2004年春节,正当人们沉浸在节日的喜悦和幸福之中时,病毒也悄然在网上开始蔓延传播,并且来势汹汹。据了解,约有数百种病毒在这个假期肆虐,除了一些老病毒在此期间爆发外,又有一些新病毒也开始传播蔓延,严重威胁互联网安全。其中,最值得关注的是一种被称为“Mydoom”的新蠕虫病毒。
影响巨大
目前,这种新型蠕虫病毒正以一种近乎疯狂的速度波及全球,大量的电脑终端受到感染,数以万计的邮件服务器收到以亿计的病毒邮件,造成了邮件服务器的性能严重下降或是瘫痪,从而影响了整个网络的正常运作。
赛门铁克技术经理郭训平介绍说,目前,这个蠕虫病毒及其变种仍在大面积爆发,据统计该病毒在全球的提交案例已达8568例,亚太地区为377例,而且提交量仍在增加,尤其是个人用户的提交量增长迅速,提交量为8036,所以赛门铁克安全响应中心不断提高该病毒的威胁级别,目前该病毒的威胁级提升为4级(其中5级为最严重)。
冠群金辰安全专家认为,按照目前的趋势发展下去,Mydoom超越Sobig.F病毒只是时间的问题。
被攻击的SCO公司称,全球因特网接入供应商纷纷对SCO网站的使用加以阻止,生怕受到可能是迄今增长最快的蠕虫Mydoom的感染,因为该蠕虫的攻击目标是SCO的网站。
该公司称,全球的因特网服务供应商正在阻止向SCO网站的接入,因为他们认为通过这种方式能够避免该病毒的侵袭。据悉,美国波音公司内部网因为被Mydoom攻击而全部瘫痪。Sophos公司的技术顾问格雷厄姆表示,由于不能足够快地清除这种病毒,企业非常被动。
有关专家称,尽管造成的经济损失很难估量,但估计在数十亿美元的量级上。对于普通计算机用户而言,Mydoom的代价是收到大量电子邮件,在互联网服务提供商过滤恶意流量时不能访问电子邮箱。对于微软公司和SCO集团而言,它们则再次成为了病毒的靶子。
据了解,这个病毒主要是在北美地区蔓延,在国内造成的损失小于国外,但由于其传播速度非常快,仍不能掉以轻心。据国家计算机网络应急技术处理协调中心运行部副部长周勇林透露,通过CNCERT/CC的抽样监测,截至2月1日12∶00,在我国互联网上共发现蠕虫的传播企图(即发送带蠕虫的邮件)580多万次;国内向外发送蠕虫邮件的主机约2.7万台。而且还在不断蔓延,目前在国内造成的影响小于国外,但CNCERT/CC对此很重视,将会继续观察其发展事态。
除了Mydoom病毒外,贝革热也是在此期间出现的另一个有影响的新病毒,它也是通过邮件来大量传播病毒恶意程序。另外,还有数百种新老病毒在春节期间集中爆发,来自趋势科技全球病毒实时监测中心的消息称,亚洲以 36.3%高居1月总感染率冠军,北美地区以 35.14%微小差距居次。亚洲感染率第一名的病毒是维拉病毒,全球感染率方面,则是以10个月前的老病毒后门爱虫第五度蝉联每月全球十大感染率冠军。此外,如小邮差变种、维拉、求职信、CIH、冲击波等等也相继在此期间蔓延传播,新老病毒在春节期间疯狂肆虐,严重威胁互联网和用户和安全。
与众不同
自1月27日在我国互联网上出现一种新的网络蠕虫Mydoom之后,CNCERT/CC对该蠕虫及其在1月28日出现的Mydoom.B变种蠕虫进行了分析和监测。Mydoom蠕虫是通过电子邮件附件进行传播的,当用户打开并运行附件内的蠕虫程序后,蠕虫就会立即以用户信箱内的电子邮件地址为目标向外发送大量带有蠕虫附件的欺骗性邮件,同时在用户主机上留下可以上载并执行任意代码的后门。
该蠕虫变种还设定了自2月1日起向www.sco.com网站和2月3日起向www.microsoft.com网站发起大量连接请求而造成DDoS攻击,并且阻止被感染机器访问一些著名反病毒厂商的网站。据悉,攻击将一直持续到3月1日,但DDoS攻击停止后蠕虫留下的后门不会自动消除。
