“即时通信工具”(Instant Message,简称IM),作为应用层通信软件,正在成为人们方便又时尚的聊天和工作工具,甚至是必不可少的生活方式。
仅仅在两年前,OICQ用户只有15万左右,现在已经迅猛发展到150万。加上国内的POPO,UC,目前我国共有200万即时通信软件用户。这只是中国的情况,如果算上ICQ、Yahoo! Messenger、Microsoft .NET Messenger、AOL的Instant Messenger(AIM),以及许许多多我们连名字都说不出来的聊天工具,用户数量恐怕要以“亿”来计算了。这些即时通信工具不仅支持实时消息传输,还支持文件传输、语音视频会谈和文件共享。我们每天通过IM完成了很多工作,或者认识了很多朋友,甚至我们的生活也逐渐离开不了它们了。
然而,就在你聊兴大发时,IM也许正在把你或你的公司带入“万丈深渊”。无论是本地的QQ,还是外来的其他聊天工具,几乎所有免费在线即时通信软件都正在承受着新型病毒的轮番攻击。病毒正在通过传统防火墙,通过即时通信软件给个人和企业内部网带来巨大的危险因素。继电子邮件之后,即时通讯软件已经成为病毒黑客入侵的新“管道”。
IM病毒凶猛
即时通讯软件具有先天的“不足”,使它容易成为病毒或黑客攻击的目标。比如传送资料没有经过加密、避开企业防火墙、内建有连络人清单等等,这些都可以让黑客或病毒能够轻易利用来散播病毒或入侵电脑。目前,袭击即时通讯软件的病毒主要分为三类,第一类是只以QQ、MSN等即时通信软件为传播渠道的病毒;第二类为专门针对即时通讯软件,窃取用户的帐号、密码的病毒;第三类是不断给用户发消息的骚扰型病毒。一般来说,当一种软件的用户量达到500――1000以上的数量级时,就会成为病毒攻击的对象。
美国反病毒公司Symantec的两名研究人员对IM病毒的传播速度进行了相关研究。他们对用户通过即时通讯软件发送信息所需的时间进行了测定,同时再加上对平均每个用户在即时通讯软件“好友名录”中设定的用户数量进行计算,算出了IM病毒传播的平均速度,平均结果是IM病毒在30秒内能传播到50万台电脑上。安全研究人员称许多即时通信软件可以将文件作为附件通过点对点方式传送,绕过网络周边安全防御设备,由于点对点隧道直接传至桌面计算机,因此受感染的文件借即时通信软件就能绕过防病毒网关的扫描,病毒、蠕虫和特洛伊木马等可以借此轻松地进入网络。
去年最“热门”、肆虐至今的“求职信(Klez)”病毒,就是第一只整合有透过ICQ攻击模式的病毒,它主要是利用ICQ的连络人清单自动散布。在它之后,IM病毒有如洪水猛兽一般开始在全世界流行。中国由于众多的IM使用者更是首当其冲。
其中,木马程序利用QQ传播已经成为国内的流行即时通信病毒的主流,以前截获的此类QQ病毒很多,但大多局限于宣传网站等目的。而今年以来的QQ病毒却将目光瞄向了用户的邮箱帐户密码。在运行自己的同时,释放偷密码的木马,并将监视到的帐户密码发送到指定的邮箱中。比如TrojanClicker.LeoQQ木马,目前已开始在QQ世界凶猛传播,并携带一个叫Trojan/PSW.WyHunt的偷传奇游戏密码的木马,仅这个病毒,就已有上千人中招。此类通过QQ软件大肆攻击计算机并盗取QQ密码的还包括恶型病毒“爱情森林”,和其的一个新变种“爱情森林C版”。还有利用QQ进行传播的木马病毒“QQ 连发器”(Trojan.WebAuto、Trojan.WebAuto.a)等等。
“QQ尾巴”病毒,主要是向正在聊天的QQ用户发送类似这样的消息:“其实我觉得这个网站真的不错,你看看!http://www.ktv**0.com/”,或者“看看我最近照的照片。”收到消息的QQ用户如果点击,就会中毒。
