1、红色代码(2001)
2001年7月的某天,全球的IDS几乎同时报告遭到不名蠕虫攻击。信息安全组织和专业人士纷纷迅速行动起来,使用蜜罐(honeypots)技术从因特网上捕获数据包进行分析,最终发现这是一利用微软IIS缓冲溢出漏洞进行感染的变种蠕虫。其实这一安全漏洞早在一个月以前就已经被eEye Digital Security发现,微软也发布了相应的补丁程序,但是却很少有组织和企业的网络引起了足够的重视,下载并安装了该补丁。
在红色代码首次爆发的短短9个小时内,这一小小蠕虫以速不掩耳之势迅速感染了250,000台服务器,其速度和深入范围之广也迅速引起了全球媒体的注意。最初发现的红色代码蠕虫还只是篡改英文站点的主页,显示“Welcome to http://www.worm.com! Hacked by Chinese!”等信息。但是随后的红色代码蠕虫便如同洪水般在互联网上泛滥,发动DoS(拒绝服务)攻击以及格式化目标系统硬盘,并会在每月20日~28日对白宫的WWW站点的IP地址发动DoS攻击,使白宫的WWW站点不得不全部更改自己的IP地址。之后,红色代码又不断的变种,其破坏力也更强,在红色代码II肆虐时,有近2万服务器/500万网站被感染。红色代码就是凭着这样过硬的"本领",在我们的1997至2002年网络攻击之最的民意调查中与Nimda以占选票 44%的绝对优势位居榜首。
同"红色代码"一样,"尼姆达"也是通过网络对Windows操作系统进行感染的一种蠕虫型病毒。但是它与以前所有的网络蠕虫的最大不同之处在于,"尼姆达"通过多种不同的途径进行传播,而且感染多种Windows操作系统。"红色代码"只能够利用IIS的漏洞来感染系统,而"尼姆达"则利用了至少四种微软产品的漏洞来进行传播:在 IIS 中的缺陷;浏览器的JavaScript缺陷;利用 Outlook 电子邮件客户端的一个安全缺陷乱发邮件;利用硬盘共享的一个缺陷,将guest用户击活并非法提升为管理员。在一个系统遭到感染后,Nimda又会立即寻找突破口,迅速感染周边的系统,并站用大部分的网络带宽。
5.远程控制特洛伊木马后门(1998-2000)
在1998年7月,黑客 Cult of the Dead Cow(cDc)推出的强大后门制造工具 Back Orifice(或称BO)使庞大的网络系统轻而易举地陷入了瘫痪之中。安装BO主要目的是:黑客通过网络远程入侵并控制受攻击的Win95系统,从而使受侵机器“言听计从”。BO以多功能、代码简洁而著称,并且由于BO操作简单,只要简单地点击鼠标即可,即使最不熟练的黑客也可以成功地引诱用户安装Back Orifice 。只要用户一安装了Back Orifice,黑客几乎就可以为所欲为了,像非法访问敏感信息,修改和删除数据,甚至改变系统配置。