由于群发邮件蠕虫病毒阻塞
本文提供了群发邮件病毒威胁的背景信息。介绍了群发邮件蠕虫病毒及其生成、传播和构成的威胁,内容涵盖蠕虫的危害、影响和副作用,探讨了邮件
关于群发邮件蠕虫病毒
群发邮件蠕虫病毒最早出现于20世纪80年代后期,到90年代后期开始大量繁殖,在过去的2~3年中呈现出明显的复杂化发展趋势。蠕虫病毒引发了严重的安全危机,它能造成互联网、企业内部网、企业外联网、B2B电子商务应用程序及企业等部分瘫痪。病毒从网络内部和外部均可发起攻击,阻塞邮件服务器,关闭运行网络服务的应用软件,消耗系统内其它关键应用程序的带宽。蠕虫病毒几小时就可写完并由一种典型的软件
蠕虫使用独立的自行传播的恶意代码。利用软件自动进行自我复制并发送至被感染电脑中所有地址及邮件列表的联系人,以传播为目的逐个获取地址,通过合法邮件向尽可能多的地址发送病毒副本。其结果是传播诸如特洛伊木马、拒绝代理服务和邮件转发服务一类具有破坏性的数据净荷,如果没有正确的分布式防护工具,很难对这种病毒进行大范围的控制。
最重要的是,蠕虫病毒的威胁几乎随时存在,每天发生小型攻击,每隔十几天发生大规模攻击。病毒通过携带数据净荷或通过病毒传播的副作用而造成巨大的危害,它效力迅速而造成致命一击,可在极短的时间使整个站点瘫痪。很多人应该还记得在2001年,yahoo
群发邮件蠕虫的传播
解决群发邮件蠕虫病毒的主要难题在于它的易传播性,特别是在最初几个小时内,此时尚未形成对其足够的威慑力量。通过一个非常简单的进程,一个蠕虫病毒便可以逐一发送上百万封邮件。
普通的防护措施并不能充分地防范蠕虫病毒,自然,蠕虫病毒在
1998年11月2日,互联
第二代蠕虫病毒出现于2002年,比第一代病毒更为危险,加强了自动化功能且携带致命的数据净荷,传播的速度更快、媒介更多,而且由于传播途径的多样化愈加难以截获,对数据净荷和带宽消耗造成更大危害。
第二代病毒如Bagle,Mydoom和Netsky等已经可以扫描硬盘(包括硬盘中的文件和文档)来搜索邮件地址并包括自身的SMTP客户端来传播自身的病毒副本。它们成功地绕过安全措施防线,因为病毒已被加密打包成可执行文件(使用高性能、可下载的UPX包,UPX–ultimate packer executable – 超级压缩执行包),并具备终止安全软件运行的功能。
第二代病毒变化多端,以不同的变种出现,包括针对邮件和网络共享的多样化传播源,允许在P2P共享
邮件
蠕虫病毒或群发邮件病毒以简单邮件传输协议(SMTP)为基础,通过互联网在邮件服务器之间复制传播,SMTP协议的重要性十分明显,就传播范围而言,阻止病毒扩散的最佳最便捷的位置就在于通过SMTP进行的服务器之间的通信。
SMTP是一个简单的、标准化的、基本的且公开执行的纯文本协议,它从20世纪70年代起便已开始应用,一般用于发送邮件。它使用RFC2821文本协议和Base64附件传输协议,后者可以将二进制数据转换为ASCII可打印字符,并实现了对可执行文件及图片或文档的编码。
SMTP使用TCP25端口为所有的组织提供非常有价值的服务,是一个互联网上的开放式协议。然而,由于它不需认证或加密,使得它非常容易被伪造,致使蠕虫病毒可以始终使用同一种逃避技术。
其他的基于互联网的邮件传输协议包括POP3(用于将邮件从服务器下载到客户端的文本协议)、IMAP4(比POP3更先进的一种协议),MAPI(一种交换协议,用于服务器与客户端的通信交换)和X400(一种很少用到的服务器间邮件传输协议)。
识别进而防止蠕虫病毒感染的关键是要以对SMTP服务器进行不间断的监测为基本前提。基于SMTP服务器的Map、Monitor、Alert和Rectify都是防止病毒感染的关键命令。
蠕虫病毒的危害、影响和副作用
蠕虫病毒能造成破坏性结果,其传播带来的影响是多方面的。对于邮件服务器资源,它们抢占存储空间和连接数,很容易导致服务器拒绝服务;对于使用防病毒网关的用户,资源负载过大会出现邮件传输延迟,特别是当每个携带伪造信息的邮件,由于其无效的收收件人和发件人地址而每一循环至少会产生两个以上无法递送的邮件,从而使带宽消耗大幅增加。另一方面,合法的发件人地址将收到上千个邮件无法送达的通知。即使是蠕虫病毒已经被消除,大量的广告、垃圾邮件、欺骗邮件(这类邮件一种表面是提示防止病毒感染,实际则是激活病毒,另一种是病毒警告邮件,有时欺骗使用者删除重要文件并继续发送虚假报警信息)仍可能存活数月。
此外,蠕虫病毒的数据净荷也会产生重大影响并可能造成危害。例如,安装后门程序和特洛伊木马而威胁到某些工作站或服务器可造成一系列后果:转发垃圾邮件、执行远程代码、盗窃机密信息、引发服务器拒绝服务(DoS)、扫描和其他类型的哄骗攻击,以及建立代理连接来避免蠕虫病毒源被侦测到。