最新的一种专攻QQ的木马病毒是“林妹妹”(TrojanClicker.Linmm)和“武汉男生”(Trojan/QQMsg.WhBoy.b),它们是最新的QQ病毒变种。自出现后短短的几小时内受害人群已达到数百人。
国内尚且如此,国际聊天软件就更易受到攻击了。
微软力推的即时通讯软件MSN Messenger目前正在遭受新型MSN病毒“BR2002.exe”的袭击。如果在网上聊天时打开对话内容附带的“BR2002.exe”文件,就会受到名为“Henpeck”病毒袭击,用户一开机立刻染毒,注册值被更改,并开始从网上自动下载其他有毒文件。同时,电脑还会自动把这一病毒发到通讯簿中所有的名单,扩散到更多的电脑中。
无独有偶,通过MSN进行传播的另一个恶性蠕虫病毒――MSN射手(Worm.Smibag)刚刚被发现。该病毒运行时会通过MSN进行疯狂传播,感染用户MSN上的所有联系人,造成网络连接速度变慢。
除了IM病毒,还有另外一些人也在打即时通信软件的主意。这些人就是黑客。据计算机安全专家公开披露的即时通讯缺陷约目前就有60个左右,其中包括从可以利用拒绝服务攻击瘫痪即时通讯服务客户端的缺陷到允许客户远程在用户的机器上安装和运行恶意软件的缺陷。这些缺陷主要被黑客用来攻击个人用的计算机。而且,大多数即时通信软件都可以绕过防火墙(比如MSN可以通过ENAT来绕过防火墙),允许用户选择使用的端口,甚至会自动尝试连接未被封住的端口,因此任何局域网内具有Web浏览权限的用户,都可以通过一个外部的代理服务器和特定的未被防火墙禁止的端口将信息发送到外部网络,这样,防火墙已经不再发挥作用,形同虚设。
没有了防火墙,黑客可以通过IM轻松突破公司的层层安全防线,轻易获得自己想要的东西。在这方面ICQ是最容易提起的例子。
美国在线公司(America Online)的Mirabilis ICQ IM客户端软件被发现有六个漏洞,其中两个漏洞特别危险,可以让黑客们全部控制受害人的电脑。 安全分析家们一再警告不加检查地使用这些软件可以引起企业防火墙的危险漏洞,导致公司敏感的数据在公众网络上暴露,文件在一种无保护的方式下传送。此外,包括一个严重缺陷在内的3个缺陷还出现在ICQ软件的电子邮件功能中,只要黑客能够模仿用户的电子邮件服务器,该组件中的一个缺陷能够使黑客使用ICQ软件处理电子邮件的方式在用户的PC上执行代码。
“反病毒”未来的重点
使用者和分析家们都说,在公司网络上自由使用聊天软件带来的安全问题,迫使我们不得不采用更好的安全措施和更高的商业升级产品。但迄今为止,可以说对付即使通信病毒并没有一个最安全的、一劳永逸的软件,那么怎么才能免于病毒的袭击呢?反病毒专家们建议:这需要软件厂商、防杀毒部门、用户自身三方协力。
软件厂商要减少软件的设计漏洞,提高软件的安全性;防毒中心要时刻注意病毒动向,杀毒软件厂商要不断进行杀毒软件的版本升级,提高病毒查杀能力;用户自身在使用电脑时要使用杀毒软件,不要随意下载可疑文件,点击不明链接。
即时通讯软件以及使用量越来越高的P2P点对点传输软件目前正被防毒公司视为未来加强防范的重点。赛门铁克行销部门的一位负责人表示,他们已经在全世界范围内加强了这方面的病毒警告,并且加强了软件的查杀功能,这位负责人还强盗,理论上只要是透过网路的行为,就有病毒或安全漏洞疑虑,因此赛门铁克已经针对手机、PDA等无线产品规划了安全防护产品,将在未来推出。 国内江民、瑞星、金山等著名防病毒软件厂商也纷纷不断升级自己的病毒库,缩短自己的升级周期,提醒用户及时地安装补丁和升级杀毒软件版本,以有效地增强即时通信系统的安全性,减少被攻击的危险。