世界流行的病毒

流行病毒介绍
一． “尼姆达”（Nimda）病毒简介
“尼姆达” 病毒2001年9月18日在全球蔓延，是一个传播性非常强的黑客病毒。它以邮件传播、主动攻击服务器、即时通讯工具传播、FTP协议传播、网页浏览传播为主要的传播手段。它能够通过多种传播渠道进行传染，传染性极强。对于个人用户的PC机，“尼姆达”可以通过邮件、网上即时通讯工具和“FTP程序”同时进行传染；对于服务器，“尼姆达”则采用和“红色代码”病毒相似的途径，即攻击微软服务器程序的漏洞进行传播。由于该病毒在自身传染的过程中占用大量的网络带宽和计算机的内部资源，因此许多企业的网络现在受到很大的影响，有的甚至已经瘫痪，就个人使用的PC机来说，速度也会有明显的下降。
二． 尼姆达”（Nimda）新变种病毒简介
“尼姆达”新变种命名为WormConcept118784。其特点是在病毒源代码中有一段说明：Concept Virus(CV)V6,Copyright(C)2001,(This's CV,No Nimda)。（意思是：这是概念病毒，不是尼姆达病毒。）它在尼姆达病（WormConcept57344）上做的改动有：
l 附件名从Readmeexe改为Sampleexe；
l 感染IIS系统时生成的文件从Admindll改为>一、简介
这一部分内容将详细讨论email头的方方面面。主要为用户架设邮件服务器提供理论基础并为管理员在出现电子邮件垃圾骚扰时提供发现垃圾邮件的真正源头。根据邮件头的知识有助于发现伪造的邮件。对于希望了解邮件是如何在网络中传输的用户同样会有帮助。
虽然在讨论中尽量有意避免如何伪造一封邮件的讨论，但是在讨论中的内容可能被恶意读者用作创建伪造邮件的基础。因为要在文章中举例说明，因此在文章中有若干虚构的域名和随意分配的IP地址作为示例使用。这些域名和IP都是任意任意选择和伪造的，和Internet上真实的域名和IP没有任何关系。
二、Email的传输过程
这部分包含一个简单的对一个电子邮件生命周期的分析。这对于理解邮件头能为你提供哪些信息是非常重要的背景信息。
从表面上看来邮件似乎是直接从发送者机器传递到接收者地址，但通常情况下事情并不是这样。一个典型的电子邮件在其生命周期中至少要经过四台计算机。
这是因为大多数企业或组织都有一个被称为“邮件服务器”专用服务器来处理电子邮件，而这一般并不是用户阅读邮件的计算机。对于ISP来说，用户从家里面的计算机拨号接入ISP网络，这里将用户家中的计算机称为客户机，而将ISP专门处理邮件的计算机称为邮件服务器。当一个用户发送邮件，他一般是在自己的计算机上编辑邮件，然后将邮件发送到ISP的邮件服务器上。客户机就此已经完成了自己的工作，而后面的工作则由ISP的邮件服务器来完成。首先ISP邮件服务器查找接收者指定的邮件服务器的IP地址，然后将邮件发送给该目的服务器。现在邮件则存储在接收者邮件服务器上等待接收者收取。当接收者从接受邮件服务器取得发送给他的邮件到自己的PC机以后，通常该邮件将被删除。
假设若干个虚构的用户和。demo是263这个ISP的拨号用户。使用outook express这个邮件客户程序收发邮件。lisi是中科院的一个虚构用户，他使用工作站通过单位局域网连接进入互联网。
如果lisi想给lili发送邮件，他在工作站(假设名字为lilialphacomcn)上编辑邮件，编辑好的信件从工作站发送到中科院的邮件服务器：mailalphacomcn。一旦信件被发送到mailalphacomcn，以后的信件发送过程就和lisi没有关系了。中科院的邮件服务器发现这是发送给263net的某个用户的信件，则和263的邮件服务器－比如说是mail263net－通信，并将邮件传送给它。现在邮件则被存储在mail263net 之上直到lili在自己的PC机上拨号连接到263网络察看并收取信件，这时mail263net将存储的邮件传送到lili的个人PC机上。
在这个过程中，邮件头将三次被加到邮件中：在编辑时由邮件客户程序加入；当邮件传输到mailalphacomcn时被mailalphacomcn加入；当从mailalphacomcn传送到mail263net时被mail263net加入；通常来说客户收取信件时并不添加邮件头。下面我们就仔细看看这些邮件头是如何产生的。
当lisi的邮件客户程序编辑邮件并将其发送给mailalphacomcn时，邮件内容如下。这些内容都是由始�嗉�绦outlook express)添加的：
From: lili@sinacom (Li Si)
To: demo@hotmail
Date: Tue, Mar 18 1997 14:36:14 PST
X-Mailer: Outlook Express 55
Subject: 明天放假？
当邮件从mailalphacomcn传送到mail263net后，邮件内容变为(新添加的内容是由mailalphacomcn)：
Received: from lilialphacomcn (lilialphacomcn [124211311]) by mailalphacomcn (885) id 004A21; Tue, Mar 18 1997 14:36:17 -0800 (PST)
From: lili@sinacom (Li Si)
To: demo@hotmail
Date: Tue, Mar 18 1997 14:36:14 PST
Message-Id:
X-Mailer: Outlook Express 55
Subject: 明天放假
当mail263net收到信件并存储等待lili收取时，邮件内容变为，(新添加的内容是由mail263com添加的)：
Received: from mailalphacomcn (mailalphacomcn [124211378]) by mail263net (885/872) with ESMTP id LAA20869 for ; Tue, 18 Mar 1997 14:39:24 -0800 (PST)

cisco 日志，只记录事件。至于 *** 作和登录，你需要配置起tacacs服务器（或acs服务器），然后在交换机配置AAA，给个7609的配置例子：
tacacs-server host 1112222111
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no-tacacs local
aaa authentication login no-password none
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ if-authenticated
aaa authorization commands 1 default group tacacs+ if-authenticated
aaa authorization commands 15 default group tacacs+ if-authenticated
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
其中留意上面的command，cisco是通过tacacs对命令鉴权，才可以记录命令，还有，aaa只能起tacacs，radius是不支持命令鉴权的。

---