问题所在
从Mydoom病毒本身来看,技术上并没有什么创新,只是利用了与邮件结合的技术,以及社会工程学来诱使、欺骗用户打开邮件,但却在全球造成了如此巨大的影响和损失,到底是什么原因造成的呢?
安全专家表示,他们对该病毒对微软公司和SCO集团发布的分布式拒绝服务攻击无能为力。反病毒厂商很难作出及时有效的反应,总是落后病毒一步。
事实却是如此。刘彬分析说,病毒编写者在暗处,时刻在寻找各种漏洞和攻击的机会。而厂商却在明处,只有威胁出现了,才会去应对,所以,厂商永远是被动的。而能达到的最好效果是,病毒出现后能立刻进行遏制。
病毒的制造技术是在不断发展,如果反病毒技术和工具不去技术更新和发展,势必会造成病毒的泛滥。郭训平解释说,病毒的攻击手段越来越高明,可是我们手上的武器还是相对落后的。病毒开始紧密地结合黑客技术,而现阶段的很多安全产品还是以简单的查杀功能为主,这种技术上的滞后,使得用户的安全防护形同虚设。所以,作为厂商,应该时刻关注病毒的发展趋势,不断更新和完善反病毒技术和工具,病毒与反病毒的魔与道的斗争是长期较量的过程。Sophos亚洲区总裁Charles Cousins表示:“网络管理员所需要的防毒软件不仅在安装上要简易快速、能有效扫描,最重要地还要对照新的病毒威胁迅速更新,并尽量使网络不受影响。”
另外,各厂商的代表均表示,对病毒的防范只靠产品/技术是不完整的,并不能收到很好的效果,常规的防火墙、防病毒产品不能从根本上解决安全问题。防范病毒应该需要一个立体的、深层的防护体系,它包括动态和静态两种:以产品/技术作为静态防护手段;及时的响应服务机制作为动态防护手段,包括预警、防护、响应、管理及专业安全服务等。
从Mydoom病毒的爆发情况来看,用户的个人防范意识还有待提高。目前,用户的杀毒软件应用概念还是淡薄。据了解,使用杀毒软件的电脑用户中,有近八成仍然在使用老版本杀毒软件。因此,在新病毒攻击时形同虚设,尤其是已经停止病毒库升级的版本,更不能保障电脑的安全使用。
实际的调查表明,及时更新版本的用户不到20%,其余80%多的用户没有更新版本,仍然在沿用着两三年前的,甚至是更早时间的版本。
另外,用户的安全观念不足。大量增长的网络用户成为病毒的易发群体,这是因为这些人群缺乏网络安全意识,并普遍没有安装保护电脑的反病毒软件。多数用户并没有意识到网络的危险性,只是简单地打开email,却没有发现原来这是一种病毒,等到发现时却为时已晚了。垃圾邮件的泛滥和操作系统的漏洞,也使病毒以前所未有的速度进行传播。
在计算机应用方面,一些用户为图使用方便,随意打开共享和对于密码的管理过于简单、过于松懈。甚至管理员密码直接为空。将密码直接保存到电脑里,使用一些有规律而且很简单的密码,如1234、abcd等,甚至空密码,这样就会给一些有猜密码功能的病毒创造了传播的途径。
还有,用户对已经公布的安全漏洞,视而不见,缺乏对漏洞的认识和采取修订措施。这主要是因为应用和管理人员本身安全意识淡薄所致。
去年冲击波病毒的典型案例中就反映了多数用户安全意识淡薄和企业安全管理的松散。早在7月中旬,微软公司和美国国土安全部就一直在发布措辞强硬的网络攻击预警,但“冲击波”蠕虫还是如期而至。如今Mydoom病毒的例子更是证明了这一点。
发展新趋势
“窥一斑可见全豹”,在我们对Mydoom病毒进行解读的同时,我们看到,计算机病毒正日益呈现多样的发展趋势,这种多样性体现在数量、形态、传播手段等诸多方面。
首先,新趋势最显著的特点是传播速度非常快,一旦病毒开始蔓延,在几小时,甚至几分钟内就可以遍及互联网,就像Mydoom病毒一样。
另一个将扮演主要角色的安全威胁是垃圾邮件,病毒与邮件结合,会同时造成双重影响。一方面,阅读和删除这些垃圾邮件需要浪费大量时间,另一方面,垃圾邮件有时会被病毒和恶意代码利用作为传播的手段。
同时,由于最近几个月内后门型木马及黑客工具出现的频率大大提高,为黑客攻击大开方便之门,因而可以预测,在2004年,这种新的安全威胁很有可能会大幅上升。
就病毒来看,2004年,各类利用了被广泛应用的软件中存在的安全漏洞的病毒将继续大行其道,更深入地被病毒制造者利用为他们的新“杰作”服务。这一策略在过去一段时间里呈现普遍的流行趋势,并经常造成灾难性的后果。2004年将会出现更多具有迅速传播能力的蠕虫病毒以及能在用户计算机上安装其它有害程序的木马病毒。
