自己发送出去,有固定的标题,而后来病毒作者就开始进行改进,采用随机算法使每次产生的病毒邮件都有不同的标题,以逃避邮件过滤程序的过滤和用户的判断,附件也采用双后缀命名法,将病毒程序伪装成图片、视频、屏保等多种形式来诱骗用户,再后来有的病毒作者开始在邮件病毒里加入黑客技术从而成就了象“SCO炸弹(Mydoom)”这样的新型邮件病毒。
二、为了炫耀
不可排除追求技术的病毒作者也有炫耀心理,但他主要是在技术交流这一层次,而真正为了炫耀的病毒作者是向普通的电脑用户炫耀自己,因此作者会把病毒编写的首要任务放在病毒的表现和传播上,象“中文版求职信”病毒就是一位浙大的学生为了炫耀自己,而将英文版求职信的代码拿过来进行修改的一个作品,在这种心态下产生的病毒往往比单纯追求技术而产生的病毒破坏性大。
三、满足商业目的
随着社会的网络化、商品化的发展,有商业目的邮件病毒会发展起来并且会在未来形成一种潮流。病毒作者为了获得某些经济利益,如想得到QQ用户的密码信息,或者某些网络游戏的帐号等,他们就会编制一些带有目的性的邮件病毒,向用户发送一些有诱惑性标题的病毒邮件,诱骗用户运行病毒,只要用户运行,病毒就会把用户的相关信息偷走,从而达到病毒作者的目的。