新年伊始,就在大多数人们还沉浸在新年的欢乐之中的时候,一种名为MyDoom(又称为Novarg)的病毒也来凑热闹,并迅速在互联网上流传开来。一家从事反垃圾邮件和杀毒业务的美国公司MXLogic于近日宣布,在单位时间段内,他们截获了600万封受感染的电子邮件,而在同样的单位时间内,去年最厉害的病毒SoBig.F爆发时,他们截获的感染邮件数量为350万封。由此,他们认为MyDoom已经成为互联网历史上传播最迅猛的病毒。而来自于其他几家病毒公司的消息也证实了这一说法,西班牙的杀毒软件公司熊猫软件也发出警告,“在今后几个小时,如果Mydoom继续增加,将形成计算机史上最大规模的感染”。据英国安全公司MessageLabs表示,其到2月3日为止已经阻止了超过1600万封带有“MyDoom”病毒的电子邮件。
这个杀手不太冷
MyDoom又称为“Novarg”、“WORM_MIMAIL.R”,目前广为流传的主要有两个变种,Mydoom.A和Mydoom.B,以电子邮件附件的形式自我发送。Mydoom通过随机编写“hello”、“MailTransactionFailed”、“Test”等主题的电子邮件扩散,名称大多伪装成错误信息,附件的扩展名为“.cmd”、“.exe”、“.scr.”、“.zip”、“.pif”、“.bat”、“.cmd”其中之一。运行附件后,蠕虫病毒在系统文件夹中以“taskmon.exe”的名称进行自我复制,然后监视3127~3198的TCP端口,等待攻击者随后发送的文件。Mydoom.A病毒设置被感染的计算机于2004年2月1~12日向美国SCO集团的Web网站“www.sco.com”发起DDoS(拒绝服务)攻击,而其变种Mydoom.B的攻击对象中还包括了美国微软的网站“microsoft.com”。该蠕虫病毒还搜集保存在扩展名为“.htm”、“.sht.”、“.php”、“.asp”、“.dbx”、“.tbb”、“.adb.”、“.pl”、“.wab”、“.txt”文件中的电子邮件地址。此外,该病毒蠕虫还具有变更Windows主文件并改写特定的因特网地址,从而使感染该蠕虫的电脑无法访问反病毒供应商的WWW网站,导致受感染的用户无法及时升级杀毒软件的能力。根据目前已经得到的消息证实,该病毒所能屏蔽的杀毒软件厂商均为国际性的大厂,一些二线杀毒软件厂商和国内的杀毒软件厂商则不在其屏蔽范围内。
从已经出现的分析,此次爆发的MyDoom系列病毒对其被其感染的个人用户本身并没有造成太大的伤害,除了网速会受其影响以外,其他的影响不是很大。该病毒及其变种所攻击的SCO和微软是近来遭受诟骂比较多的公司,从某个角度来说,该病毒还颇有一点“劫富济贫”的味道,SCO因为起诉开放源代码系统内的众多Linux公司而遭到全球开放源代码软件团体和爱好者一致批评,而微软则更是“反面典型”,历次病毒攻击的主要对象都少不了它。
截止到目前为止,该病毒已经SCO.com网站暂停运营,SCO公司也不得不推出临时网站来应对,其变种将攻击微软网站的消息也令微软紧张和重视,宣称已经采取有效措施措施应对来自Mydoom病毒潮水般的攻击,所以MicroSoft.com网站依然屹立。
扑朔迷离难稽凶
