编者按：8月12日，一个让很多中国计算机用户难以忘记的日子，又一种网络蠕虫病毒“冲击波(MSBlast)”的爆发，使很多计算机与网络陷入了瘫痪。在众多传统防病毒厂商反复指导公众如何查毒、杀毒的时候，在国内入侵检测(IDS)和安全服务两大领域占有最高市场份额的启明星辰信息技术有限公司，作为中国网络安全的领导厂商，提出了独到而新颖的网络蠕虫病毒预警与防范理念。

　　黑客技术与病毒技术的融合

　　回首已经过去的2001年、2002年，“网络蠕虫病毒”对于大多数计算机用户来说，并不是一个陌生的字眼。大量网络计算机用户头疼不已的Nimda(尼姆达)、CodeRed(红色代码)、Founlove.4099、Sircam病毒纷纷粉墨登场，而且破坏力惊人。纵观这些网络蠕虫病毒，其攻击矛头直指网络用户，对个人用户来说，破坏性却比较一般，甚至不如某些传统病毒的实际破坏性来得大。“蠕虫病毒”的名称，很容易让公众认为这只是“病毒”的一种，但是权威网络安全专家指出：网络蠕虫病毒，更应该称为黑客技术与病毒技术融合后形成的“恶意代码”。

　　这些将黑客特洛伊攻击技术与病毒传播能力相结合的病毒，彻底改写了传统病毒在大家脑海中的印象。以往人们认为病毒的传播和破坏是被动式的，只要不使用盗版光盘、不打开来历不明的邮件、不下载一些危险程序，一般是不会感染病毒的，也就是我们常说的“不吃不洁食物就不会得病”一样。但是，随着病毒技术与黑客技术的逐渐融合，彻底打破了人们长久以来的“幻想”——Funlove病毒开创了在局域网内主动扫描传播的新方式；Codered病毒开创了利用微软系统漏洞传播病毒的先河，而Nimda病毒则综合了该两种方式，成为超级病毒。而此次“冲击波”病毒的产生与爆发，也有与之类似的异曲同工之处。

　　融合黑客技术与病毒技术于一身的“新一代主动式恶意代码”不断诞生。其特征是：在极短的时间内，利用优化扫描的方法，感染数以万计的有漏洞的计算机系统，同时，能够确定并记录是否被感染，分析掌握受害者信息，为持续的有目的的攻击建立畅通的渠道，进而实施更为严厉的破坏行为。

　　恶意代码是对网络安全技术的挑战，这些恶意代码行踪不定、变化多端，融合了传统的病毒、主动的病毒、自动优化扫描、木马、蠕虫、后门等恶意程序，同时经过加密、伪装等手段，采用大批量迅速或分解组合慢性入侵方式，对网络造成巨大的威胁，它们利用各种漏洞进行侵入，具有自动繁殖能力和自动入侵能力，一旦在互联网上爆发，很难控制。

　　令许多网络管理人员头疼不已的是，一旦某台计算机感染了蠕虫病毒，在短时间内，几乎网络上所有的计算机都会被依次传染，同时网络出现了各种状况甚至发生阻塞，严重影响网络的正常使用。而且感染这些病毒后好像如蛆附身，很难清除。一圈杀毒下来，所有经过处理的计算机上仍旧是毒虫遍布，好不容易本地计算机病毒清除干净了，远程计算机一旦联入网络，这些病毒又出现了，真的是百死不僵。

　　——网络蠕虫病毒的出现，给传统防病毒厂商提出了严峻的挑战，也引起了业界的广泛思考。下面，让我们来看看启明星辰公司应对此次“冲击波”蠕虫病毒的策略与行动。

　　安全源自未雨绸缪，积极防御胜过亡羊补牢

　　众所周知，蠕虫病毒的产生与爆发，同计算机系统漏洞息息相关，但是面对各式各样、越来越多的操作系统以及建立在其上的各种应用，系统漏洞也呈飞速增长的趋势，几乎每天都会有各种不同漏洞被发现，致使许多用户往往忽视及时弥补系统漏洞，因而常常留下严重的安全隐患。帮助用户甄别漏洞的潜在危险程度，在严重漏洞隐患被发现时，第一时间通知用户，已经成为网络安全领域一项非常重要的工作。而启明星辰信息技术有限公司就是这样的网络安全“守护神”的代表，启明星辰公司专门成立了“积极防御实验室”，从黑客和病毒制造者的视角出发，对各种系统漏洞的严重程度以及潜在威胁进行深入剖析，不但定期发布漏洞信息通告，而且对于其中的严重漏洞及时发布紧急警告，提醒用户采取相应的积极防御措施。

