“蠕虫”之疫

　　1月25日，一种新型蠕虫病毒———“Worm.SQLexp.376”在全球大规模爆发，造成局部互联网络的瘫痪，并呈迅速蔓延之势。

　　从攻击手段上看，此次病毒与2001年夏季肆虐全球的“红色代码”病毒非常类似，只是危害更甚于后者。

　　这种病毒被一些专家称为“强风”，也有人称之为“蓝宝石”或“SQL地狱”。

　　有传言说，病毒源于香港，也有说源于美国。

　　据熊猫卫士(中国)有限公司技术总监金锴介绍，该蠕虫本身非常小，仅仅是一段376个字节的数据，利用的安全漏洞是MicrosoftSQLSERVER2000的解析端口1434的缓冲区溢出漏洞。

　　蠕虫溢出成功取得系统控制权后，就开始向随机IP地址发送自身，发送的数据量非常大，每秒钟可达千个数据包，导致网络访问阻塞。

　　“2002年6月份就发现了微软SQLSERVER2000的这个漏洞，7月17号，微软公司发布补丁软件，但是很多的公司的网络管理员并没有及时更新。”金锴说，“目前，病毒发源地还没有确定。”

　　由于该病毒传播能力极强，已经造成了全球性的网络灾害。日本、泰国、马来西亚、菲律宾以及澳大利亚等国家的网站也受到了攻击，导致和互联网相关的通信、商务和娱乐中断，“地球村”变成了一个个“信息孤岛”。

　　据估计，全世界至少有2.2万个以上的系统被攻击，受到影响的服务器约15万至20万台。

　　受影响最严重的地区是欧洲北部、美国东部和亚洲的一些国家。美国美洲银行称1.3万台自动取款机瘫痪，大量银行客户无法使用取款机取款。另据路透社报道，在攻击高峰期，欧洲地区的网络处于瘫痪状态。而亚洲的韩国成了重灾区：25日下午2点开始，韩国电信公司部分域名服务器受到大量数据连续攻击，服务器几乎陷于瘫痪，各种票务预订、网上购物、电子邮件难以进行，遍布韩国的网吧经营也遭到打击。

　　据称，这种病毒还有可能入侵到微软的其他数据库服务器当中。

　　我国受损轻微

　　中国主干网在这场瘟疫中也未能幸免。本报记者采访了中国互联网协会副秘书长黄澄清，他说：“这次病毒攻击的影响主要是网络速度变慢，偶尔出现中断。”

　　1月25日晚，国内互联网用户就发现网络速度很慢，不能访问一些网站。几乎同时，国内就有信息安全厂商截获该病毒，并发出紧急预警。

　　公安部相关机构紧急召集瑞星等国内信息安全厂商研讨应对措施，并组织人员奔赴中国电信、中国网通等部门开始病毒反击战。有关部门与中国电信、中国教育科研网、科技网等网络运营单位协调一致，在其骨干网路由器上采取应急过滤措施。

　　在各信息安全公司的协助下，各网站和网络服务器所属单位陆续开始下载微软的补丁程序，部分网络通信开始恢复。

　　据业内人士介绍，一般是一些小网站使用MicrosoftSQL服务器，这些小网站开展的电子商务可能会受到影响。

　　记者在上海、四川等地区进行抽样调查，受访的企业称没有发现什么问题，内部网运行正常。由于企业的SQL服务器没对外提供，网络入口、出口都作了保护，而且病毒代码都自动升级，企业没有受到大的影响。

　　黄澄清说，我们现在关心的是中国的机器和网络别受损失，对病毒的来源我们不太清楚，但肯定不是来自中国。目前造成的损失，这方面的数据难以统计，但可以肯定地说，我国没有太大的损失，银行系统等重要部门没有受到影响，对个人用户也没有影响。

　　据介绍，该蠕虫对被感染机器没有进行任何恶意破坏行为，也没有向硬盘上写文件。对于感染的系统，重新启动后就可以清除蠕虫，但是仍然会重复感染。

　　建立应急机制

　　微软公司美国当地时间1月25日表示，针对其核心数据库软件的病毒使得全球互联网速度减慢，而且还有可能感染微软其他软件，除非用户事先对这些软件进行升级。

　　据称，这可能与历史上发现的几个MicrosoftSQLServer2000漏洞有关，也可能是某个未公开的漏洞。

　　本次的攻击表明，依赖补丁软件的安全策略是有问题的，这并非指它无效，而是许多系统管理员都不安装补丁软件。专家指出，红色代码和Nimda这二种最知名的病毒都利用了已经有补丁软件的安全缺陷。由于每年发现的软件安全漏洞有4000多个，系统管理员很难安装所有的安全缺陷的补丁软件。

　　尽管各厂商都建立了向用户通报的机制，但安装补丁软件需要一定的时间，而且它可能会与其他系统和应用软件发生冲突。

　　黄澄清还指出，对这次危机，国内企业应付比较快，但将来出现新的情况能否应付还很难说。当务之急就是加紧研究，大家要联动，建立快速反应机制。

　　其实不止是信息安全厂商，更多的部门和个人都应该对信息安全承担属于自己的一份责任。

　　安全人士指出，为了预防病毒的再次大规模爆发，业界必须对安全进行再思考。

　　在软件发售前提高其安全性的方法，减少安装补丁软件的需要。“信息安全公司必须为用户提供的安全策略、网络漏洞检测和修补、紧急情况应对措施、版本升级和技术支持以及灾难后的恢复等等，这些也应该是厂商提供给用户的产品。”

　　蠕虫利用的安全漏洞背景：

　　SQLServer2000允许在同一个单独的物理设备上管理多个instance，在对每一个instance进行操作时，可以把它们看作是一个单独的服务器。然而这多个instance却不能都使用SQLServer的标准会话端口TCP1433。当默认instance在TCP端口1433监听的时候，另外的instance就只能在系统分配给它们的其它端口监听。另外SQLServer2000运行在UDP1434端口上的解析服务(ResolutionService)提供了这样一种功能，即为一个专门的instance申请一个合适的网络端点\(networkendpoint\)。

　　2002年7月该服务被安全漏洞研究人员(DavidLitchfield)发现存在严重安全性问题。入侵者通过构造特殊数据包可以达到两个目的，其一是恶意停止SQL2000服务运行，其二是通过精心覆盖特别地址并夹带执行恶意代码从而达到获取系统最高权限的目的。