| 出版日期:2003-09-15 总期号:1250 本年期号:69 |
|
 |
病毒高发期卷土重来?
李军 8月11日,在美国爆发的“冲击波”蠕虫病毒开始肆虐全球,截止到发稿时为止,我国受到感染的主机超过百万台。8月19日晚又出现了一个恶性蠕虫病毒:“大无极变种F”。据专业防病毒公司统计,有99%的用户遭遇该病毒,其中有33%的用户感染该病毒。近日,有专家预测在9月还会有病毒爆发。接二连三的病毒爆发是否表明我们又一次遭遇到了病毒高发期呢? 
“随着用户的增多,病毒问题原来是技术问题,现在慢慢变成一个带有巨大社会影响力的社会问题。”北京大学社会学系刘继同博士 
“9月是否出现漏洞是个未知数,病毒制造者是否想利用911写一个病毒更是未知数。”国家计算机网络信息技术处理协调中心崔翔 
“企业用户和消费用户都应该有一个观念:把防病毒当作管理的一部分,而不是发生病毒之后查病毒和杀病毒的单纯手段。”NAI公司技术顾问 包彤 
“判断是否进入病毒高发期要符合两个条件,一个是病毒本身发作的条件,另外一个是人为的条件。”江民公司技术支持总经理 孙文明 
“黑客已经不局限于传统模式了,正在不断尝试新的攻击方式,从而为后期大规模的病毒爆发提供了机会。”趋势科技技术顾问 齐军 
“从现在的情况来看,病毒接连出现并造成了相当大的损失现在已经可以说是高发期了。”瑞星公司技术支持工程师 蔡鹏 9月3日,我们邀请了国家计算机网络信息技术处理协调中心崔翔,北京大学社会学系刘继同博士,瑞星、江民、趋势、NAI公司的技术专家在赛迪网聊天室与网友对病毒高发期是否卷土重来进行了讨论。 处在风头浪尖 “从现在的情况来看,冲击波紧跟着冲击波杀手,后面是Sobig,现在病毒已经非常泛滥了。根据我们了解,很多企业用户和个人用户都受到不同程度的破坏,而且很多的网络都已经瘫痪了,现在已经可以说是高发期了。”瑞星公司技术支持工程师蔡鹏说。 8月12日,瑞星、金山等防病毒公司的客服中心工作人员一上班就接到潮水般的电话,绝大多数都是反馈同一种情况:计算机今天开机后速度极慢,并不停弹出窗口提示“RPC服务终止,需要重新启动计算机”,开机一两分钟就会重启一次。随即公安部也发布紧急病毒警报,并且紧急通知全社会做好病毒防御工作。但是从8月11日到13日,短短3天时间就有数万台电脑被感染,4100多个企事业单位的局域网遭遇重创,其中2000多个局域网陷入瘫痪,严重阻碍了电子政务、电子商务等工作的开展,给企业造成了巨大的经济损失。根据国家计算机网络应急技术处理协调中心的报告,到2003年9月1日下午4时为止,他们确切掌握感染此类蠕虫的主机数目已经超过180万个。 就在人们还在为冲击波烦恼不已的时候,8月19日晚又出现了一个恶性蠕虫病毒:“大无极变种F”。它是Sobig病毒的第六个变种,传播速度可达到1分钟发送300封病毒邮件,仅8月20日上午瑞星的一个邮箱就收到病毒邮件5000多封,创了历史纪录。专家分析,该变种病毒比大无极病毒家族中的其它病毒有更强的传播和破坏能力,因此危害性更大。同时,专家还预测9月可能会有更大的病毒爆发。 趋势科技技术顾问齐军认为,“随着病毒的发展,对于是不是已经进入了高发期的问题,我觉得答案是肯定的,是否进入高峰期是跟过去相比的,但现在不管是从数字上还是从统计上看,它确实都比原来起了更大的影响,所以进入高发期是毋庸置疑的。” 如何判断进入病毒高发期 像这样连续大规模病毒爆发的时候并不多,那么如何判断是否进入病毒高发期呢?江民公司技术支持总经理孙文明说:“我们认为判断是否进入病毒高发期要符合两个条件,一个是病毒本身发作的条件,另外一个是人为的条件。病毒高发期是人为估计不出来的,像冲击波病毒、大无极病毒等都集中在8月份,这需要很多条件集中在一起才能判断是否进入病毒高发期了。”NAI公司技术顾问包彤也认为病毒爆发有很多方面的因素,有技术方面的因素,也有人为方面的因素。国家计算机网络信息技术处理协调中心崔翔也同意病毒高发期是非常偶然的,因为无论是病毒的出现还是导致的结果都是在一个大基数上产生的。 对于病毒给社会带来的影响,北京大学社会学系刘继同博士有自己的看法,“无论在虚拟还是现实生活当中,病毒对我们生活影响会越来越大,网上生活已经变成了我们生活方式的一部分。就像我们正常生活当中总有犯罪一样,我们希望将来有一个美好的未来,不会有犯罪,没有监狱和警察,那是理想的社会,但总有相对的事物存在。我想很多制作病毒的人制作病毒的原因很复杂,像社会当中的一些罪犯一样,有些是蓄意、恶意报复社会,有一些是因为好奇心或者其他心理的嗜好。如果能缔造一种健全的人格,对虚拟世界中生活的净化也是非常重要。除了技术专家能做到之外,我觉得我们每一个人都要减少恶作剧的心态。恶作剧对我们的生活是具有很大干扰的。” 病毒高发持续? 我们在病毒的风头浪尖度过了8月,但是专家紧接着就宣布了9月11日可能有大规模的病毒爆发,而且根据现在的病毒预测报告显示,9月还有不少新病毒出现,我们是否将继续在病毒高发期中度过9月呢?