第一個 24 小時的傳播：Samy 創下的紀錄 · XSS 蠕蟲 & 病毒

# 第一個 24 小時的傳播：Samy 創下的紀錄病毒或蠕蟲爆發的第一個 24 小時內，傳播速度最快，并導致造成最大的傷害。病毒和蠕蟲傳播使用各種不同的技術，各有自己的長處和局限性。全球網絡的反應的首要任務是先確定新的疫情，隔離源頭，捕捉違規的惡意軟件，確定感染方法和傳播模式，然后制定防御措施。讓我們回顧一些近幾年的大爆發，然后看看 Samy 蠕蟲是如何使他們黯然失色的。 ## Code Red I 和 Code Red II(紅色代碼) 2001 年 7 月 12 日 - “紅色代碼”利用了微軟的 IIS Web 服務的緩沖區溢出漏洞。紅色代碼（Code Red）在 24 小時通過隨機掃描其他受害者感染了超過 359,000 的電腦 15。幾個星期后（2001 年 8 月 4 日），紅色代碼 II，不同的但更先進的蠕蟲，利用相同的漏洞來感染 275,000 臺電腦 16。從許多變種的紅色代碼（Code Red）的 payload 分析，包含有網站涂改，種植后門，拒絕服務攻擊白宮網站。相關的預計恢復成本接近 26 億美元。 ## Slammer(地獄) 2003 年 1 月 25 日 - Slammer17，只有 376 字節大小，利用未打補丁的版本的 Microsoft SQL Server 中的一個緩沖區溢出漏洞傳播它自己在 UDP 端口 1434 上。受感染的主機會隨機掃描 IP 地址，并迅速蔓延到其他易受攻擊的主機 18。令人印象深刻的是，大多數 Slammer 的受害者（55,000 至 75,000）在爆發的第一個十分鐘內被感染 19。非常快的增長速度，造成了全球性的網絡中斷，影響了數百萬臺計算機，造成大約 10 億美元的損失。但是，閃電的增長速度所致的中斷阻礙了整體感染。在 24 小時之內，沖擊波在全球各地已經感染了 336,000 臺計算機。 ## Blaster(沖擊波) 2003 年 8 月 11 號 - “沖擊波”蠕蟲通過遠程過程調用（RPC）攻擊未打補丁的版本的 Microsoft Windows 的計算機而到來。一旦計算機被感染，該蠕蟲會打開一個 TFTP（簡單文件傳輸協議）命令其他受感染的機器下載 payload。在 24 小時之內，沖擊波在全球各地已經感染了 336,000 的計算機 20。一旦安裝就位，沖擊波修改系統啟動項，在啟動的時候運行自己并開始掃描互聯網其他易受感染的機器。