　　此次“冲击波”网络蠕虫病毒爆发之前，早在7月25日，启明星辰信息技术有限公司在深度分析和验证的基础上，向客户、合作伙伴和新闻媒体发布了“微软Windows DCOM RPC缓冲区溢出安全漏洞紧急通告”。在此通告中，启明星辰公司特别指出：“此漏洞是迄今为止Windows最为严重的安全漏洞。借助此漏洞编写的蠕虫病毒程序，极有可能产生成与SQL-SLAMMER类似的巨大破坏力，来自黑客与蠕虫病毒的威胁，将指向所有使用Windows(WIN 2000/XP/2003 Server系统)的用户(包括企业用户和个人用户)，而不仅是过去的网站服务商。”

　　与此同时，启明星辰公司的应急响应队伍紧急行动，通过电话、电子邮件、手机短信等多种方式，将此信息转达给用户，并再三阐明此漏洞的潜在威胁，敦促用户尽快下载微软Windows漏洞补丁程序。此外，启明星辰公司研发中心以最快的速度升级了其“天阗(tián)入侵检测系统(IDS)”事件库与“天镜漏洞扫描系统”的漏洞库。天阗入侵检测系统弥补了传统防火墙的局限，通过对网络状况进行实时监测，可以在蠕虫病毒入侵之际及时发现，并采取相应的防范措施，变被动防御为主动防御。“天镜网络漏洞扫描系统”可以帮助管理员查找局域网中各种设备存在的漏洞，提示用户所面临的潜在威胁，提醒网络管理员尽早为分布在网络各处的计算机打上补丁避免遗漏。

　　在此后的半个多月的时间里，启明星辰公司积极防御实验室一直密切关注国际、国内黑客动向，大规模部署的天阗入侵检测系统，24小时全天候对中国关键大型网络系统状况进行监控，对中国骨干网的国际进出口情况进行检测。8月12日凌晨1点26分，启明星辰公司的天阗入侵检测系统首先截获了利用此Windows DCOM MS3-26漏洞为攻击途径的蠕虫病毒(这一蠕虫病毒后来被公安部命名为“冲击波”)。一方面启明星辰公司将此情况上报给国家计算机网络应急技术处理协调中心(CNCERT)，另一方面组织相关人员再次通过电话、手机短信、E-Mail等方式通知用户加强防范。——而此时此刻，许多计算机用户甚至某些传统防病毒厂商的技术人员还沉浸在甜甜的睡梦中。

　　黎明来临的时候，许多用户发现了网络与计算机异常状况，但是面对频繁的死机与重启，面对一台台计算机相继停止工作，却束手无策……。各大防病毒厂商的免费咨询热线几乎被打爆，紧急升级的防病毒程序，却因为用户网络瘫痪而无法正常下载，受害用户的咨询电话越来越多、越来越急，甚至有些厂商走上街去派送杀毒软件……。

　　与此形成鲜明对照的是，启明星辰公司的用户几乎没有受到此次蠕虫病毒的冲击。一方面早在7月25日，大多数用户都接到了启明星辰公司发出的Windows漏洞警告，及时下载了补丁程序，将漏洞消除，从根源上避免了计算机遭到“冲击波”蠕虫病毒攻击的可能。虽然也有一部分客户疏于防范，没有及时为系统打上补丁，但是由于他们在网络中部署了启明星辰天阗入侵检测系统，对“冲击波”蠕虫病毒的爆发起到了很好的预警作用——此蠕虫病毒的爆发和入侵具有很明显的征兆：一方面它不断的扫描计算机135端口(试图入侵)，另一方面在局域网中会发现大量RPC包(表明局域网中某些系统已经被入侵成功)，这一现象被天阗入侵检测系统及时察觉后，可以通过与防火墙联动的方式，马上“指挥”防火墙关闭135端口，同时积极监测或尽可能关闭此蠕虫病毒可能会借用的136-139、445与593端口，将蠕虫病毒入侵的大门牢牢锁死。与此同时，天阗IDS还可以相应检测出哪些计算机系统已经被病毒入侵，并且发出响应指令，断开与这部分设备的连接。——由此，以天阗IDS为核心，对于入侵的及时检测、全局预警和主动防御系统，在此次“冲击波”蠕虫病毒爆发中再次大显身手。