蠕虫,这个网络安全的新焦点,其含义已经超越了这个单词本来的生物学意义。2004年1月,名叫“MyDoom”的蠕虫病毒爆发,它以大量垃圾邮件的形式,攻击SCO和微软网站,在不完全统计的资料显示下,给全球直接造成了300多亿美元的损失。而刚刚过去,近乎妇孺皆知的“震荡波”蠕虫病毒,给社会造成的损失,还没有办法统计完全。
危害与肆虐——来自蠕虫的故事
“蠕虫”这个名词的由来,是在1982年,Shock和Hupp根据《The Shockwave Rider》一书中的一种概念提出了一种“蠕虫”(Worm)程序的思想。
而蠕虫病毒第一次在因特网上大面积爆发,则是1988年12月的“莫里斯(Morris)”蠕虫大爆发,一个名叫莫里斯的美国大学研究生编写的蠕虫病毒蔓延造成了数千台计算机停机。从此以后,蠕虫病毒以其恶劣的危害、肆虐的传播速度席卷了全世界,并且随着技术的突破,它本身也有了很大的变化与发展。趋势科技资源防毒工程师Jamz Yaneza介绍道:“从1988 年第一只蠕虫Morris现身以来,过去几年共计有18次的病毒警戒是蠕虫激活的,也就是说,平均每个月至少有一次重大网络蠕虫爆发。”
近几年,蠕虫病毒更是突飞猛进,大出风头:1999年3月,暴发了“美丽杀”网络蠕虫宏病毒,欧美一些大的网站频频遭受堵塞,造成巨大经济损失;2000年至今,是网络蠕虫开始大闹互联网的发展期,从“红色代码”和“尼姆达”,再到“冲击波”……今年初,在人们沉浸于新一年开始的喜悦中的时候,蠕虫病毒也悄悄袭来,“MyDoom”病毒以一种近乎疯狂的速度波及全球,赛门铁克技术经理郭训平介绍说,爆发不到一周的时间,这个蠕虫病毒及其变种已经大面积传染,据统计,该病毒在全球的提交案例已达8568例。而至今仍令我们记忆犹新的“震荡波”病毒,则更是迅速“震荡”了全球“五一”假期的人们,短短时间迅速造成上百万台机器的瘫痪和死机。业内人士认为,该病毒与去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒相比,有过之而无不及。
蠕虫病毒本身发展异常迅速,更新换代令人应接不暇。典型的蠕虫病毒分为三代,上面提到的“莫里斯”蠕虫和 “红色代码”属于第一代蠕虫病毒,它的特点就是繁殖快;此外,像“尼姆达”、求职信等蠕虫病毒是第二代蠕虫病毒,这类蠕虫病毒的特征就是充分利用同邮件漏洞,通过邮件将自己送到千家万户;第三代蠕虫病毒是“中国黑客”、“硬盘杀手”以及现在的“震荡波”等,这类蠕虫病毒已经具备了传统病毒的特征,可以感染文件,真正地毁坏系统。
趋势科技全球防毒研发暨技术支持中心5月共发出248个病毒警报,其中有121个病毒警报是网络蠕虫,换句话说,几乎有近一半(48.8%)的病毒警报是网络蠕虫造成的。另外,“特洛依木马”及“后门程序”分列二、三名,“特洛依木马”共占 65个,所占比例为 26.2%;“后门程序”共 27个,占10.9%。趋势科技表示:蠕虫除了以电子邮件作为典型传播渠道外,也可能使用后门程序和特洛依病毒与黑客工具结合来窃取信息。
随着目前形势的发展,蠕虫病毒越来越厉害,既可以感染可执行文件,通过电子邮件、局域网、聊天软件甚至浏览网页等多种途径进行传播,还兼有黑客后门功能,如进行密码猜测、实施远程控制,以及终止反病毒软件和防火墙的运行。此外,蠕虫病毒的欺骗性也很强,常利用邮件、QQ、手机、信使服务和BBS等通讯方式发送含有病毒的网址,以各种吸引人的话题和内容诱骗用户上当,有时候真让人防不胜防。
分析与防范——与蠕虫的斗争持续而漫长
为什么蠕虫病毒会成为病毒界的新宠,并迅速成为病毒舞台的主角?专家认为,这与它的传播方式有着极大的关系。蠕虫病毒的传播通常不需要人为的激活,蠕虫程序常驻于一台或多台机器中,并有自动重新定位(autorelocation)的能力。如果它检测到网络中的某台机器未被占用,它就把自身的一个拷贝发送给那台机器。每个程序段都能把自身的拷贝重新定位于另一台机器中。
