论文部分内容阅读
三月底正当以美、英为首的北约空军空袭南联盟的战争进行得如火如荼之时。在另一个战场上,即国际互联网Internet上一场不见硝烟的战争却也杀得频有点剌刀见红的意味,一种称为“美丽杀”(W97M_MELISSA)的病毒,在被发现之后短短24小时之内已经使数万服务器、数十万工作站被感染,几乎在一夜之间,全世界许多家大型企业的服务器被摧毁,包括Microsoft和Intel在内的许多著名IT行业巨头也被迫关闭了他们的Outgoing Mail Server服务器。美国Yahoo、American Online等几个大型网站公司,就因为梅莉莎“灌破”了他们的邮件服务系统,迫使他们终止这项业务,不能收信,也不能发信。甚至美国联邦调查局和美国国家设施保护中心(NIPC)也随之发出病毒警报,CERT Coordination Centre发布了详尽的病毒报告,在INTERNET的发展过程中出现了自1988年“莫里斯蠕虫”事件后历史上的第二次瘫痪。据有关机构初步估计头几天造成的损失已达数十亿美元以上。其传播速度之快,范围之广都是罕见的。纽约时报(《NEW YORK NEWS》)甚至以“前所未有的Internet病毒风暴”来形容。
那么这个“美丽杀”到底是何方神圣,为何有如此高强的法力?据国内知名的反病毒厂商,冠群金辰公司和乐亿阳趋势公司介绍:“美丽杀”是全世界第一只通过Microsoft Exchange和Outlook自动散发“邮件垃圾”的恶性病毒,该病毒传染的对象是Word97 和Word2000系统。当用户打开已传染有该病毒的文件时,Melissa便传染用户系统,同时,病毒通过用户收发带毒的文件互相传染,传染过程非常隐蔽。Melissa病毒的具体表现症状是:
1.当用户打开的文件传染有该病毒时,病毒首先检查注册表中是否有Melissa的注册信息,若有则表明系统已被传染,否则,在注册表中创建一条注册项如下:
HKEY_CURRENT_USER\Software\Microsoft\Office\"Melissa?" = "... by Kwyjibo"
2.利用Visual Basic 指令建立一个OutLook对象,从OutLook的全域地址表中获取成员地址信息, 将下列信息以电子邮件方式, 自动发送到地址表中的前50 个邮箱(一次发送50封邮件)。其中:
邮件主题(Subject)为: "Important Message From -" (来自的重要信息,User Name可能是你非常熟悉的一个人的名字。)
正文为:“Here is that document you asked for ... don’t show anyone else ;-)”。(这是你所要的文档...不要给其他任何人看。)之后病毒将已传染有该病毒的文件作为附件,附加到该信息后面发送出去。目前较为流行的一种附件的文件名为"list.doc"(注意附件的文件名并不只有这一种)。
3.当用户接收到带毒的邮件并打开时,用户的Word 系统中所有打开的文件将被传染。当机器系统的分钟值与当前的日期相同时,打开一个被传染的文件,病毒将在当前的光标位置插入下列信息:
“Twenty-two points,plus triple-word-score,plus fifty points for using all my letters. Game’s over. I’m outta here.”(二十二点,加上三倍字数得分,再加上阅读我的信件所需的五十点。游戏结束。我要到这儿了。)
4.值得注意的是Melissa病毒在传染Office2000时, 首先从注册表中检查其安全保护级别,检查注册表中HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security\"Level"的值是否为0,如不为0病毒将禁用菜单中的"MACRO/SECURITY"选项。如果用户使用的系统是Word97,则病毒禁用菜单中"TOOLS/MACRO"选项。Melissa宏病毒代码中包括下列注释: ’WORD/Melissa written by Kwyjibo ’Works in both Word 2000 and Word 97 ’Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide! ’Word -> Email | Word 97 <--> Word 2000 ... it’s a new age!
(由于病毒自动地进行自我复制,因而属于蠕虫类病毒,“作者显然对此颇为得意,他在病毒代码中写道:蠕虫类?宏病毒?Word97病毒?还是Word2000病毒?你自己看着办吧!”)
