计算机病毒很容易引起我们的注意。一方面，病毒让我们知道自己是多么的脆弱，一个编写巧妙的病毒可以给全球的互联网带来巨大的影响；另一方面，它也让我们知道人类是多么地智慧，人与人之间的相互联系又是多么的紧密。

例如，专家估计Mydoom蠕虫在2004年1月的一天之内就感染了大约25万台计算机（时代在线）。回到1999年3月，梅丽莎病毒的强大威力甚至迫使微软（Microsoft）和其他一些大型公司在该病毒得到遏制之前完全关闭它们的电子邮件系统。2000年的“我爱你”病毒也带来了类似的灾难性后果。而当您发现梅丽莎和“我爱你”病毒都是如此简单之时，它们所带来的严重后果会给您留下更深刻的印象。

	计算机病毒知多少

在本文中，我们将探讨有关病毒（“传统”病毒和新型电子邮件病毒）的问题，以便让您了解病毒的工作原理以及如何防范病毒、保护自己。一般说来，现在病毒没有以前那么大的影响力了，但偶尔还是会有人找到制造病毒的新方法，而这正是他们制造新闻的手段。

如果您收听新闻，您可能知道电子感染有多种不同形式。下面是一些常见的：

• 病毒——病毒是寄生在正常程序中的一小段代码。例如，病毒可能将自己附属到电子表格之类的程序中。每次电子表格程序运行时，病毒也会跟着运行，这样它就有机会复制自己（通过附属到其他程序）或进行破坏。
• 电子邮件病毒——电子邮件病毒通过电子邮件进行传播，它一般通过向病毒受害者的电子邮件地址簿中的联系人发送电子邮件来复制自身。
• 蠕虫——蠕虫是利用计算机网络和安全漏洞来复制自身的一小段代码。蠕虫代码的副本可以扫描网络，以查找具有特定安全漏洞的另一台计算机。它可以利用该漏洞将自身复制到新的计算机中，然后又从新的位置开始进行复制。
• 特洛伊木马——特洛伊木马只是一个计算机程序。它声称可以执行某项任务（它可能声称自己是一种游戏），但当您运行它时，它却会进行一些破坏活动（它可能会擦除您硬盘上的数据）。特洛伊木马不会自动进行自我复制。

计算机病毒之所以被称为“病毒”，是因为它们同生物病毒有一些相似之处。计算机病毒从一台计算机传播到另一台计算机，就像生物病毒从一个人传播到另一个人身上。

此外，它们还有一些深层次的共同点。生物病毒并不是一种活的生命体。它们只是一小段DNA代码，外面包着一层保护性的外套。与细胞不同，这种病毒不能做任何事情或是进行自我复制，因为它不是活体。生物病毒必须先将其DNA注入细胞。然后，这种有毒的DNA利用细胞的现有机制进行自我复制。在一些情况下，细胞会一直吸收有毒的微粒，直到它爆裂并释放出病毒，而在另一些情况下，细胞中会生成新的病毒微粒，一次一个，而细胞仍然存活。

计算机病毒也有某些类似的特点。计算机病毒必须寄生到其他一些程序或文档中才能被执行。而一旦它处于运行状态，它就可以感染其他程序或文档。显而易见，计算机病毒和生物病毒的行为并不是完全相同，但它们也有着足够多的相似之处，所以才都被称为“病毒”。

什么是“蠕虫”？
蠕虫是一种计算机程序，它能够从一台计算机自行复制到另一台计算机。蠕虫一般通过计算机网络传播和感染其他计算机。利用网络，蠕虫可以迅速进行自我复制。例如，在2001年7月19日，红色代码蠕虫就在大约9个小时内复制了250,000多次。

蠕虫通常利用软件或操作系统中存在的某种安全漏洞。例如，Slammer蠕虫（曾于2003年1月造成混乱局面）利用了Microsoft SQL服务器的漏洞。这篇文章可以帮助您了解这个小型的Slammer程序（376个字节）。

蠕虫在自我复制时会耗尽计算机时间和网络带宽，而且通常是一些有害的蓄意行为。2001年，红色代码蠕虫就曾造成巨大影响。专家曾预测，这种蠕虫阻塞互联网的严重程度能够使网络逐渐陷于瘫痪状态。

红色代码蠕虫在开始复制时的确会阻塞互联网的流量，但并不像预测的那么严重。这种蠕虫的每个副本都会扫描互联网，查找没有安装Microsoft安全修补程序的WindowsNT或Windows2000服务器。当它找到不安全的服务器时，就会把自身复制到那里。然后，新的副本接着扫描网络，以查找其他可以感染的服务器。取决于不安全服务器的数量，蠕虫可以制造出数以万计的副本。

红色代码蠕虫的目的是做三件事：

• 在每个月的头20天进行自我复制。
• 把被感染服务器上的网页内容篡改成带有“Hacked by Chinese”字样的页面。
• 对白宫的Web服务器发动一次集中攻击，试图控制该服务器。

最常见的红色代码是原始Ida Code Red（2001年7月19日爆发）的一个变体，通常被称为变种。根据美国国家基础设施保护中心（NIPC）的资料：

首先由eEye Digital Security报告发现的Ida Code Red蠕虫利用了Microsoft IIS Internet服务器应用程序编程接口（ISAPI）服务的众所周知的脆弱性。未安装修补程序的系统很容易受到Idq.dll的“缓冲区溢出”的影响，从而让攻击者能够在受感染系统中运行嵌入代码。这种驻留在内存中的蠕虫一旦在系统中被激活，会首先尝试创建一系列随机IP地址来感染未受保护的Web服务器，从而传播自己。然后，每个蠕虫线程都会检查受感染计算机的时钟。NIPC确定Ida Code Red蠕虫的DOS执行的触发器时间是格林尼治标准时间的2001年7月20日0时，也就是美国东部时间的晚上8:00。

在成功感染计算机后，这种蠕虫会在指定的时间连接到域www.whitehouse.gov。这种攻击全部由受感染系统发起，它们同时向 www.whitehouse.gov（198.137.240.91）的80端口发送100次连接。

美国政府更改了www.whitehouse.gov的IP地址，从而绕过了Ida Code Red蠕虫的攻击，并向公众发出了Ida Code Red蠕虫警报，建议WindowsNT或Windows2000的Web服务器的用户务必安装安全补丁程序。