文章总结： 这篇文章讲述了1987年圣诞树蠕虫事件的历史意义和技术原理。该蠕虫起源于学术网络，通过劫持通讯录在IBMVNET网络中快速传播，导致系统功能瘫痪。事件揭示了协议脆弱性、内部信任风险和可用性优先级的重要性，推动了网络安全从介质安全向网络安全的转变，影响了防火墙和零信任模型的发展。它证明了代码一旦获得网络自主传播能力，其效应可能超越编写者意图。 综合评分： 88 文章分类： 恶意软件,网络安全,安全大事件,威胁情报,安全建设

【第五空间简史】第9节 圣诞树下的首次系统性危机

原创

千里

东方隐侠安全团队

2025年11月22日 08:30 江苏

如果说 1986 年的 Brain 确立了代码可以在软盘介质上自主繁殖，那么仅仅一年后，1987 年的“圣诞树蠕虫”（Christmas Tree EXEC）则证明了：当这种复制能力被移植到网络上，其爆发的速度和带来的系统性后果将截然不同。

这次事件没有发生在开放的互联网上，而是在当时企业和学术界广泛依赖的主机网络中，这使得它的冲击波更具内部性和信任瓦解性。

PART 01

西德大学的脚本与 IBM 帝国的相遇

“圣诞树”蠕虫的诞生地点，通常被追溯到西德（当时）的一所大学，可能是克劳斯塔尔工业大学（Clausthal University of Technology）的一位学生所为。瑞士苏黎世一位大学生曾在匿名BBS上发帖吹嘘“我写的东西正在全世界跑”，并贴出部分代码，与CHRISTMAS EXEC完全吻合。

它最初的传播介质是 EARN（European Academic and Research Network）和 BITNET（”Because It’s Time” Network）这两个学术网络。

但真正让它载入史册的，是它对IBM VNET（IBM Corporate Network）——当时全球最大的私有企业网络之一——的冲击。VNET 使用 VM/CMS 主机系统，并运行着 IBM 自身的科研、制造和全球管理。

1987 年 12 月 9 日起，大量的 IBM 员工通过公司的内部邮件系统接收到一封带着浓郁节日气息的邮件。邮件标题简单，主体是一棵由 ASCII 字符构成的圣诞树图案，并附带着节日祝福。

在 VM/CMS 环境中，EXEC 脚本（或 REXX 脚本）是常用的自动化工具。当时的邮件系统是基于信任原则设计的，很少对内部的脚本附件进行严格过滤。用户在看到同事发来的节日问候后，很容易出于好奇或习惯，在终端上输入命令运行这个脚本。

PART 02

蠕虫的技术核心：劫持通讯录

“圣诞树”蠕虫的技术逻辑，比起 Brain 这种直接修改底层扇区的代码要简单，但其传播效率却高出数个数量级。核心代码如下：

PARSE UPPER ARG name . SAY ‘ ‘ DO i = 1 TO 20; SAY ‘ ‘; END SAY ‘          *          ‘ SAY ‘         *         ‘ SAY ‘        ***        ‘ /* … 省略中间树身 … */ SAY ‘     ***     ‘ SAY ‘    *    ‘ SAY ‘        |||||        ‘ SAY ‘    MERRY CHRISTMAS   ‘ SAY ‘       AND A         ‘ SAY ‘   HAPPY NEW YEAR    ‘ SAY ‘        1988         ‘ /* 读取NETLOG并群发 / ‘EXEC NETLOG’           / 获取最近通信列表 */ DO WHILE QUEUED() > 0     PARSE PULL addr     ‘SENDFILE CHRISTMA EXEC’ addr ‘TO’ addr END

它完美地利用了应用层的信任：

• 加载与定位： 脚本被用户执行后，会加载到主机内存中。

• 劫持目录： 蠕虫的第一步，是立即扫描受感染主机上的通讯录和用户列表。VM/CMS 主机作为集中式系统，存储了大量员工的邮件地址和节点信息。

• 指数级复制： 蠕虫的核心代码是调用主机的邮件服务，将自身（即包含 CHRISTMAS EXEC 脚本的邮件），发送给通讯录上的每一个地址。

这就是一场基于指数级增长的灾难。一个用户运行脚本，可能将邮件发送给 50 个同事；这 50 个同事中，又有 20 个运行了脚本，又发送给 1000 个新地址……

在极短的时间内，IBM VNET 的内部通信信道，就被数万份、甚至数十万份一模一样的“圣诞树”邮件彻底淹没。

IBM圣诞节蠕虫并没有破坏任何文件，但它造成了系统性的功能瘫痪。主机系统不得不将所有的 CPU 周期、内存资源和网络带宽，投入到无休止的邮件队列处理中。正常的业务通信、文件传输和研发计算全部停滞。

这次事件，使得IBM 全球的网络通信遭受了历史性的、最严重的拥塞和中断。

PART 03

信任、协议与边界的重构

“圣诞树”事件之所以成为技术史的里程碑，是因为它明确地界定了“蠕虫”（Worm）与传统病毒的区别，并将安全讨论从“介质安全”彻底转向了“网络安全”。

它在技术上揭示了三个深刻的弱点：

• 协议的脆弱性： 蠕虫证明，旨在提高通信效率的邮件协议（SMTP/Messaging Logic），可以被反向武器化，成为最高效的传播工具。协议的设计者，并未预料到这种“利用信任进行自我放大”的攻击模式。

• 内部信任的风险： IBM 这样的大型企业，在主机时代的网络架构中，默认内部流量是可信的。蠕虫利用的正是这种零隔离、高信任的内部环境。它告诉世界：真正的威胁，可能穿着同事的外衣，利用你最熟悉的工具进行传播。

• 可用性（Availability）的优先级： 蠕虫没有删除数据，但它通过资源垄断，剥夺了系统的可用性。它将“拒绝服务”的概念，从外部的恶意流量攻击，带入了内部的自我拥塞。安全威胁不再只是数据机密性问题，更是核心业务的连续性问题。

这次事件，使得企业网络管理者不得不重新审视“边界”的定义。

防火墙的概念开始在企业内部萌芽，行业大佬们也开始意识到，不再仅仅是防御外部黑客的铁门，而是一种需要在内部网络不同区域之间建立的逻辑隔离和流量审查机制。

PART 04

历史的巧合与代码的伦理

事后查明，“圣诞树”蠕虫的作者并没有任何恶意破坏的意图。他可能只是想在学术网络上开一个技术玩笑，展示REXX脚本的强大。然而，当这个脚本通过BITNET和EARN的门户，进入IBM 这种全球性的生产网络时，它的代码效应便超越了编写者意图。

这种意图与效应的分裂，是早期网络安全史中反复出现的命题，也证实了代码一旦获得网络上的自主传播能力，它便获得了比任何个人或机构都更强大的权力。

对 IBM 而言，这场崩溃不仅是技术事故，更是企业管理与伦理上的警钟。在高度互联的环境下，如何平衡员工协作的效率与系统自我保护的必要性。

相信在“零信任”（Zero Trust）模型的早期思想探索初期， 1987 年那场圣诞树下失控的记忆一定久久萦绕心头。