分节阅读 240（2/2）

利用邮件传播病毒或者木马，大多数的方式都是通过添加联系人的邮箱地址进行广泛送的办法，这种传播方式存在一定的概率性，也就是说，要让别人感染上你的病毒或者木马，那么这就要看接收邮件的用户安全意识强不强，如果用户的安全意识强，他们对这封带有病毒的邮件根本不打开就直接删除，你们的木马或者病毒是没有办法感染他的计算机系统的。

这种方式有点类似于大面。积撒网，收网的时候凭运气看看有多少鱼儿中招，所以用这种方式传播病毒具有很强的投机性。

况且，利用这种大面积传播邮件。的方式进行病毒传播很容易引起安全人员的注意，现如今的邮件服务器都安装有杀毒引擎，虽然萧云飞有自信这些杀毒软件是无法检测出“亚当”存在的威胁，但是这种传播途径确实容易引起相关人员的关注。

萧云飞舍弃了这种传播方式，。但是利用邮件传播“亚当”却是必要的手段，于是，萧云飞决定从邮件服务器本身入手。

如果让“亚当”潜伏在邮件服务器的内部系统，当彼。此熟悉的用户通过邮件服务器进行交流的时候，“亚当”就将自己伪装成邮件合法的内容，它在用户的邮件正文的最后加上这样一条信息：“对了，朋友，我最近制作了一段视频，你给我把把关，看看我制作得怎么样”

看出来了吗这段信息是不是很眼熟没错，就是消。息尾巴这种消息尾巴一般是通过即时通软件传播，比如“qq消息尾巴”，萧云飞只是将这种消息尾巴利用到了邮件内容上。

我们通过邮件服务器送邮件的时候，当我们。添加了附件之后，邮件服务器自身的杀毒引擎先会对这个附件内容进行扫描，如果现安全威胁，它会直接将这个带有危险因素的附件ass掉，如果在扫描的过程中它并未现安全威胁，它会认为这个附件是安全的，然后邮件服务器将这个被它认定为安全的附件送到目的邮箱。

邮件服务器自。身的杀毒引擎，这是病毒或者木马程序通过邮件传播要面对的第一道关卡。

通过这道关卡之后，病毒就直接面向邮件接收者了。如果是一个熟悉的朋友来的邮件，你的戒备心理肯定要降低很多，你起码有百分之八十以上的几率会将这个邮件附件下载下来，虽然你也有可能会产生怀疑，但是我们收到这样的邮件一般不会去向朋友求证，将附件内容don下来之后，有点安全意识的用户会对这个已经通过邮件服务器上杀毒引擎检测的附件再次扫描，确保它是安全文件之后才会打开它，如果安全意识淡薄或者根本就没有安全意识的用户可能直接就会打开这个附件了。

当然，附件内容就是经过伪装的“亚当”，而“亚当”的前性以及近乎完美的隐蔽性是现如今所有杀毒软件都无法检测的，利用邮件用户彼此熟悉的关系，传播病毒或者木马是一种极为便捷的方法。

不仅如此，萧云飞还把“亚当”伪装成邮件服务器合法数据的一部分，当处于两个不同的邮件服务器的用户进行交流，通过跨邮件服务器用户之间的连接，已经被“亚当”感染的邮件服务器将会成为它的另一个传播源头

萧云飞手中掌握的邮件服务器不少，他选择了几个传输协议不同的邮件服务器作为“亚当”的第一批传播源，利用邮件服务器，让其成为“亚当”传播的幕后推手，这就是利用邮件传播病毒的最高真谛

互联网上拥有庞大的即时通软件用户，如果全球即时通软件用户仅仅五分之一的计算机被“亚当”感染，那么这个数量也是极为庞大的，萧云飞自然不会放弃这个平台。

因为“亚当”本身就具有木马程序和蠕虫病毒的特点，所以萧云飞先就将它制作成了网马布到了自己注册的空间，然后他将这个网马地址给了大量的i用户，如果用户点击了“亚当”的链接，它就会传播给该用户i地址薄上的所有人，一个i用户成为一个传播源，这样的传播方式是裂变传播，而且它不仅仅是以等比数列进行传播，它是一传十，十传百，百传千的传播

当然，这种传播方式具有偶然性，这就是我前面讲到的大面积撒网的传播方式。萧云飞其实对这种偶然性并没有放在心上，毕竟“亚当”具有了“半智能”代码，它在传播过程中会逐渐改进自己的传播方式。

最后一种传播方式，也是传播木马程序常用的也是最有效的一种方式挂马

挂马的时候我们通常要考虑木马利用哪种漏洞进行传播，当然这些可以造成木马传播的漏洞最好是越新的漏洞越好，这样成功传播的概率就越大。

不过，萧云飞编写的“亚当”明显不需要考虑它该通过哪种漏洞进行传播，因为“亚当”能够顺利穿透现如今大多数主流的计算机操作系统。

“亚当”本身进行传播就是利用的计算机操作系统最新的、甚至根本没有公布的漏洞进行实体传播，所以，将它制作成网马本身就不必考虑它要攻击计算机操作系统的哪些已知漏洞。

萧云飞打算在主流软件供应商和一些搜索引擎的网站上挂上“亚当”。

很多主流软件供应商，以eteter为例，它们允许用户通过互联网自动更新他们的软件，通过自动下载最新布的修复程序和补丁，这种自动更新工具可以减少用户配置安全补丁所耽误的时间。

但是，程序允许自动更新的这个特征却好比一把双刃剑，有利的一面和不利的一面都存在，如果通过威胁厂商eb站点的安全性，迫使用户的请求被重定向到攻击者构建的服务器上，当用户尝试连接到软件厂商站点下载更新程序时，真正下载的程序却是攻击者的恶意程序。

利用这样的办法传播恶意代码和病毒，很多进行软件更新的用户在不知不觉中就已经被病毒感染了，当然，他们还处于完全不知情的状态。

萧云飞这样的一个想法让很多软件供应商遭殃了，不过他并没有采用重定向用户请求这种笨办法

萧云飞入侵了一些主流软件厂商的eb服务器，然后他将“亚当”嵌入到了软件更新平台上，这样一来，凡事软件厂商通过软件更新平台更新软件或者更新程序补丁的时候，“亚当”就会悄悄潜入最新布的软件程序中，当软件用户使用自动更新功能更新自己的程序时，“亚当”也会随授权的、安全的程序一起进驻到用户的计算机中。

这样的“劫持”传播，是一种生生不息的传播方式，当然，这先要保证病毒不被安全人员现。

“亚当”潜伏到计算机系统中是安静的、隐蔽的，它建立的隐蔽端口也是基于正常的网络服务端口，所以，就算使用sniffer测试所有的补丁，安全人员也不会现网络流量不正常等等状况。

毕竟，安全人员使用的那些招数，萧云飞早已经烂熟于心了，在编写“亚当”的时候，他就把这些安全检测的手段都考虑了进去。

主流软件供应商用于软件自动更新的eb站点被萧云飞劫持之后，他又开始了病毒的另一种传播方式。

利用全球流行的搜索引擎成为“亚当”的另一个传播途径