论文部分内容阅读
8月15日,一个新的蠕虫病毒“Worm.Zotob”开始肆虐网络。它利用了微软刚刚发布的一个编号为MS05-039的漏洞进行传播。该病毒会造成类似受冲击波和震荡波病毒攻击时的症状—计算机倒计时并重新启动。
又是漏洞惹的祸,这是我15号拿到病毒样本的第一感觉。微软发布重大漏洞(一般是远程溢出可执行代码类的漏洞)后一般都会出现相对应的病毒,而且这些病毒往往都会造成较大的危害,从红色代码、尼姆达再到后来的SQL蠕虫病毒、冲击波和震荡波病毒均是如此。
而从一个漏洞被发现到出现利用该漏洞进行传播和破坏的病毒所用的时间也越来越短,这几乎快成了反病毒界的“墨菲法则”了。2000年10月尼姆达(Nimda)病毒出现距离微软提供补丁有将近一年的时间,而2003年8月爆发的冲击波病毒将这个时间减少为26天。2004年4月的震荡波病毒又进一步缩短了这个时间。而此次微软发布新的补丁后仅仅过了5天,Worm.Zotob就开始爆发了。
由此可见,病毒留给系统管理员进行系统修补的时间越来越短。很可能上午软件厂商刚刚发布系统漏洞补丁,下午就会出现针对这个漏洞的病毒。甚至病毒会利用一个还没有提供补丁或者还没有公布甚至还没被发现的系统漏洞进行传播,这样留给系统管理员的响应时间基本为零。
分析了一下这个病毒,它利用了微软最新发布的“即插即用服务漏洞”(MS05-039)进行传播。当在Windows系统上安装了新硬件后,即插即用 (PnP) 允许操作系统检测它并安装相应的驱动程序,该服务默认开启。
Zotob蠕虫会自动对网络中的计算机进行扫描,连接远程计算机的TCP 445端口并进行攻击。攻击过程中可能导致存在漏洞的计算机崩溃,频繁重新启动。一旦计算机被该病毒感染,则会成为一个新的病毒源,继续向其他计算机发送攻击数据包。病毒会修改染毒计算机的Hosts文件,致使这些机器无法对多个杀毒软件厂商的网站进行访问,杀毒软件也无法在线升级。同时病毒还会自行开启后门,使染毒的计算机群构成庞大的僵尸网络供黑客远程控制并为向其他网站发起攻击做好准备。病毒会向染毒计算机的Hosts文件中写入:
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
病毒声称将在24小时之内干掉第一个发现此病毒的杀毒软件。
截止到8月18日,该病毒已经出现了多个变种,同时也有其他一些利用此漏洞进行传播的病毒出现。非常奇怪的是,我们截获的这些病毒样本还会互相“打架”,新出现的蠕虫会自动杀除老的蠕虫病毒。看样子这些变种是由三个不同的组织编写的,而那些用户的计算机则成为了这些组织进行搏杀的战场。
虽然在Windows XP和2003系统上同样存在着“即插即用服务漏洞”,但在这些系统上应用此漏洞需要的条件相对复杂。因此,Zotob蠕虫及其变种病毒主要是针对Windows 2000系统进行攻击。
本以为随着XP的普及以及人们安全意识的提高,这个病毒不会造成什么危害。但是从客户服务部的同事那里得知,这个病毒虽比不上冲击波和震荡波那样的危害,但也有不少人被这个病毒感染。截止到8月18日,已经有几十家企业受到此病毒影响,而个人感染此病毒的人数也达到了数百人。
由此看来,许多人仍然没有吸取冲击波和震荡波所带来的教训,而漏洞扫描和修补仍然是信息安全防护中的重中之重。□