“亚当”既然已经完成,萧云飞就要让它在网络上进行传播了!
传播病毒或者木马的方式是多种多样的,邮件传播、im传播、插入式传播、bt挂马、网站挂马……
只有你想不到的,没有别人做不到的!只要你的思维够开阔,你可以想到很多方式传播自己的病毒或者木马。
萧云飞打算用三种方式传播“亚当”,邮件、im、网站挂马,虽然这几种方式是传播病毒或者木马的主流方式,但是萧云飞对这几种传播方式有着更为深层次的理解。
利用邮件传播病毒或者木马,大多数的方式都是通过添加联系人的邮箱地址进行广泛发送的办法,这种传播方式存在一定的概率性,也就是说,要让别人感染上你的病毒或者木马,那么这就要看接收邮件的用户安全意识强不强,如果用户的安全意识强,他们对这封带有病毒的邮件根本不打开就直接删除,你们的木马或者病毒是没有办法感染他的计算机系统的。
这种方式有点类似于大面积撒网,收网的时候凭运气看看有多少鱼儿中招,所以用这种方式传播病毒具有很强的投机性。
况且,利用这种大面积传播邮件的方式进行病毒传播很容易引起安全人员的注意,现如今的邮件服务器都安装有杀毒引擎,虽然萧云飞有自信这些杀毒软件是无法检测出“亚当”存在的威胁,但是这种传播途径确实容易引起相关人员的关注。
萧云飞舍弃了这种传播方式,但是利用邮件传播“亚当”却是必要的手段,于是,萧云飞决定从邮件服务器本身入手。
如果让“亚当”潜伏在邮件服务器的内部系统,当彼此熟悉的用户通过邮件服务器进行交流的时候,“亚当”就将自己伪装成邮件合法的内容,它在用户的邮件正文的最后加上这样一条信息:“对了,朋友,我最近制作了一段视频,你给我把把关,看看我制作得怎么样?”
看出来了吗?这段信息是不是很眼熟?没错,就是消息尾巴!这种消息尾巴一般是通过即时通软件传播,比如“qq消息尾巴”,萧云飞只是将这种消息尾巴利用到了邮件内容上。
我们通过邮件服务器发送邮件的时候,当我们添加了附件之后,邮件服务器自身的杀毒引擎首先会对这个附件内容进行扫描,如果发现安全威胁,它会直接将这个带有危险因素的附件pass掉,如果在扫描的过程中它并未发现安全威胁,它会认为这个附件是安全的,然后邮件服务器将这个被它认定为安全的附件发送到目的邮箱。
邮件服务器自身的杀毒引擎,这是病毒或者木马程序通过邮件传播要面对的第一道关卡。
通过这道关卡之后,病毒就直接面向邮件接收者了。如果是一个熟悉的朋友发来的邮件,你的戒备心理肯定要降低很多,你起码有百分之八十以上的几率会将这个邮件附件下载下来,虽然你也有可能会产生怀疑,但是我们收到这样的邮件一般不会去向朋友求证,将附件内容down下来之后,有点安全意识的用户会对这个已经通过邮件服务器上杀毒引擎检测的附件再次扫描,确保它是安全文件之后才会打开它,如果安全意识淡薄或者根本就没有安全意识的用户可能直接就会打开这个附件了。
当然,附件内容就是经过伪装的“亚当”,而“亚当”的超前性以及近乎完美的隐蔽性是现如今所有杀毒软件都无法检测的,利用邮件用户彼此熟悉的关系,传播病毒或者木马是一种极为便捷的方法。
不仅如此,萧云飞还把“亚当”伪装成邮件服务器合法数据的一部分,当处于两个不同的邮件服务器的用户进行交流,通过跨邮件服务器用户之间的连接,已经被“亚当”感染的邮件服务器将会成为它的另一个传播源头!
萧云飞手中掌握的邮件服务器不少,他选择了几个传输协议不同的邮件服务器作为“亚当”的第一批传播源,利用邮件服务器,让其成为“亚当”传播的幕后推手,这就是利用邮件传播病毒的最高真谛!
互联网上拥有庞大的即时通软件用户,如果全球即时通软件用户仅仅五分之一的计算机被“亚当”感染,那么这个数量也是极为庞大的,萧云飞自然不会放弃这个平台。
因为“亚当”本身就具有木马程序和蠕虫病毒的特点,所以萧云飞首先就将它制作成了网马发布到了自己注册的空间,然后他将这个网马地址发给了大量的im用户,如果用户点击了“亚当”的链接,它就会传播给该用户im地址薄上的所有人,一个im用户成为一个传播源,这样的传播方式是裂变传播,而且它不仅仅是以等比数列进行传播,它是一传十,十传百,百传千的传播!
