引言:一些安全专家表示,最近的蠕虫风波可能预示着将会发生一场蠕虫大战,黑客将大量劫持PC,用于网络金融犯罪活动;而另一些专家并不这么认为,他们觉得这场风波微不足道。
F-Secure,这家芬兰的安全软件公司,其首席研究官Mikko Hypponen说,上周日以来出现的蠕虫,从其行为看,可能预示着一场计算机诈骗大战即将拉开帏幕。
十几个蠕虫及其变种都针对Windows 2000操作系统即插即用特性的一个安全漏洞展开攻击。但是,有些版本的病毒减轻了老蠕虫的危害性,这意味着,新蠕虫的制造者所做的努力是为了控制那些已经被其他黑客黑过的电脑。Hypponen这样说。
本周三,Hypponen说:“看起来我们将面临一场蠕虫大战,预计有三种不同类别的蠕虫制造者正在以惊人的速度制造新蠕虫,好像他们在竞争,比比看谁能建出最大的感染群。”
首个出现的蠕虫,叫做Zotob,出现于上周日,到本周一渐渐退去。但是,一波未平,一波又起,紧接着就出现了好几个Zotob的变种和其它新的蠕虫,Bozori等。一些老病毒,Rbot、Sdbot、CodBot及IRCBot的新版本也都开始发起猛攻。CNN、ABC、纽约时报等都一一中招。
蠕虫包含有“bot”代码,也就是一个可以让攻击者远程控制目标系统的程序。一般情况下,攻击者总是把这些被劫持的系统组织起来,形成网络,称为“botnets”。然后把这些botnets租出去,为垃圾邮件、网络钓鱼等用,意在窃取敏感的个人信息或者进行诱骗。专家说,botnets的用途还包括,对被敲诈者看重的在线企业发起拒绝服务攻击。
据英国Abingdon一家反病毒公司Sophos称,这场病毒的爆发有金融方面的动机。Sophos公司高级技术顾问Graham Cluley说:“这种攻击的背后存在着有组织的黑客,他们的目的就是赚钱。对于这些黑客来讲,拥有一个庞大的被黑机器网络是一笔巨大的财富。”
安全公司赛门铁克说过,要租用由5500台被攻击机器组成的大规模的botnet,通常需要垃圾邮件、网络钓鱼,或其它意欲利用botnet实施进攻的组织每周花费350美元。
MessageLabs,这家电子邮件安全公司的一位高级反病毒技术专家,Alex Shipp说,蠕虫大战看起来刚刚开始。他说,我们可能会在接下来的一段时期内看到,各个门派的恶意软件攻击方激烈地竞争,抢占“漏洞资源”。
蠕虫大战并不新鲜。去年,Bagle、NetSky和MyDoom的制造方好像就在相互竞争,以尽可能控制最大数量的PC,为botnet所用。
反对大战言论的一方
但是,并不是每个人都相信蠕虫大战已经发生。冠群(Computer Associates)公司威胁管理部门一位官员,Stefana Ribaudo说,他们公司没有看到任何病毒或蠕虫试图发现或移动其它蠕虫的迹象。
安全软件厂商McAfee的一位病毒研究工程师,Lysa Myers,同意“没有争夺botnets控制权的斗争迹象”的说法。她说:“这次蠕虫爆发这么微不足道,实在没必要专门为它制订防御策略。”
Unisys公司是宾州Blue Bell的一家IT服务公司,该公司一位主要的安全顾问John Pironti说,如果没有发生什么事情,那么就还只是处于地下状态。“黑客都喜欢吹牛,说他们控制了多少多少机器”,他说,“这实际上只是一场争论。”
Pironti说,如果真正的目的确实是扩大botnets的范围,那么黑客会以更老练的方式,避开反病毒公司的监测,那么也不会像现在一样被各大反病毒公司发现了。
上周,微软在其每月补丁中对蠕虫攻击的Windows即插即用漏洞进行了修补。微软把这个问题定位“危险”,是他们的严重级别。第一个Zotob好像掐着表一样,仅仅跟在微软发布补丁之后出现,以至于Windows用户几乎没有为系统打补丁的时间。
微软说过,虽然 Windows XP和Windows Server 2003都受安全问题的影响,但只有Windows 2000才会受到远程攻击。
Windows 2000有桌面版和服务器版,但在2000年发布它们时,主要是面向企业用户的,而不是终端普通用户。也有更新版本的Windows系统,不过Windows 2000的使用还是很普遍。据AssetMetrix最近一个调查显示,2005年第一季度,有48%的企业PC上面运行的操作系统是Windows 2000。
已经被黑的机器可以从反病毒软件厂商,比如赛门铁克那里下载工具清楚病毒。微软警告Windows 2000的用户,如果还没有打补丁,那么赶快打。