另据最新的消息称,安全专家们一直担心的事情已得到证实,“美丽杀”病毒已经出现了几种更加具有破坏力的变种。其中一种不包含"Important Message From"标题行的变种已经通过Internet传播到全世界,而这种标题行原来是作为该类病毒的鉴别标志的。另一种变种利用一种Excel宏,能够绕开网络管理员上周末设置的保护措施进入计算机。这一最新情况引起了计算机安全官员们的警惕,他们担心由于黑客们不断改变其代码,这种宏病毒会具有多重特性。
自从“美丽杀”病毒开始在Internet上传播以来,IT管理者们夜以继日地工作,试图阻止它们的传播。最初的方法是利用其标题行对电子邮件进行过滤。但是现在他们不得不重新开始研究对策,因为新的病毒变种能够绕过这种保护措施。而且,计算机安全专家警告说,“美丽杀”病毒的变种能够很容易地携带更多的"致命"载荷。
世界上著名的几家计算机反病毒软件厂商正奋起迎战,在国内,著名的反病毒软件Kill、PC-cillin等都于第一时间针对“美丽杀”病毒进行了升级,可以对此病毒进行有效的预防和清除。并建议用户不要使用宏、不要随便打开电子邮件附件,尽快升级自己的反病毒软件,保证机密信息不被泄露。
与不久前在Internet上广泛传播的Happy99病毒类似的是,二者都通过电子邮件进行传播,借助于四通八达的Internet网络,其传播速度之快、传播范围之广都是以往的各种病毒所无法比拟的。虽然他们对计算机系统不会造成致命的破坏,但造成的损失仍然是非常巨大的。这次事件又一次为我们敲响了警钟,如果说网络的瘫痪还可以通过清除病毒加以恢复,那么“美丽杀”病毒通过电子邮件窃取用户机密并加以无限扩散,给各大企业用户造成的危害将是无法弥补的。所有涉及政府、企业核心机密的文件,都有可能因为感染“美丽杀”病毒而通过电子邮件的反复传递而扩散出去,甚至受侵害的用户都无法知道这些机秘信息被传到了哪里?被谁收到了?
现在,国内的广大企业正致力于加快企业的信息化、网络化建设,随着Internet应用的日益普及,企业的经营和管理对网络的依赖将越来越大,如何管理好、保护好我们的网络,以使其能够安全、可靠的运行已成为企业网络使用者和管理者所面临的当务之急。所谓“亡羊补牢,尤未为晚”,以往的经验教训告诉我们,决不能存在侥幸心理,应尽快健全企业网络系统的安全管理制度,加强网络安全设施的建设。
那么这个“美丽杀”到底是何方神圣,为何有如此高强的法力?据国内知名的反病毒厂商,冠群金辰公司和乐亿阳趋势公司介绍:“美丽杀”是全世界第一只通过Microsoft Exchange和Outlook自动散发“邮件垃圾”的恶性病毒,该病毒传染的对象是Word97 和Word2000系统。当用户打开已传染有该病毒的文件时,Melissa便传染用户系统,同时,病毒通过用户收发带毒的文件互相传染,传染过程非常隐蔽。Melissa病毒的具体表现症状是:
1.当用户打开的文件传染有该病毒时,病毒首先检查注册表中是否有Melissa的注册信息,若有则表明系统已被传染,否则,在注册表中创建一条注册项如下:
HKEY_CURRENT_USER\Software\Microsoft\Office\"Melissa?" = "... by Kwyjibo"
2.利用Visual Basic 指令建立一个OutLook对象,从OutLook的全域地址表中获取成员地址信息, 将下列信息以电子邮件方式, 自动发送到地址表中的前50 个邮箱(一次发送50封邮件)。其中:
邮件主题(Subject)为: "Important Message From -
正文为:“Here is that document you asked for ... don’t show anyone else ;-)”。(这是你所要的文档...不要给其他任何人看。)之后病毒将已传染有该病毒的文件作为附件,附加到该信息后面发送出去。目前较为流行的一种附件的文件名为"list.doc"(注意附件的文件名并不只有这一种)。
3.当用户接收到带毒的邮件并打开时,用户的Word 系统中所有打开的文件将被传染。当机器系统的分钟值与当前的日期相同时,打开一个被传染的文件,病毒将在当前的光标位置插入下列信息:
“Twenty-two points,plus triple-word-score,plus fifty points for using all my letters. Game’s over. I’m outta here.”(二十二点,加上三倍字数得分,再加上阅读我的信件所需的五十点。游戏结束。我要到这儿了。)
4.值得注意的是Melissa病毒在传染Office2000时, 首先从注册表中检查其安全保护级别,检查注册表中HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security\"Level"的值是否为0,如不为0病毒将禁用菜单中的"MACRO/SECURITY"选项。如果用户使用的系统是Word97,则病毒禁用菜单中"TOOLS/MACRO"选项。Melissa宏病毒代码中包括下列注释: ’WORD/Melissa written by Kwyjibo ’Works in both Word 2000 and Word 97 ’Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide! ’Word -> Email | Word 97 <--> Word 2000 ... it’s a new age!
