编者按:电脑告急!网络告急!一种名为“冲击波”的新病毒,再次让整个世界把关注的目光聚焦到了网络安全领域。一场围剿“冲击波”的攻坚战在世界范围内打响。
一.“冲击波”病毒大爆发
8月11日,一种名为“冲击波”(Worm.Blaster)的电脑蠕虫病毒席卷全球,瞬间造成大量电脑中毒,部分网络瘫痪。“冲击波”病毒感染几乎所有微软“视窗”(Windows)操作系统,包括:WindowsNT4.0、Windows2000、WindowsXP和Windows2003。
“冲击波”病毒感染个人电脑之后,电脑中Word、Excel、Powerpoint等文件无法正常运行,弹出“找不到链接文件”的对话框,粘贴等一些功能无法正常使用。更严重的是,电脑出现反复重新启动等现象。重起之后,它们开始扫描互联网,寻找有安全漏洞的电脑系统进行感染。一旦攻击成功,病毒体将会被传送到对方电脑中进行感染,使对方系统操作异常、不停重新启动,甚至导致系统崩溃。这个蠕虫还添加一个注册密钥,保证系统下一次启动时蠕虫程序能够再次运行。在8月16日以后,该病毒还能使被攻击的系统丧失更新该漏洞补丁的能力。有研究人员预测,“冲击波”病毒的攻击将持续到今年年底,而且在2004年前6个月每个月的下半个月会继续发动攻击。到目前为止,我国已经有数万台电脑“中毒”,数千个企事业单位的局域网瘫痪。从目前的形势判断,“冲击波”病毒可能已经感染了全球近百万台电脑,90%以上用户面临“冲击波”病毒大举攻击。全球最大的互联网安全技术与解决方案供应商赛门铁克公司指出,与以前的蠕虫病毒相比,“冲击波”病毒的感染潜力大得多,因为全球微软操作系统这一漏洞影响的电脑数量庞大。从目前受感染的主机看,受感染最严重的五个国家是美国(48%)、英国(15%)、加拿大(5%)、澳大利亚(3%)和爱尔兰(2%)。它给全球互联网所带来的直接损失,将在几十亿美元左右。
虽然“冲击波”病毒的新感染数量呈下降趋势,但是又出现了若干变种。8月14日上午8时30分,国内一家反病毒监测网截获“冲击波”病毒的两个最新变种,分别命名为:冲击波II(Worm.Blaster.B)、冲击波III(Worm.Blaster.C)。经分析,这两个变种病毒并没有在原始病毒上做大的改动,破坏力和原病毒相同,只是重新采用了新的压缩方式来压缩病毒体,并改变了病毒文件名称和注册表键值。这种改动的目的,完全是为了躲避杀毒软件的追杀。至今,反病毒专家已经截获七个“冲击波”病毒的新变种,预计最近还会有更多的变种出现。
二.“冲击波”病毒专攻微软“漏洞”
俗话说,苍蝇不叮无缝的鸡蛋。“冲击波”病毒冲击的主要对象,是那些没有任何防范措施或者觉得防范措施麻烦的用户。“冲击波”病毒是利用微软公司公布的Windows操作系统RPC (Remote Procedure Call ,远程过程调用) 漏洞进行攻击和传染的。RPC是Windows操作系统使用的一种远程过程调用协议,它提供了一种远程间交互通信机制。通过这一机制,在一台电脑上运行的程序可以顺畅地执行某个远程系统上的代码。由于微软的RPC部分在通过TCP/IP处理信息交换时存在一个漏洞,远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。通俗地说:利用这个漏洞,一个攻击者可以随意在远程电脑上执行任何指令,如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。
冲击波中“倒下”的电脑,不乏预装正版Windows的品牌机用户和有能力购买正版Windows的企业用户,这些用户仅仅在自己的操作系统中启用能够自动更新的“Windows update”功能,电脑就会自动从电脑上下载升级补丁,甚至还可以在无需用户干预的情况下自动安装。凡是启用了这个功能的用户,这次都不会遭遇冲击波病毒,可惜并非所有正版用户都采取了这种一劳永逸的措施。冲击波病毒的流行,也许尽在微软意料之中。
微软的RPC漏洞早在7月16日就被发现,当日微软不仅就这一漏洞发布公告,甚至还公布了如何做会导致这个漏洞被利用的详细技术资料。当然,微软没有忘记公布操作系统的升级补丁。然而,这个补丁并不适用于所有的微软操作系统。微软在声明中声称一些操作系统可能会也可能不会受到这个漏洞的威胁,但微软不提供除了Windows NT、Windows 2000、Windows XP、Windows Server 2003之前的其他操作系统的解决方案,原因是“此前的版本已经不再支持”,对于不知就里的用户而言,微软趁机又推动了一次向新操作系统升级的进程。