国家计算机网络应急技术处理协调中心运行部部长杜跃进博士介绍说,Mydoom本身是一种蠕虫,与传统意义上的病毒不同的是,它是一个独立的文件,从技术手段上看没有什么特别的创新,主要是通过邮件进行传播,并在被感染的主机上安装后门程序,并对网站发动拒绝服务攻击(DDoS)。其传播速度非常快,影响力也比较大,与国外相比,在国内目前并没有造成重大的损失。
美国网络联盟产品经理侯海龙介绍说,网络联盟目前已经把这个病毒由低风险度升为高风险度。这个病毒的突出特点是可以进行自我构造邮件地址,并且利用3127等端口进行IP欺骗攻击,非常有针对性。而且传播速度特别快,36小时内在全球蔓延,超过了去年的Sobig病毒。
趋势科技公司产品经理刘彬分析说,感染Mydoom病毒的主机因为被留了后门,形成了一个跳板,能够让黑客和其它电脑犯罪者不怀好意地控制受感染的电脑,从而去窃取密码、文件内容或其它电脑用户的敏感信息。这对用户来说是一个很大的威胁。
很多计算机安全厂商已经多次警告用户不要随便打开可疑的电子邮件附件文件。由于该病毒将自己伪装为来自电子邮件系统管理员的错误信息,许多人在发现邮件的正文中信息太少时会毫不犹豫地打开附件文件。
Mydoom蠕虫病毒利用社会工程学诱使用户打开后缀为.exe、.scr、.zip或.pif的附件文件。
有关专家称,该病毒采用的是病毒和垃圾邮件相结合的战术。由于许多用户对此并不知情,使得这种病毒的传播速度有日渐加速的趋势。
缘起何处
该病毒攻击的目标是软件制造商SCO和微软两家公司的网站,为此这两家公司已经各悬赏50万美元,以捉拿Mydoom的制造者。但到目前为止,尽管怀疑该病毒制造者是俄罗斯人,因为第一封携带该病毒的邮件产生自俄罗斯,除此之外,寻找该病毒制造者的工作没有任何进展。
网络安全专家日前表示,Mydoom病毒制造者在病毒中暗带了一条道歉信息,向受害的公众说抱歉。 据悉,Mydoom和Mydoom.B的作者在病毒中署名“andy”,并在后一版本中留下一条信息称:“我只是在做自己的工作,没有任何针对性,抱歉。”防病毒软件制造商NAI公司的分析师吉米-科奥(Jimmy Kuo)表示:“我们的理解是他在向公众道歉,我们猜可能是有人付钱让他编写病毒的。”
两种版本的病毒都在被感染者的计算机中留下了一个后门,帮助黑客控制受害计算机,并利用其发送垃圾邮件、发动拒绝服务式攻击或是进行其它恶意行动等。另有一些专家对作者的道歉有另外一番理解,他们认为,作者和其它很多病毒制造者一样是在捉弄调查当局,炫耀自己的能力。如果他真是内疚的话,为什么还要制造病毒呢?
各网站也有消息说,因为SCO公司在去年对Linux进行过投诉,从而导致了一些Linux爱好者的痛恨,所以编写了这个病毒来报复SCO公司。《商业周刊》网站1月29日刊登的分析文章指出,在究竟是谁、又为何要制造出Mydoom的问题上,SCO及开源软件社区之间都指桑骂槐而相互指责。但反病毒专家们对此表示,这种口水战行为并不能使网络安全程度有丝毫的提高。
目前能帮助我们了解Mydoom病毒作者身份的唯一线索是隐藏在病毒代码中的一行字:“sync-1.01;安迪,我正在忙自己的工作,与私人无关,对不起。”到了1月28日,Mydoom的变种却又向微软的网站发起了攻击,这样Mydoom作者的原始动机就更加让人感到迷惑不解了。
其实,这些说法都没有任何有力的证据,也都是一些猜测。除非Mydoom的作者今后在某个场合因管不住自己嘴巴而走漏风声,否则查找Mydoom始作俑者的任务无疑是大海捞针。此前微软也曾悬赏25万美元寻找大无极和Gibe病毒的作者,但最终也是不了了之。
反病毒专家们进一步指出,病毒的危害性不容忽视。目前,我们面临的最主要任务应该是如何最大程度清除它所带来的负面影响,并对它可能实施的下一次攻击做好种种防范工作。如果我们老在究竟是谁制造了病毒这个问题上纠缠不休,这种态度并不能使网络安全程度有丝毫的提高。