(由于病毒自动地进行自我复制,因而属于蠕虫类病毒,“作者显然对此颇为得意,他在病毒代码中写道:蠕虫类?宏病毒?Word97病毒?还是Word2000病毒?你自己看着办吧!”)
另据最新的消息称,安全专家们一直担心的事情已得到证实,“美丽杀”病毒已经出现了几种更加具有破坏力的变种。其中一种不包含"Important Message From"标题行的变种已经通过Internet传播到全世界,而这种标题行原来是作为该类病毒的鉴别标志的。另一种变种利用一种Excel宏,能够绕开网络管理员上周末设置的保护措施进入计算机。这一最新情况引起了计算机安全官员们的警惕,他们担心由于黑客们不断改变其代码,这种宏病毒会具有多重特性。
自从“美丽杀”病毒开始在Internet上传播以来,IT管理者们夜以继日地工作,试图阻止它们的传播。最初的方法是利用其标题行对电子邮件进行过滤。但是现在他们不得不重新开始研究对策,因为新的病毒变种能够绕过这种保护措施。而且,计算机安全专家警告说,“美丽杀”病毒的变种能够很容易地携带更多的"致命"载荷。
世界上著名的几家计算机反病毒软件厂商正奋起迎战,在国内,著名的反病毒软件Kill、PC-cillin等都于第一时间针对“美丽杀”病毒进行了升级,可以对此病毒进行有效的预防和清除。并建议用户不要使用宏、不要随便打开电子邮件附件,尽快升级自己的反病毒软件,保证机密信息不被泄露。
与不久前在Internet上广泛传播的Happy99病毒类似的是,二者都通过电子邮件进行传播,借助于四通八达的Internet网络,其传播速度之快、传播范围之广都是以往的各种病毒所无法比拟的。虽然他们对计算机系统不会造成致命的破坏,但造成的损失仍然是非常巨大的。这次事件又一次为我们敲响了警钟,如果说网络的瘫痪还可以通过清除病毒加以恢复,那么“美丽杀”病毒通过电子邮件窃取用户机密并加以无限扩散,给各大企业用户造成的危害将是无法弥补的。所有涉及政府、企业核心机密的文件,都有可能因为感染“美丽杀”病毒而通过电子邮件的反复传递而扩散出去,甚至受侵害的用户都无法知道这些机秘信息被传到了哪里?被谁收到了?
现在,国内的广大企业正致力于加快企业的信息化、网络化建设,随着Internet应用的日益普及,企业的经营和管理对网络的依赖将越来越大,如何管理好、保护好我们的网络,以使其能够安全、可靠的运行已成为企业网络使用者和管理者所面临的当务之急。所谓“亡羊补牢,尤未为晚”,以往的经验教训告诉我们,决不能存在侥幸心理,应尽快健全企业网络系统的安全管理制度,加强网络安全设施的建设。