2001年流行病毒新特性
自Happytime開始,2001年的流行病毒就開始體現出與以往病毒截然不同的特徵和發展方向,它們無一例外地與網路結合,並都同時具有多種攻擊手段。尤其是SirCam之後的病毒,往往同時具有兩個以上的傳播方法和攻擊手段,一經爆發即在網路上快速傳播,難以遏制,加之與駭客技術的融合,潛在的威脅和損失更巨大。通過分析對照,我們不難發現今年流行病毒的新特性:
利用微軟漏洞主動傳播
CodeRed、Nimda、WantJob、BinLaden都是通過利用微軟漏洞而進行主動傳播的。尤其是Nimda、WantJob、BinLaden利用微軟的Iframe ExecCommand漏洞,使沒有給IE打補丁的用戶會自動運作該病毒,即使沒有點擊,只要瀏覽或預覽染毒郵件就會中毒。正因為如此,這幾種病毒才得以如此廣泛流傳。
局域網內快速傳播
雖然年初的FunLove病毒就初具局域網傳播的特性,但是Nimda和WantJob才算讓人們真正見識到局域網的方便快捷被用在病毒傳播上會更“有效”。Nimda不僅能透過局域網向其他電腦寫入大量具有迷惑性的帶毒文件,還會讓已中毒的電腦完全共用所有資源,造成交叉感染。一旦在局域網中有一台電腦染上了Nimda病毒,那麼這種攻擊將會無窮無盡。
以多種方式傳播
過去的病毒想方設法隱藏自己,生怕被發現後無可逃匿,而現在電腦與外面的聯繫四通八達,一般都有兩種以上的傳播方式,如Nimda,可以通過文件傳染,也可以通過郵件傳播,還可以通過局域網傳播,甚至可以利用IIS的Unicode後門進行傳播,真可謂“合理利用資源”。
大量消耗系統與網路資源
電腦感染了Nimda、WantJob、BinLaden等病毒後,病毒會不斷遍歷磁片,分配記憶體,導致系統資源很快被消耗殆盡。最明顯的特點是電腦速度變慢,硬碟有高速轉動的震動聲,硬碟空間減少。而且,像CodeRed、Nimda、WantJob等病毒還會瘋狂地利用網路散播自己,往往會造成網路阻塞。
雙程式結構
如WantJob和BinLaden都是雙體結構,運作後分成兩部分,一個負責遠端傳播(包括E-mail和局域網傳播),另一個負責本地傳播,各司其職,大大增強了病毒的傳染性。
用即時工具傳播病毒
Goner能利用ICQ傳文件的功能向別的電腦散播病毒體,這也許會是繼郵件病毒之後的又一個大量散播病毒的途徑。現在即時通信工具用戶群很廣,而且在聊天時往往戒心更低,一不小心就會中了病毒的圈套。
病毒與駭客技術的融合
包括紅色代碼Ⅱ、尼姆達等都與駭客技術相結合,從而能遠端調用染毒電腦上的數據,使病毒的危害劇增。
遠端啟動
WantJob在部分條件下可以遠端啟動,是這個病毒的一大特徵,也是獨具特色的危害點。遠端啟動是網路管理的一種有效手段,也被NT系統所支援,一旦病毒成功利用了這一點,它只需感染局域網中的一台電腦即可把危害擴散至整個局域網。
發展趨勢及反病毒對策
今年的病毒在很多地方改變了人們對病毒的看法,而且,它還改變了人們對病毒預防的看法。過去總是説,只要不用盜版軟體,不隨便使用別人的軟碟,不亂運作程式,就不會染毒。而現在呢?有了網際網路和作業系統的漏洞,就算你坐著不動,病毒也會找到府來,真可謂防不勝防。所以,今年,網際網路上的資訊安全也成為整個業界關注的重點。
從由Happytime到Goner的發展趨勢來看,現在的病毒已經由從前的單一傳播、單種行為,變成依賴網際網路傳播,集電子郵件、文件傳染等多種傳播方式,融駭客、木馬等多種攻擊手段為一身的廣義的“新病毒”。通過分析今年這六個病毒的“進化”之路,我們可以預見今後病毒的一些特點:
1. 與Internet和Intranet更加緊密地結合,利用一切可以利用的方式(如郵件、局域網、遠端管理、即時通信工具等)進行傳播;
2. 所有的病毒都具有混合型特徵,集文件傳染、蠕蟲、木馬、駭客程式的特點于一身,破壞性大大增強;
3. 因為其擴散極快,不再追求隱藏性,而更加注重欺騙性;
4. 利用系統漏洞將成為病毒有力的傳播方式。
由於病毒的快速發展,勢必要求反病毒廠商要跟上時代的步伐,以保證網際網路時代的資訊系統安全。所以,作為新一代的反病毒軟體,必須做到以下幾點:
1. 全面地與網際網路結合,不僅有傳統的手動查殺與文件監控,還必須對網路層、郵件客戶端進行實時監控,防止病毒入侵;
2. 快速反應的病毒檢測網,在病毒爆發的第一時間即能提供解決方案;
3. 完善的線上升級服務,使用戶隨時擁有最新的防病毒能力;
4. 對病毒經常攻擊的應用程式提供重點保護(如MS Office、Outlook、IE、ICQ/QQ等),如Norton的Script Blocking和金山毒霸的“嵌入式”技術;
5. 提供完整、即時的反病毒諮詢,提高用戶的反病毒意識與警覺性,儘快地讓用戶了解到新病毒的特點和解決方案。
新華社 2002年01月08日
