危害网络安全的群发邮件蠕虫病毒

邮件服务器协议的重要性

蠕虫病毒或群发邮件病毒以简单邮件传输协议(SMTP)为基础，通过互联网在邮件服务器之间复制传播，SMTP协议的重要性十分明显，就传播范围而言，阻止病毒扩散的最佳最便捷的位置就在于通过SMTP进行的服务器之间的通信。

SMTP是一个简单的、标准化的、基本的且公开执行的纯文本协议，它从20世纪70年代起便已开始应用，一般用于发送邮件。它使用RFC2821文本协议和Base64附件传输协议，后者可以将二进制数据转换为ASCII可打印字符，并实现了对可执行文件及图片或文档的编码。

SMTP使用TCP25端口为所有的组织提供非常有价值的服务，是一个互联网上的开放式协议。然而，由于它不需认证或加密，使得它非常容易被伪造，致使蠕虫病毒可以始终使用同一种逃避技术。

其他的基于互联网的邮件传输协议包括POP3（用于将邮件从服务器下载到客户端的文本协议）、IMAP4（比POP3更先进的一种协议），MAPI（一种交换协议，用于服务器与客户端的通信交换）和X400（一种很少用到的服务器间邮件传输协议）。

识别进而防止蠕虫病毒感染的关键是要以对SMTP服务器进行不间断的监测为基本前提。基于SMTP服务器的Map、Monitor、Alert和Rectify都是防止病毒感染的关键命令。

蠕虫病毒的危害、影响和副作用

蠕虫病毒能造成破坏性结果，其传播带来的影响是多方面的。对于邮件服务器资源，它们抢占存储空间和连接数，很容易导致服务器拒绝服务；对于使用防病毒网关的用户，资源负载过大会出现邮件传输延迟，特别是当每个携带伪造信息的邮件，由于其无效的收收件人和发件人地址而每一循环至少会产生两个以上无法递送的邮件，从而使带宽消耗大幅增加。另一方面，合法的发件人地址将收到上千个邮件无法送达的通知。即使是蠕虫病毒已经被消除，大量的广告、垃圾邮件、欺骗邮件（这类邮件一种表面是提示防止病毒感染，实际则是激活病毒，另一种是病毒警告邮件，有时欺骗使用者删除重要文件并继续发送虚假报警信息）仍可能存活数月。

此外，蠕虫病毒的数据净荷也会产生重大影响并可能造成危害。例如，安装后门程序和特洛伊木马而威胁到某些工作站或服务器可造成一系列后果：转发垃圾邮件、执行远程代码、盗窃机密信息、引发服务器拒绝服务(DoS)、扫描和其他类型的哄骗攻击，以及建立代理连接来避免蠕虫病毒源被侦测到。

其它影响包括直接发起Dos拒绝服务攻击、致使工作站瘫痪、删除或修改硬盘上的文件，而有时仅仅是移动桌面图标来骚扰使用者。

蠕虫病毒的生成

制造蠕虫病毒背后的动机可能是寻求挑战刺激，想出名，搞破坏或进行诈骗。蠕虫病毒目前最可怕的方面是它易于生成，根本不需要实际的专业知识或编程经验。

蠕虫病毒可以用C语言、Delphi、高级VB或更先进的低级汇编编程来生成。甚至有成套工具和框架工具，例如VBSWG，可以简单地自动生成并传播病毒，加之一系列现成的模块可选择应用，如SMTP引擎、DoS、SynFlood和后门程序，还可提供不同的变种选择（变换模块、攻击地址、打包方式、编辑和定时），这样，由于可以通过向导定制生成蠕虫病毒而产生莫大威胁，因为病毒越来越复杂使得抗击病毒更加困难。

其它群发邮件病毒威胁

蠕虫病毒并不是目前对计算机安全唯一的威胁。垃圾邮件和网络诱骗邮件同样也是群发邮件病毒的代表，而不能和蠕虫病毒混为一谈。

垃圾邮件，从字面上说就是我们不希望在邮箱里看到的东西，经常携带危险内容。我们都会收到垃圾邮件，通常是商业广告、欺诈消息、虚假信息、诈骗信、技术错误、垃圾信息、发送失败信息，或是外国文字、字体、乱码及不可读信息。网络诱骗邮件是严重违法的。通过精心设计伪造成看似同实际运营网站一样的HTML网络诱骗邮件，引诱人们进入圈套从而泄露重要的敏感信息，如信用卡号、注册用户名或密码。

垃圾邮件和网络诱骗邮件与蠕虫病毒类似，但只是部分自动化，使用自动获取和邮件广播软件，主要集中在防护较弱的开放式转发服务器和一些不安全的具有较高带宽的网络。垃圾邮件发送者是收费广告服务的提供者，他们控制垃圾邮件服务器、扩展网络和傀儡主机并出售和获取地址列表。

按照网络定义，电子邮件是合法的，因此，消减垃圾邮件和网络诱骗邮件的威胁异常困难。开放式的转发服务器和开放式网络应该加强安全，而要对此类邮件进行侦测且让误操作降至最小程度则需要启发式程序。然而，创建垃圾文件夹、接受地址列表和实行全面过滤经常导致误操作，需要耗费宝贵的人力时间并承担丢失重要邮件的风险。