摘　要　研究了传统的病毒、黑客和新型的网络威胁，并举例详细分析了新型的混合型网络威胁的行为特征，针对这些研究，提出了一些独到的见解和建议。
　　关键词　病毒　黑客　混合型威胁
　　总是听说某人机器感染病毒，总是听说某某网络莫名其妙的瘫痪。究竟是什么在威胁我们的生活和生产呢？有的人可能会说主要是“病毒”，也有的人可能会说厉害的是“黑客”。根据一家网络安全业界权威公司发布的《全球互联网安全威胁报告》，读者可以从其中的数据得到准确答案，即当今网络世界的头号威胁是同时具备“病毒 黑客”特征的“混合型威胁（Blended Threats ）”，因为这类威胁占了全球所有安全事件的54％甚至更多。
1　病毒、黑客和混合型威胁
　　病毒，简单来讲，就是一种可执行的精练的小程序，和生物界的病毒类似，会寻找寄主将自身附着到寄主身上实现传播，例如把自己的病毒代码插入到一个用户文件中，当用户传递此文件时就不知情的将病毒传播出去了，传播到一个新的目标时，病毒执行恶作剧活动或采取毁坏程序、删除文件甚至重新格式化硬盘的破坏行为。病毒包括文件型、引导型、多态型、隐藏型、宏病毒、特洛伊木马、蠕虫等等。除了蠕虫以外，其余类型的病毒都或多或少需要人为的无意操作帮助它完成传播过程。蠕虫，则有些不同，它不必借助任何人为操作，只要有可传播途径和可传播目标，它就可以自行完成传播过程，例如有网络相连且目标机有一个允许写入的共享目录，那么蠕虫就可以轻松自如进入。但是，如果目标机没有开放的资源，蠕虫就无法进入了，因为蠕虫不具备突破系统安全限制的能力。
　　黑客，可能是一个精通操作系统、网络协议、程序编写等各方面技术的计算机高手，也可能是一个会收集和使用黑客工具的计算机爱好者。通常的黑客行为是由一个黑客针对某一个或一些目标系统发起的信息收集、查找漏洞、攻击漏洞、控制目标机、完成目的行为、留下后门、清除攻击痕迹、离开目标系统等一系列的人为操作。因此，黑客行为和病毒行为相比，其特点是攻击行为更高级、更复杂、但一般不能自动完成全过程，基本上是手工攻击行为。这也是遭遇过病毒的机器数量远远多于遭遇过黑客攻击的机器数量的原因。
　　综上所述，病毒小而精练，有自我复制的特点，特别是蠕虫具备自动快速蔓延的能力，但是，病毒无法突破基本的系统防御；而黑客攻击具备了发现漏洞、突破漏洞的能力，但是相对而言黑客攻击无法自动、快速、广泛的执行。
　　2001年7月，红色代码（Code Red）的出现，震撼了整个Internet世界， 不仅仅因为它给广大Internet用户造成了非常巨大的直接经济损失，更可怕的是它将传统病毒原理和传统黑客攻击原理巧妙的结合在一起，将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起，开创了一类新型网络威胁模式———混合型威胁（Blended Threats），标志了网络威胁发展的新方向。在红色代码（Code Red）的启发和指引下，近几年持续不断出现各种破坏能力强大的混合型威胁，例如尼姆达（Nimda）、求职信（Klez）、蠕虫王（SQLexp）、妖怪（Bugbear）、 无极大（So?鄄big）、爱情后门（Lovgate）、恶鹰（Beagle）、冲击波（Blaster）、网络天空（Netsky）等等，而这些混合型威胁正是近几年广大网络用户苦苦抗击的主要敌人。
2　剖析混合型威胁
　　让我们以近2年来破坏性最大的混合型威胁———冲击波（Blaster）为例，详细的分析一下混合型威胁的攻击原理和破坏行为，只有知彼知己才能更有效的防范和抗击混合型威胁。
　　冲击波（Blaster）于2003年8月11日爆发，几个小时内，全球有报告的就有超过60万台计算机被感染，大量企业和机构系统和网络瘫痪无法正常工作，全球总损失超过10亿美元。某一台机器一旦感染冲击波（Blaster）就会立刻释放攻击负载，冲击波的攻击负载包括了一系列智能自动的攻击和传播方式。
　　（1）修改注册表，新增下列值：
　　“windows auto update”=“msblast.exe”
　　加入注册键：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　因此，当您启动 Windows 时，蠕虫都会执行。
　　（２）计算出一个 IP 地址然后试图感染拥有此地址的计算机。IP 地址的算法是先按一定规律计算出IP地址网段，即IP地址：A.B.C.D 的前３位，然后对于D位采取从0～254一个不漏的递增。
　　（３）在 TCP 端口 135 上发送攻击 DCOM RPC 漏洞的数据。这样就造成：
　　·本地子网将充斥着端口 135 请求，网络带宽极大消耗。
　　·由于蠕虫构造漏洞数据的方式具有随机性，因此如果它发送了不正确的数据，可能导致计算机崩溃。
　　·如果 RPC 服务崩溃，Windows XP 和 Windows Server 2003 下的默认过程是重新启动计算机。
　　（４）使用 Cmd.exe 创建隐藏的远程 shell 进程，该进程将侦听 TCP 端口 4444，从而允许攻击者在受感染系统上发出远程命令。
　　（５）侦听 UDP 端口 69。当蠕虫收到来自它能够利用 DCOM RPC 漏洞进行连接的计算机的请求时，会向该计算机复制 msblast.exe，并指示该计算机执行攻击动作。
　　（６）如果当前日期是１～８月份的 16 日到月底之间，或者当前月份是９～１２月，蠕虫将试图对 Windows Update 执行 DoS 攻击。
　　从冲击波（Blaster）的分析中，我们可以看到感染冲击波的系统，不仅被修改了注册表、被遗留了后门，而且按条件发起DOS攻击，更有甚者它又成为新的传播平台开始继续搜寻地址、突破漏洞、感染周边的系统，造成冲击波的破坏性迅速以指数形式扩散。
　　另有一些EMAIL类的混合型威胁，如熊熊虫（Bugbear），一旦感染了熊熊虫，它首先也是修改注册表让自己能每次被运行，同时，它也开了一个后门，有待将来攻击者进行远程操作。特殊的就是它能在本系统里各种文件中收集EMAIL地址，接着使用自带的SMTP引擎，以伪装后的发件人给所有EMAIL地址发送带攻击性附件的EMAIL，收到该EMAIL的用户的系统如果存在漏洞就会自动开始执行这危险的附件，从而再占领本机并以本机为平台继续往外发邮件，这样实现快速的传播蔓延。最具有黑客特色的是，熊熊虫带了一个有1000多银行域名的列表，如果它确认本地系统的默认电子邮箱属于某个银行，它会使用自带的键盘记录工具记录用户的键盘输入，不仅发送键盘记录文件，熊熊虫还会把缓存中的拨号网络密码寄到其开发者的EMAIL地址去。无极大（Sobig）、爱情后门（Lovgate）、网络天空（Netsky）都是E?鄄MAIL类的混合型威胁。

昵称：