其它影响包括直接发起Dos拒绝服务攻击、致使工作站瘫痪、删除或修改硬盘上的文件,而有时仅仅是移动桌面图标来骚扰使用者。
蠕虫病毒的生成
制造蠕虫病毒背后的动机可能是寻求挑战刺激,想出名,搞破坏或进行诈骗。蠕虫病毒目前最可怕的方面是它易于生成,根本不需要实际的专业知识或编程经验。
蠕虫病毒可以用C语言、Delphi、高级VB或更先进的低级汇编编程来生成。甚至有成套工具和框架工具,例如VBSWG,可以简单地自动生成并传播病毒,加之一系列现成的模块可选择应用,如SMTP引擎、DoS、SynFlood和后门程序,还可提供不同的变种选择(变换模块、攻击地址、打包方式、编辑和定时),这样,由于可以通过向导定制生成蠕虫病毒而产生莫大威胁,因为病毒越来越复杂使得抗击病毒更加困难。
其它群发邮件病毒威胁
蠕虫病毒并不是目前对
垃圾邮件,从字面上说就是我们不希望在邮箱里看到的东西,经常携带危险内容。我们都会收到垃圾邮件,通常是商业广告、欺诈消息、虚假信息、诈骗信、技术错误、垃圾信息、发送失败信息,或是外国文字、字体、乱码及不可读信息。网络诱骗邮件是严重违法的。通过精心设计伪造成看似同实际运营
垃圾邮件和网络诱骗邮件与蠕虫病毒类似,但只是部分自动化,使用自动获取和邮件广播软件,主要集中在防护较弱的开放式转发服务器和一些不安全的具有较高带宽的网络。垃圾邮件发送者是收费广告服务的提供者,他们控制垃圾邮件服务器、扩展网络和傀儡主机并出售和获取地址列表。
按照网络定义,电子邮件是合法的,因此,消减垃圾邮件和网络诱骗邮件的威胁异常困难。开放式的转发服务器和开放式网络应该加强安全,而要对此类邮件进行侦测且让误操作降至最小程度则需要启发式程序。然而,创建垃圾
蠕虫病毒的防范
现有多种方法用于防范蠕虫病毒。考虑到病毒的复制方式,可通过两种基本方法进行拦截:在网关、
防病毒软件提供桌面/服务器级别的最基本的防护,用于修复被感染的
尽管防病毒程序可以修复已被感染的主机或邮箱,但是当由于病毒复制引起载荷增加则很容易发生拒绝服务的现象。而另一项可选解决方案,即基于网络的入侵防护系统,可提供更高的载荷容量并能在病毒因消耗过多资源引起拒绝服务之前停止病毒进程。但是这样的系统仅能提供对数据管道的保护,在修复已被病毒感染的电脑和阻止病毒在其他管道上的传播方面则无能为力。
因此,防治病毒的最佳解决方案就是通过SMTP服务器上的降低减轻基础架构,使用这种方案,当攻击者连接到SMTP服务器上传输蠕虫时,入侵防护系统将首先阻塞作过标记的信息包并重新启动SMTP服务器,这样SMTP服务器将丢掉已部分接收到的信息,
从而避免病毒存储而被后来连接的客户下载。这种方法需要二十四小时持续监测并了解蠕虫及各种可能的病毒,因为对于尽可能快地实施病毒防护而言,了解一种新病毒是所面临的一项主要问题。
DefensePro:Radware解决方案
DefensePro是Radware公司抵御群发邮件病毒威胁的解决方案。作为IPS入侵防护系统和防范DoS攻击解决方案,DefensePro提供了内置安全切换和高速、深入的信息包状态检测(应用Radware公司业内领先的StringMatchHardwareEngine?
DefensePro能以每秒3-Gigabits的超高速度一次拦截1400多种恶意攻击信号、潜在的蠕虫和病毒并阻挡应用程序级攻击。即时识别和消减协议和流量异常,DefensePro还可以防范DoS/DdoS攻击和SYN洪水,并将所有非法流量形式及黑客攻击拒之门外。
DefensePro对病毒攻击实行隔离,其通过动态的带宽管理防止攻击扩散到网络用户和网络资源中,同时确保所有安全流量的完整连贯及功能正常,预前控制攻击造成的影响并限制其危害程度。DefensePro将极高的处理能力和先进的应用程序安全服务相结合,确保高速/高容量环境里的关键业务应用。
总结
群发邮件蠕虫、垃圾邮件和网络诱骗邮件是当今网络中存在的主要威胁,其产生的巨大流量可以在区区数分钟内轻易阻塞网络。防范这些威胁的战略必须包括用户培训和提高用户警觉性、熟悉桌面防病毒规则、针对接收邮件的基于服务器的微创过滤。
垃圾邮件应该在服务器和ISP级别进行处理,而群发邮件蠕虫病毒需要在网络中加以控制,为了防范蠕虫病毒,必须了解网络流量模式并能区分正常和恶意流量。市面上有多种此类功能的辅助工具,分免费和商用产品,但是,从识别病毒到进而防范病毒,关键要以对SMTP服务器进行不间断的监控为基本前提。
Map,