告别2003年,我们又迎来了崭新的一年。可以预见,2004年的IT 安全领域必然会出现各种新的威胁,2004年绝对不会是一个太平年。
防火墙也防病毒
面对如此凶恶的病毒,防火墙通过主动阻隔网络攻击、将病毒防患于未然的手段,和防病毒产品默契配合,发挥了单兵作战达不到的卓越效果。
防范Novarg病毒
Novarg病毒是一种依赖于Windows操作系统的蠕虫病毒,它通过电子邮件传播,目前,绝大多数提供mail服务的网站都是通过过滤邮件标题进行此种病毒的防范。
方正方御防火墙针对病毒首先可以在受感染的机器上打开tcp 3127-3198的端口作为监听端口的特性,防火墙需对tcp端口3127-3198的访问进行阻断或者封禁;其次,使用方正方御防火墙IDS的自动封禁功能,对每秒钟7次以上的syn连接进行自动封禁,从而防止后门程序对www.sco.com的 DDoS攻击。同时,使用方正方御的syngate产品可以抵御10万次/秒的DDoS攻击;第三,可以使用方正方御防火墙特有的ZeSA(零拷贝流分析)技术,通过对邮件的标题、内容、附件名以及附件扩展名进行过滤,可以有效地防止带有该种病毒的邮件的传播。
防范Novarg.B病毒
Novarg.B病毒与“Novarg”不同,它把攻击的矛头直接指向微软,将对微软网站发动拒绝服务式攻击。由于带毒邮件的大量传播会消耗网络资源,并对系统设置后门,对普通用户的正常使用也造成很大安全风险。
由于Novarg.B在受感染的机器上打开tcp监听端口: 80、 1080、 3128、8080、10080,这其中80与8080都为著名的Web服务端口,所以在防火墙规则设置上控制粒度要很细,不能只做简单的tcp 80端口阻断规则,假如这台受感染的机器明确不提供web服务,则方御防火墙可以阻断所有对这台机器80或8080端口的访问。如果它对外提供Web服务,则我们可以通过邮件过滤以及IDS自动封禁等方法来进行病毒的防范。
防火墙与防病毒结合
防火墙对于病毒只能进行阻断传播,减少其对于网络的危害。真正杀死病毒还需依靠相应的杀毒软件。但防火墙起到的是防患病毒于未然的作用。所以,很好地利用防火墙进行网络病毒的防护,能最大限度地减少网络蠕虫病毒给用户以及全社会带来的巨大经济损失。此次方正方御通过高覆盖率客户回访,得知防火墙再次有效阻隔了Novarg病毒的攻击,证明了有效利用防火墙的特性进行病毒防范的效果大大高于单独利用防病毒产品的效果。希望所有的用户能提高警惕性,做到早发现早防治,在安全厂商和用户的共同努力下,能创造一个日益安全的网络环境,为各个行业的发展提供有力的保证。
Mydoom病毒清除方法
在Mydoom病毒爆发后,各反病毒公司都及时采取应对措施,并建议用户应该及时升级最新的病毒库,以查杀此病毒。
同时,安全专家建议,也可以用手工方法清除该蠕虫的相关操作,具体操作如下:
1.删除下列注册表键值
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunExplorer]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunExplorer]
[HKCRCLSID\InProcServer32]
2.删除蠕虫释放的文件
%SysDir%explorer.exe
%SysDir%ctfmon.dll
3.还原hosts file
删除hosts file中所有本蠕虫所添加的部分,它们旨在阻塞对反病毒厂商和其他商业网站的正常访问。
下图标明有RIPE (专职负责欧洲地区域名注册机构,全球四大同类机构之一)DNS服务器在1月26日~2月2日这一周的活动情况。
图一
图一:DNS服务器统收到的拒绝请求次数比正常时的高,这是由于尝试解析不存在的域名造成的。虽然所收到的请求回应的次数增加了,但并没有反映出和拒绝同样的增加。
图二
图二:在1月26日之前一周病毒出现前,DNS解析请求从来没超过550万次,但从Mydoom病毒开始传播的时候起,回应次数达到了700万次,但是被拒绝的回应只增加了100多次。