MyDoom“流感”来袭
软件世界
六近春节的短短数月里,我们又经历了一次次病毒袭击的考验,从杀回马枪的SARS、禽流感到今年新出现的MyDoom,“病毒”这两个字反复地考验着我们的精神承受力……
病毒爆发的前夜
2003年8月到10月期间,冲击波病毒入侵了全球超过40万台装有Windows 2000、XP/2003版本的计算机,全球有数十个国家的互联网因此而瘫痪。这场突如其来的病毒风暴改变了计算机病毒的传播历史。
正当经历过风暴的人们将冲击波忘却时,一个名为MyDoom(又名Novarg)的计算机病毒再一次大规模地袭击了全球数以百万计的计算机。MyDoom病毒是以大量发送病毒邮件来拖垮邮件服务器的恶性蠕虫病毒,它的行为最终会导致邮件服务器的瘫痪,使正常的电子邮件交换不能运行。“这种病毒很厉害,散播速度很快、会用Email和共享服务散播并造成网络阻塞、受感染的电脑会被开‘后门’、2月间会发动对SCO公司网站的‘拒绝服务’(DoS)攻击,而且它与许多电子邮件病毒不同的是,它不用性感美女照片色诱网友打开附件,它采用了更聪明的陷阱方式诱骗用户上当。” 防毒软件公司赛门铁克(Symantec)安全专家在谈到这一病毒的传播形式时感到忧心忡忡,他们已经将此病毒的扩散速度,定为第四级(最高水平),相关专家也提醒用户说:“MyDoom的传播速度已经超过了Sobig,它可能是互联网历史中蔓延最快的病毒。虽然很多媒体及业界人士提醒广大用户高度注意该病毒,但多数电子邮件的用户仍然或继续沦为这种病毒的受害者。”
MyDoom的拒绝服务(Dos)攻击活动只限于2004年2月1日和2004年2月12日之间,它通过新创建63个会发送GET请求、直接连接到80端口的线程,尝试对www.sco.com发动拒绝服务(DoS)攻击。由于MyDoom病毒将攻击的矛头指向大名鼎鼎的SCO公司网站,大量的DoS攻击导致了该公司的网站超载,网站服务完全陷于瘫痪,这也是DoS类型的蠕虫病毒迄今为止创记录的攻击行为,因此SCO公司悬赏25万美金捉拿该病毒的制造者(直到发稿为止,SCO公司的网站仍然无法正常打开)。与SCO具有相同命运的还有微软,MyDoom的第一个变种病毒“Mydoom.B”就将矛头指向了微软的官方网站,潮水一样的攻击也让微软苦不堪言,为此微软也悬赏25万美金捉拿Mydoom.B的制造者,这是微软公司第二次以悬赏方式捉拿病毒制造者。去年11月,微软曾悬赏50万美元,捉拿“冲击波”和“大无极”病毒的制造者,但是至今一无所获。
解剖MyDoom
“人类有什么办法能够预防或者控制禽流感?”
“不要靠近鸡!”
在亚洲禽流感蔓延期间,世界卫生组织驻中国新闻官鲍勃·迪兹的回答简单明了。然而面对生物病毒时我们可以不靠近一切为可疑宿主的对象,但是面对来势汹汹的病毒我们不可能离开电脑。病毒虽然一次次带给大众网络数字化的恐慌,但没有人因为病毒的恐慌而逃离电脑。病毒打破了我们所有的防线,杀毒软件、超级防火墙、网络防毒,它们在病毒冲击波面前被证明是一种一厢情愿的错觉。不过剖析病毒、杀毒仍然是大众解决和战胜病毒的有力手段。
MyDoom在执行后会利用系统的所有软肋迷惑用户,防止被用户杀死。用户的计算机在感染了MyDoom之后,会在系统的“System”目录下立刻创建名为Shimgapi.dll与Taskmon.exe的两个文件,Shimgapi.dll会自动打开用户计算机TCP从3127到3198的端口监听,将用户的计算机变成一个代理服务器运行,而任何人都可以通过这个后门下载或执行任意文件。MyDoom还会在系统的“Temp”目录中生成一个名为Message.的文件,该文件有随机的后缀字符,用Notepad(记事本)显示。其实“Taskmon.exe”文件本身是Windows 95/98/Me操作系统的合法文件,但它位于 %Windir% 文件夹下,而非 %System% 文件夹,这样做的惟一目的就是迷惑用户,让用户将病毒误认成正常的Windows系统文件,所以手工杀毒的用户千万不要删除 %Windir% 文件夹中的合法文件。
随后Mydoom会将:"(Default)" = "%System%\shimgapi.dll",并修改注册表。
一切进行完之后,蠕虫MyDoom会疯狂地搜索用户计算机内的文件,将一切可能是E-mail地址的文字收集起来,发送带毒的E-mail。而且即便用户自身没有设置Outlook这些收信软件,它也会尝试使用自己的 SMTP 引擎发送带毒电子邮件。蠕虫会在发送出电子邮件之前查询收件人的邮件服务器。如果查不到,它就会使用本地的邮件服务器发动进攻。值得注意的是,MyDoom发信时还会采用系统退信的方式发送病毒邮件,这是造成大面积感染该病毒的最重要原因。它会用一个搜索到的邮件地址作为发件人给一个并不存在的收信人发信,而收信人的邮件服务器找不到收信人的地址就会将该邮件退给发件人,发件人的邮件地址正好是病毒真正要传播的对像。用户在收到这样的退信时,打开这封退信而感染该病毒的几率大增。病毒使用这样的方式更好地隐藏了自己,也达到了更广传播的目的。
2004年,继续阻击病毒
“我们现在最迫切的问题是让用户意识到自己感染了病毒。”杀毒公司的技术人员无奈地回答。由于Mydoom病毒感染和发作后症状并不十分明显,所以很多已经感染了病毒的用户并不知道自己已经成为受害者的事实。“感染病毒的用户会呈几何级数增长,病毒链也会日益庞大复杂,而目前我们检测的情况来看,现在已经相当糟糕!”病毒的传播速度让所有的杀毒专家惊讶。为了尽快地根除病毒造成的恶果,很多邮件服务提供商开始为客户提供免费的邮箱杀毒服务。政府也开始在这场与病毒对抗的战争中发挥关键的作用,中央电视台在收视率最高的新闻联播时段开辟了每周病毒的预报,提醒计算机用户病毒防范。在消灭MyDoom的战争中,杀毒软件厂商免费提供的病毒专杀工具也起到了至关重要的作用,那些没有来得及购买安装杀毒软件的用户,可以通过下载这些病毒专杀工具消灭掉病毒。
和计算机病毒的战争是一场永远不会停止的战争,新病毒在以每天200个的速度诞生,虽然我们欣喜地看到杀毒技术的快速发展,但是永远不要忘却,制约病毒的往往不是技术,而是我们的安全观念。我们要保持一颗警惕的心,时刻准备着迎接病毒的挑战!
MyDoom专杀工具下载地址:
瑞星:http://it.rising.com.cn/service/technology/RS_Novarg.htm
金山:http://www.duba.net/download/3/105.shtml
诺顿:http://securityresponse.symantec.com/avcenter/FxNovarg.exe