第一个 24 小时的传播:Samy 创下的纪录
病毒或蠕虫爆发的第一个 24 小时内,传播速度最快,并导致造成最大的伤害。病毒和蠕虫传播使用各种不同的 技术,各有自己的长处和局限性。全球网络的反应的首要任务是先确定新的疫情,隔离源头,捕捉违规的恶意软件, 确定感染方法和传播模式,然后制定防御措施。让我们回顾一些近几年的大爆发,然后看看 Samy 蠕虫是如何使他们 黯然失色的。
Code Red I 和 Code Red II(红色代码)
2001 年 7 月 12 日 - “红色代码”利用了微软的 IIS Web 服务的缓冲区溢出漏洞。红色代码(Code Red)在 24 小 时通过随机扫描其他受害者感染了超过 359,000 的电脑 15。几个星期后(2001 年 8 月 4 日),红色代码 II,不同的但 更先进的蠕虫,利用相同的漏洞来感染 275,000 台电脑 16。从许多变种的红色代码(Code Red)的 payload 分析,包含有网站涂改,种植后门,拒绝服务攻击白宫网站。相关的预计恢复成本接近 26 亿美元。
Slammer(地狱)
2003 年 1 月 25 日 - Slammer17,只有 376 字节大小,利用未打补丁的版本的 Microsoft SQL Server 中的一个缓冲 区溢出漏洞传播它自己在 UDP 端口 1434 上。受感染的主机会随机扫描 IP 地址,并迅速蔓延到其他易受攻击的主机 18。令人印象深刻的是,大多数 Slammer 的受害者(55,000 至 75,000)在爆发的第一个十分钟内被感染 19。非常快 的增长速度,造成了全球性的网络中断,影响了数百万台计算机,造成大约 10 亿美元的损失。但是,闪电的增长速度所致的中断阻碍了整体感染。在 24 小时之内,冲击波在全球各地已经感染了 336,000 台计算机。
Blaster(冲击波)
2003 年 8 月 11 号 - “冲击波”蠕虫通过远程过程调用(RPC)攻击未打补丁的版本的 Microsoft Windows 的计算 机而到来。一旦计算机被感染,该蠕虫会打开一个 TFTP(简单文件传输协议)命令其他受感染的机器下载 payload。 在 24 小时之内,冲击波在全球各地已经感染了 336,000 的计算机 20。一旦安装就位,冲击波修改系统启动项,在启 动的时候运行自己并开始扫描互联网其他易受感染的机器。