SCO公司于不久前宣布,悬赏25万美元捉拿制造MyDoom拒绝服务攻击蠕虫病毒的作者。SCO的CEO达尔-麦克布莱德在一份声明中称:“过去的几个月中,SCO一直都是拒绝服务式攻击的目标之一。此次的MyDoom病毒与众不同,更加难以对付,虽然目前还没有对SCO公司带来损害,但是全球很多公司和组织的计算机都已经遭到了它的破坏。病毒的制造者想要攻击SCO,其它人同时受害。我们并不知道攻击的原因,不过目前已经有了怀疑的对象,这是一种犯罪行为,应该立即制止”。SCO方面还指出,公司正与美国联邦调查局等执法机构进行合作,确定病毒发布者的身份。杀毒软件公司公司CentralCommand负责产品与服务的副总裁史蒂芬-桑德梅尔则认为,此前也有公司悬赏捉拿病毒制造者,但是“根据以往的经验,这种作法一般不会有效。微软也曾悬赏25万美元寻找大无极和Gibe病毒的作者,但最终却是无功而返”。反病毒专家也表示,除非MyDoom的作者今后在某个场合因管不住自己嘴巴而走漏风声,否则查找MyDoom始作俑者的任务无疑是大海捞针。
麦克布莱德在声明对该病毒的制造者来源有所指称:“对于SCO为何会遭到攻击的原因,我们还不得而知,但目前我们已经有了怀疑的对象。”但这并不足以使该公司真正确定病毒制造者,反病毒调查公司MessageLabs就表示,MyDoom首先在俄国出现,但却并不能就此认为该病毒的作者就生活在俄国。根据目前所公布的消息显示,目前唯一能够显示MyDoom病毒作者身份的唯一线索仅仅是隐藏在病毒代码中的一行字:“sync-1.01;安迪,我正在忙自己的工作,与私人无关,对不起。”为此,素有罅隙的SCO公司及开源软件社区之间都指桑骂槐而相互指责,MyDoom的变种却又向微软的网站发起了攻击,这样MyDoom作者的原始动机就更加让人感到迷惑不解了。
开源软件社区甚至作出了非常大胆的假设,如开源软件爱好者集聚地之一Slashdot.org网站上就贴出这样的言论:MyDoom拒绝服务攻击实际上是SCO上演的一出“苦肉计”,即SCO涉嫌卷入了预谋向自己所发起的攻击。该网站上一名署名Dukeofshadows的网民说,SCO在这个时候上演“苦肉计”,原因是它可以借此达到提高自己产品可靠性的目的。
另一名开源软件专家布鲁斯-佩伦斯BrucePerens也对此表示,虽然一切都是猜测,但从SCO此前对Linux社区所发起了攻击力度看,大量的证据表明,SCO为了达到将对手置于不利地位的目标,它就有可能会采取向自己网站发起攻击的行为。布鲁斯在网上发布的文章写道:“总而言之,MyDoom的原始作者可能是垃圾邮件散布者,也有可能是SCO,更有可能是其它人。但不管怎样,其原始动机还是为了诽谤Linux开发者。”
美国《商业周刊》网站刊登了专题评论文章对此有所批评:有反病毒专家们指出,MyDoom病毒的危害性不容忽视。目前面临的最主要任务其实是如何最大程度清除它所带来的负面影响,并对它可能实施的下一次攻击做好种种防范工作。如果老在究竟是谁制造了MyDoom这个问题上纠缠不休,这种态度并不能使网络安全程度有丝毫的提高。
美国政府安全部门在不久前推出了一个电脑预警系统,美国公民可以在www.us-cert.gov免费注册使用该系统和报警,注册当天就有1百万的点击率。电脑预警系统申请使用成功后,将会发给用户一份电子邮件。里面介绍了发生的病毒和其他互联网袭击的情况,同时详尽的讲解了使用方法以便于用者及时的保护自己。布什政府的电脑安全部部长AmitYoran表示,“国家安全局发出的警报将给人民一定程度的信心。”他还重申尽管在提供报警的速度和准确性方面具有巨大的困难,但政府也要在这里闯出一条血路。但美国国会议员CharlesSchumer迅即对它作出批评,他认为系统在病毒大规模爆发之后才报告是不恰当的。而且他还预计黑客会模仿邮件警报来传播病毒而欺骗电脑用户。
其实,不管基于什么样的理由和目的,这种采取病毒攻击的手段都是非常可耻的,也因该受到法律的制裁。虽然目前该病毒对个人用户的伤害还不大,但我们却不能由此而对病毒制造者有任何的姑息。摆在普通用户是一个更重要的问题,那就是,现在病毒制造者的水平在不断提高,众多的专业厂商都应接不暇,我们普通用户对此免疫能力是极为薄弱的。我们到底能通过什么手段来保护自己的财产和利益?
|
