【每日一步】电子邮件技术基础之五：邮件病毒的传播原理.doc

MIME协议其实就是一种邮件内容的组织协议，支持MIME协议的邮件阅读程序将根据MIME消息头中定义的MIME类型，调用相应的解析程序来处理消息体中的数据。例如MIME消息头中定义为邮件附件时，邮件阅读程序会提示用户保存消息体中的数据，如果定义为图像文件时，邮件阅读程序则把消息体中的数据作为一个图像文件自动打开。 由于邮件数据通常是经过BASE64编码后的ASCII码数据，邮件阅读程序只能通过分析数据的MIME消息头来获知数据类型，无法通过分析数据本身来获知 数据的类型，因此，一些病毒制造者就可以把病毒程序进行BASE64编码后，再附加在邮件的MIME消息体中，然后在MIME消息头中将其MIME类型定 义为图片或声音等类型，而文件名的扩展名却为.exe。这样，当邮件阅读程序解码带有病毒程序的MIME消息体后，将执行解码后得到的病毒程序。前些年曾经在全球范围内流行的Nimda病毒，就是通过这种方式进行传播的，其示意源代码如下： MIME-Version: 1.0 Content-Type: multipart/related;//声明所包含内容为内嵌资源 type=multipart/alternative; boundary=====_ABC1234567890DEF_==== --====_ABC1234567890DEF_==== Content-Type: multipart/alternative; boundary=====_ABC0987654321DEF_==== --====_ABC0987654321DEF_==== Content-Type: text/html; charset=iso-8859-1 Content-Transfer-Encoding: 7bit HTMLHEAD/HEADBODY bgColor=#ffffff iframe src=cid:EA4DMGBP9p height=0 width=0 /iframe/BODY/HTML --====_ABC0987654321DEF_====-- --====_ABC1234567890DEF_==== Content-Type: audio/x-wav; name=readme.exe //把exe文件定义成一个wav文件 Content-Transfer-Encoding: base64 Content-ID: EA4DMGBP9p TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAA……//经BASE64编码后的病毒源代码 --====_ABC1234567890DEF_==== 这封邮件传播 病毒的运行原理非常简单，如上面的源文件中的黑体字部分及相应注释所示，它就是将一个可执行文件（readme.exe）作为一个audio/x-wav类型的声音文件嵌入到HTML页面中。由于最初的Outlook Express程序没有检查MIME消息的Content-Type头字段定义的MIME类型与其中的name属性指定的文件扩展名是否匹配，于是导致用 户打开邮件时将执行解码后的readme.exe程序，从而感染上了病毒。这个病毒程序又利用Outlook Express中的地址簿向别人发送带毒的邮件，这样一传十，十传百，Nimda蠕虫就大行其道了。