国家计算机网络应急技术处理协调中心运行部部长杜跃进博士这样介绍Mydoom病毒:“蠕虫与传统意义上的病毒不同的是,它是一个独立的文件,从技术手段上看没有什么特别的创新,主要是通过邮件进行传播,并在被感染的主机上安装后门程序,并对网站发动拒绝服务攻击(DDoS)。”
蠕虫病毒是如何进行破坏活动呢?它主要是通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁。一但蠕虫病毒进入一台电脑,就会迅速地吞噬大量的内存和大量的带宽,从而造成机器停止响应。
病毒专家称,目前战胜蠕虫病毒的难点主要因为蠕虫病毒的几个特点:第一,蠕虫病毒利用操作系统和应用程序的漏洞主动进行攻击,而信息系统的漏洞显然是不可能彻底根除的;第二,蠕虫病毒传播方式的多样化,让人防不胜防;例如“尼姆达”病毒和“求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享、网页触发等等;第三,病毒制作技术与传统病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,十分容易修改以产生新的变种,从而逃避反病毒软件的搜索。第四,蠕虫病毒与黑客木马技术相结合;潜在的威胁和隐蔽性更大,以“红色代码”为例,感染后机器的Web目录的\scripts下将生成一个root.exe,可以远程执行任何命令,从而使黑客能够再次进入。
尽管蠕虫病毒如此多变与凶恶,但是专家还是给出我们一些防范措施和建议。比尔·盖茨曾就此问题指出,微软的安全公告中有对最新漏洞的详细说明,而且微软也提供了安全补丁提供下载,及时打好补丁是应对蠕虫最主动的方法。Gartner Group于4月所做的分析也指出,2003年,有25%的网络攻击事件来自已知漏洞。
很多计算机安全厂商也提醒用户,不要随便打开可疑的电子邮件附件文件。由于病毒将自己伪装为来自电子邮件系统管理员的错误信息,许多人在发现邮件的正文中信息太少时会毫不犹豫地打开附件文件。对此,有关专家称,该病毒采用的是病毒和垃圾邮件相结合的战术。由于许多用户对此并不知情,使得这种病毒的传播速度有日渐加速的趋势。
蠕虫猛于虎——它会走向何方
病毒在发展,网络在发展,网络又促进了病毒的发展,复杂的病毒又朝着变形病毒发展。
计算机安全方面的权威人士宣称,“震荡波”病毒在全球的肆虐使人们对互联网安全性的关注再次升温。随着互联网日渐普及,全球用户已经突破10亿,网上罪犯将伺机利用用户、企业及不安全系统所带来的机会,进行“高利润、低成本”的网上犯罪,掀起网上犯罪的新高潮,所以这个趋势也会使网络病毒持续以高速增长。尤其是黑客技术与蠕虫病毒技术融合在一起的混合型病毒会越来越多。
另据计算机科学研究人员预测,未来还可能会出现一种新型的异常危险的蠕虫病毒,它能够迅速地攻击互联网服务器、浏览器和其他软件,甚至能够在数分钟之内控制整个互联网。尽管这种病毒目前还仅仅只是一种理论,并已经引发了一些人的怀疑,但很少有人认为这纯属天方夜谭。
而针对蠕虫病毒本身的发展,江民科技称,蠕虫病毒本身发展趋势将向着本土化、变种多,传播更快方向发展。同时,在病毒的制作、散播上有本土化的趋势,例如从今年年初的“桃色陷阱”、“武汉男生”、“盗号王”来看,本土病毒的爆发几率和破坏强度都有所增强;就病毒的种类来说,电脑病毒已开始将破坏重点从单纯的破坏系统文件转移到盗取用户卡号、密码等隐私信息上,木马类间谍软件、QQ病毒以及网络游戏病毒逐步成为热点。
甚至有军事信息专家称,未来的蠕虫病毒将会设计成为只攻击一个特定国家的网络系统。这将会使蠕虫病毒变为信息战中一项非常有效的武器,因为它能够被用来攻击一个特定的国家,而不是随机地攻击与互联网相连接的计算机。
总而言之,信息安全问题,正朝着混合威胁方向发展,而蠕虫正好代表这种趋势,并且它还在飞速地发展。所以,与蠕虫病毒的斗争将是一场比其他信息安全问题更加艰苦而漫长的斗争。但是,只要我们一方面堵住自身系统的漏洞,一方面提高各方面的反病毒技术,控制蠕虫病毒,甚至彻底战胜之,并不是一个遥不可及的梦想。任那只“虫儿”爬得再远,我们终将赢得安全!
(责任编辑:宋红伟)
|