当然,这种传播方式具有偶然性,这就是我前面讲到的大面积撒网的传播方式。萧云飞其实对这种偶然性并没有放在心上,毕竟“亚当”具有了“半智能”代码,它在传播过程中会逐渐改进自己的传播方式。
最后一种传播方式,也是传播木马程序常用的也是最有效的一种方式——挂马!
挂马的时候我们通常要考虑木马利用哪种漏洞进行传播,当然这些可以造成木马传播的漏洞最好是越新的漏洞越好,这样成功传播的概率就越大。
不过,萧云飞编写的“亚当”明显不需要考虑它该通过哪种漏洞进行传播,因为“亚当”能够顺利穿透现如今大多数主流的计算机操作系统。
“亚当”本身进行传播就是利用的计算机操作系统最新的、甚至根本没有公布的漏洞进行实体传播,所以,将它制作成网马本身就不必考虑它要攻击计算机操作系统的哪些已知漏洞。
萧云飞打算在主流软件供应商和一些搜索引擎的网站上挂上“亚当”。
很多主流软件供应商,以microsoft和appleputer为例,它们允许用户通过互联网自动更新他们的软件,通过自动下载最新发布的修复程序和补丁,这种自动更新工具可以减少用户配置安全补丁所耽误的时间。
但是,程序允许自动更新的这个特征却好比一把双刃剑,有利的一面和不利的一面都存在,如果通过威胁厂商web站点的安全性,迫使用户的请求被重定向到攻击者构建的服务器上,当用户尝试连接到软件厂商站点下载更新程序时,真正下载的程序却是攻击者的恶意程序。
利用这样的办法传播恶意代码和病毒,很多进行软件更新的用户在不知不觉中就已经被病毒感染了,当然,他们还处于完全不知情的状态。
萧云飞这样的一个想法让很多软件供应商遭殃了,不过他并没有采用重定向用户请求这种笨办法!
萧云飞入侵了一些主流软件厂商的web服务器,然后他将“亚当”嵌入到了软件更新平台上,这样一来,凡事软件厂商通过软件更新平台更新软件或者更新程序补丁的时候,“亚当”就会悄悄潜入最新发布的软件程序中,当软件用户使用自动更新功能更新自己的程序时,“亚当”也会随授权的、安全的程序一起进驻到用户的计算机中。
这样的“劫持”传播,是一种生生不息的传播方式,当然,这首先要保证病毒不被安全人员发现。
“亚当”潜伏到计算机系统中是安静的、隐蔽的,它建立的隐蔽端口也是基于正常的网络服务端口,所以,就算使用sniffer测试所有的补丁,安全人员也不会发现网络流量不正常等等状况。
毕竟,安全人员使用的那些招数,萧云飞早已经烂熟于心了,在编写“亚当”的时候,他就把这些安全检测的手段都考虑了进去。
主流软件供应商用于软件自动更新的web站点被萧云飞劫持之后,他又开始了病毒的另一种传播方式。
利用全球流行的搜索引擎成为“亚当”的另一个传播途径。
如果在搜索引擎上挂马或者传播病毒,就算短短的一分钟,感染的计算机数量那也是极为恐怖的!
其实也可以通过重定向搜索引擎网站的dns服务器,将搜索引擎的dns服务器指向自己掌控的dns服务器,而这个指向的dns服务器挂上自己的木马、嵌入自己的病毒或者恶意代码,如果有用户访问搜索引擎网站,他打开的却是已经被重定向的dns服务器了,而插入在这个服务器中的木马或者病毒就会悄悄下载到访问者的计算机中。
当然,这是理想化的状态。
就拿前几天吵得沸沸扬扬的百度被黑事件,造成这样的情况域名被盗取或劫持的可能性相当大,当用户在访问百度的时候,他们就被定向到一个攻击者指定的页面,如果这个被定向的页面被插入了木马或者病毒,那么它造成的破坏力就不容小觑!
然而,当被劫持的服务器访问的人数过于庞大时,攻击者定向的服务器根本就不能承受庞大的请求数量,所以,这就会造成访问失败的情况,那么就算攻击者指定的页面中插入了木马或者病毒,它自然也不能下载到访问的计算机系统中去。
所以,这种传播病毒的方式萧云飞自然不会去做,他只是打算在提供搜索服务的其中一台计算机上种下“亚当”就达到目的了,因为“亚当”的智能化,它就会对群组中其他计算机进行渗透。
以google为例,它建立初期是用无数台廉价计算机组成一个群来提供用户的搜索信息,现如今google用于提供搜索信息的服务器也是由几十万甚至百万台服务器(其实有人传言,他们还是使用的廉价计算机)组成的多个群组。