网络病毒今非昔比
数码时尚
“冲击波”病毒突如其来,互联网再一次成为一个战场,也变成了一间课堂。这也让我们明白了什么杀毒软件、超级防火墙、网络防毒……在病毒面前证明它们的可靠性和功能只是使用者一厢情愿的错觉。
“冲击波”始末
2003年6月27日,波兰安全小组LSD-PL在自己的网站中公布了一个微软的RPC(远程过程调用)漏洞。通过这一漏洞,攻击者能够利用计算机的TCP 135端口,向远程计算机发送特殊形式的请求命令。由于RPC是Windows操作系统最常使用的一个协议,此漏洞的危害性立刻引起了各方面的注意,LSD-PL小组随即将漏洞提交给了微软公司。
2003年7月16日,微软公布了针对这个RPC漏洞的安全公告和补丁程序,但是由于该补丁程序是以自动更新形式发出的,因此那些没有安装Windows自动更新功能的用户没有更新这个补丁。
2003年7月24日,网络安全组织Xfocus公布了一篇针对此RPC漏洞技术分析的文章,分析文章附带了一个用于攻击此漏洞的程序,正是这个程序在某种意义上催生了“冲击波”病毒,为此后“冲击波”的诞生作了铺垫。这套程序引起了微软方面的注意。随后,微软在美国召开了特别新闻发布会,微软负责电脑安全事务的主管杰夫·琼斯(Jeff Jones)表示,“Xfocus在公布上述破坏性程序前,并未与微软接触洽商,而微软认为公布此类程序对于电脑用户是极为不利的,他希望微软的用户尽快去微软网站更新补丁程序。”
2003年8月3日,Xfocus的程序在被一些黑客几经修改后形成了一个相当完善的版本。“冲击波”的作者抓住了这一机会,首先制作出了针对此漏洞的蠕虫病毒,并在随后的几天内将病毒传播在互联网上。
那么究竟是谁制造的“冲击波”?在“冲击波”病毒造成全球大范围爆发后,FBI就开始了寻找制作者的工作,他们很快发现了某美国公司的一台服务器是最早被作为发送病毒的攻击服务器的,但是到达那家公司后,FBI发现这家公司的服务器只是病毒制造者用来发布病毒的服务器,而非病毒的源头。随着调查的深入,FBI的计算机专家很快就找到了用病毒率先攻击这台服务器的计算机──澳大利亚的一个普通家庭用户。但是等到调查人员赶到这个用户家中时,才发现这个用户是在第一时间成为了冲击波的受害者。
记者采访Xfocus的成员时,他们也对记者说,从冲击波制造者的代码编写特点来看,冲击波制造者应该是英语为母语的人士;而从冲击波杀手不给日本机器打补丁的情况来看,该作者应该是亚洲人。
“冲击波”想做什么
“这只蠕虫传播非常迅速!”全球著名的杀毒软件厂商赛门铁克在第一时间就检测到了7000多台被病毒感染的电脑。而来自《金融时报》的统计显示,“冲击波”病毒在发作的当天就让全球12万台计算机瘫痪,仅我国就有超过2300个公司企业的局域网、上千家网吧受到病毒感染而瘫痪,更多的个人用户在感染病毒后并没有在第一时间意识到危机,他们中的多数人误以为系统由于不稳定出现了“小故障”。“因为这种现象在Windows操作系统中太常见了。”被病毒感染了多时才发现情况不妙的一位计算机用户这样对记者说道。
正因为“冲击波”的发作是利用微软操作系统的漏洞,所以包括Norton、熊猫在内的国际杀毒软件大厂都不能彻底限制病毒作祟。“冲击波”还在8月14日出现了Worm.Blaster.B和Worm.Blaster.C两个病毒变种。
赛门铁克资深总监阿尔·弗雷德在进行技术分析后表示:“由于‘冲击波’病毒是制作者在非常仓促的情况下编写出来的,因此该病毒很多的危害性和破坏性并没有完全显现出来,否则它的攻击威力会更大,稍有不慎就很可能演变成类似去年‘红色警报’病毒那样的全球危机。”
很明显,“冲击波”并不是冲着破坏用户的数据而来的,它的制作者很可能只是想出名,或者戏弄一下微软。要知道,很多病毒制造者制造病毒的初衷就是为了能够看到自己的作品在全世界的互联网上乱窜,这对他们来说是一种成就感。
病毒与漏洞的联姻
正当我们被“冲击波”病毒搞得焦头烂额之时,另一只蠕虫病毒又在蠢蠢欲动了。2003年7月,著名的网络安全公司绿盟再次发现了一个微软的RPC漏洞,这个漏洞与LSD-PL公布的RPC漏洞具有同样严重的危害性,病毒制造者可以轻易地利用它。另据国内病毒网的监测,近期又一只名为“高波”的蠕虫病毒已经诞生。
我们不难发现,越来越多的病毒制造者开始利用黑客技术,让病毒本身具有攻击性。如今的网络病毒不再是被动的传播感染,更多的蠕虫学会了主动寻找有漏洞的计算机进行攻击并扩散感染,这种现象会随着网络的扩大与系统漏洞的增多愈加严重。
必须保卫互联网
2003年以来,接二连三的蠕虫事件让微软打补丁程序的模式遭受到了最强烈的质疑和谴责。佛罗里达州立大学网络安全工程师维文抱怨说:“目前微软提供的修补安全漏洞的方式太耗费时间,如果为校园几百台计算机安装补丁程序,可能还没来得及安装最后的10台机器,已安装的90台又被另外的病毒占领了。”
此次“冲击波”事件,Xfocus也遭受到了来自各方面的批评和压力。但Xfocus成员FlashSky这样认为:“安全永远不是靠黑客不知道来保证的,不公布漏洞、不发布攻击程序只能够让大家在没有警觉的时候遭受更严重的攻击。”但是从另一方面看,蠕虫出现也是必然的事情,只有挖掘出更多可弥补的漏洞才能够让公众更加有安全感,才能够更好地、更有效地保卫互联网。