微软的这个升级补丁的安装要求也非常严格。例如,Windows XP的用户使用这个升级补丁的前提是,用户安装的是Windows Gold版本或者已经安装了SP1的Windows XP用户,换言之,那些没有办法安装SP1的非正版Windows XP用户,只能听任系统中这个漏洞存在。微软这种做法,无疑把那些买不起昂贵的正版Windows的用户,推到了冲击波病毒的枪口上。也难怪有用户抱怨,微软先公布漏洞和漏洞的详细攻击方法,再公布一个正版用户才能使用的解决方案,最终起到了逼迫用户向昂贵的Windows升级的作用。
每次微软发布系统漏洞后,都会有病毒利用这些漏洞发起攻击,只是危害程度不同而已。为什么黑客喜欢攻击微软?一方面源于微软的操作系统覆盖面最广泛,使用人数最多,群体大;另一方面,黑客们会认为攻击微软漏洞才能引起轰动,于是便屡试不爽。此外,由于微软的操作系统具有很强的易用性,代码势必非常多,漏洞便会同比例增长。甚至有的补丁刚刚紧急发布,就发现补丁自身也有问题。病毒制造者显然对微软在操作系统市场大发其财却漏洞百出甚为不屑。这次爆发的“冲击波”病毒代码中,就有一段让微软哭笑不得的文字:“billy gates why do you make this possible ? Stop making money and fix your software!!”如果翻译成中文,这句话就充满了对微软的嘲讽:“比尔·盖茨,你为什么要暴露这样的漏洞?别光顾着赚钱了,好好修复你的软件吧!”。
而更具挑战性的是,从8月16日开始,该病毒还会对微软提供下载防毒补丁的网站进行拒绝服务(DOS)攻击,近百万台遭“冲击波”病毒感染的电脑每分钟都会向该微软网站传送数据包数次,以迫使网站堵塞,让用户无法通过微软官方网站升级系统。微软公司表示,他们已经增加了自己的网络容量并更改了被病毒设定的攻击链接,从而最大限度的减小了该蠕虫病毒在全球范围内对其网站发起攻击所造成的影响。8月16日,全球许多安全专家担心的情况并未出现,微软系统更新网站并没有因为大量被感染计算机的攻击而阻塞。反病毒专家解释说,这其中有两个原因,一是病毒作者的一时疏忽,将微软的升级地址写错,病毒体中写的是“Windowsupdate.com”该域名并不是微软网站的真正的升级地址,而是一个升级跳转地址,微软公司已在近日将该跳转地址关闭,导致了病毒攻击失败。另一个原因就是微软公司了针对该病毒采取了一系列措施:针对该病毒发布了漏洞扫描工具、在主页的显著位置放置病毒的解决方案与补丁包下载地址等,这些措施也有效地防止了病毒的恶意攻击。
三.反病毒之战路漫漫
“冲击波”病毒何故屡屡得手?谁应该为“冲击波”病毒的泛滥承担责任?已经在操作系统领域处于垄断地位的微软,是否有必要对自己急不可待地推出新软件、又隔三差五地打补丁的行为反思呢?事实上,平均两到三年就更新一代Windows的做法早已让电脑用户感到厌烦,更何况Windows漏洞多的现状并未随着版本的不断提高而有所改观。由于补丁太多,因此人们丧失了耐心,不断地缝缝补补的确容易使人失去耐心。当7月16日看到微软发布的消息,表示其Windows操作系统中广泛存在着一处漏洞,并提醒用户打补丁的时候并没有在意。关于漏洞,关于补丁实在太多了,债多了不愁,虱子多了不痒,因此也就没有在意。
需要说明的是,这次“冲击波”病毒所利用的RPC漏洞是微软自己发现的,并在7月16日公布的时候就给出了详细的解决方案,从客观上讲降低了这种病毒可能造成的损失程度。但我们不妨设想,如果病毒制造者发现了微软所不知情的漏洞,而且利用这个漏洞编制出了危害程度极大的病毒,那带来的损失将会有多大?恐怕没有人愿意想象,因为单单是这种病毒从被发现到微软成功编制出解决问题的补丁程序,中间的时间就足以供它肆无忌惮地大搞破坏。
安全专家在分析病毒的危害时介绍说,病毒出现的原因和发作的机制,和微软的安全漏洞密不可分。今年年初“蠕虫王”的肆虐,起因就是因为一个被发现数年的微软漏洞,这一次则变成了新近公布的漏洞。对此,有国内安全厂商对此毫不客气地表示:随着微软操作系统越来越庞大,越来越复杂,漏洞也随之越来越多。微软漏洞已经不仅仅是黑客们攻击网络的秘密通道,而且会被越来越多的病毒编写者利用,成为病毒滋生的温床。病毒是自动执行的程序,它可以不分昼夜地扫描网络,不停地攻击网络中的电脑,然后对这电脑进行有目的地破坏,给整个互联网带来灾难。
“厉鬼”现身,自有钟馗捉鬼。每一次危害程度极大的电脑病毒扑面而来的时候,都给杀毒厂商带来了巨大的考验,因为它们必须第一时间发现病毒,并且给出有效的处理措施。
此次“冲击波”来袭,国内杀毒厂商并没有表现失措,反而是很快就解决了问题。12日上午,几家主要的国内杀毒厂商先后截获了“冲击波”病毒,及时升级了杀毒软件,并在当天制作了专门的杀毒工具供用户下载。另外,在全球方面,除了微软在其官方网站上提供了补丁下载外,各大杀毒厂商也提供了相应的解决办法。
从这次“冲击波”事件我们可以看出,反病毒之战不会一蹴而就。而且随着互联网的进一步发展,会使网络病毒持续以极高的速度增长。可以这样说,反病毒之路十分漫长。(完)