齐军表示:“说此时此刻处于高发期是可以的,但对未来肯定是无法预测的,我们只能猜测,根据一些指标性的东西来猜测,我们认为这个指标已经接近临界点了,但最终会不会爆发不能最终确定。” 病毒从最早的单一传播、单种行为,变成依赖互联网传播,集电子邮件、文件传染等多种传播方式,融黑客、木马等多种攻击手段于一身的广义的“新病毒”。混合威胁已被确定为互联网最严重的潜在威胁之一,其数量及严重程度保持着增长态势。混合威胁是新型的安全攻击,主要表现为一种病毒与黑客程序相结合的新型蠕虫病毒,通过多种途径和技术潜入企业的网络。病毒攻击手段的不断发展也使病毒爆发成为可能。现在通过网络传播是病毒传播最常见的方式,根据权威机构的调查统计,其中邮件传播占到了攻击方式的80%还多。“现在随着发展,邮件传播已经不能满足黑客的需求了。他们正在不断尝试新的攻击方式,从而为后期大规模的病毒爆发提供了机会。”齐军说。蔡鹏补充了自己的看法,“现在的数据尝试都是在做一个力量的积累,当力量聚集到一定程度之后,就会出现新的病毒,可能会造成比较大的影响。” 据介绍,这些黑客最开始的尝试也是手工操作,当这种尝试积累到一定阶段,技术上达到一定水平就有可能造成了大规模的爆发。对这种尝试厂商们也没有更好的解决办法,基本都是先通过自己的监测中心监测,对可能的攻击手段做好相应的准备,保证在需要的时候以最快的速度采取适当的措施进行清除。 特殊日子爆发病毒? 因为9月11日、9月18日的特殊意义,它们都被专家预测有可能是病毒爆发的日子,根据现在很多病毒报告显示,有不少病毒都盯上了这种有特殊意义的日子。对于这种情况,孙文明谈了自己的看法,911、918可能都会有不少病毒出现,但会不会大量爆发没办法判断。包彤则认为,根据历史特定素材出现的病毒的技术含量不会太高,产生特别大危害的可能性不是很大,但并不是可以不防。刘继同博士对此现象进行了分析,“这种情况在社会学叫叠加效应。有的人可能想借用另外一个灾难性的事件,增加他的分量和影响。911和918就是这样,把两个不好的事情放在一起,达到更大的目的,这是一种策略上的做法,或者说是一种说法。它造成的经济损失可能不是太大,但造成的社会影响却是比较大的。崔翔认为病毒高发期的到来有两点原因:近期发现的漏洞容易利用,且具有该漏洞的系统被广泛应用;高水平的病毒制造者正在关注这个漏洞。他还认为9月是否出现易利用且广泛存在的漏洞是个未知数,高水平的病毒制造者是否想利用911之机写一个纪念性病毒更是未知数。 当有网友问及此次病毒高峰什么时候能够过去时,蔡鹏回答说,冲击波跟冲击波杀手应该很快就会过去了,但大无极可能会持续时间比较长。如果用户的防范意识不强,从头再来的可能性是很大的。齐军从另外一个角度回答了这个问题,“现在在病毒排名的前十名里面大都是好几年前的病毒,这些病毒技术层面的问题已经解决了,但在应用层面上还是在不断发作,主要就是因为用户的防范意识不够强。所以,用户的病毒防范才是决定病毒高峰是否过去的关键。” 从根本上解决病毒高发 微软早在7月中旬就公布了有关RPC(远程过程调用)的漏洞安全公告,而且反病毒厂商在8月3日提出了“一周内攻击RPC漏洞的病毒将会爆发”的警告,并且呼吁用户下载微软修补RPC漏洞的补丁。但是,8月12日,利用RPC漏洞攻击的“冲击波”病毒还是无情地大面积发作了。大无极病毒收集被感染计算机里可获取的电子邮件地址,假造发件人字段发送信件,并以不特定的主题与附件欺骗收件者。大无极的爆发也从侧面说明了对于不熟悉的邮件不要轻易去打开附件这条防病毒规则并没有“深入人心”。 据统计,在反病毒厂商8月3日发布病毒警告后,只有不到10%的企业修补了微软RPC漏洞。软件不可能不存在漏洞,存在漏洞就有可能被攻击,只有及时为系统打上补丁才能避免更多的攻击,可惜10%这个数字充分说明了人们还没有认识到防范意识的重要性。每次病毒肆虐以后,用户的防范意识能够持续一段时间,不久就会松懈下来。只有再遭受到损失时才会再次意识到防范的重要性。刘继同分析说:“我认为如何看待病毒的问题是最基本的问题,就像我们在实际生活当中如何看待问题一样。有问题存在是正常的,关键是你对待和处理手段的问题。我认为虚拟世界也是一样的,随着用户的增多,病毒问题逐渐变成公众性的问题了。原来是极少数专业人员技术性的问题,现在慢慢变成一个带有巨大社会影响力的社会问题,从某种角度来讲也是正常的现象,我们应该积极地对待这个事情,这是我们考虑问题的一个基点。” 包彤认为,不管作为企业用户来讲还是消费用户来讲,都应该有一个观念:把防病毒当作管理的一部分,而不是发生病毒之后查病毒和杀病毒的单纯手段。现在整个企业的防病毒意识并不高,以个人的努力代替集体意识的提高不现实,所以,在提高公众防病毒意识方面还有很长的路要走。蔡鹏补充说,现在使用计算机的人多了,但是平均的技术水平却下降了,只有大家一起提高防病毒意识才能将损失降到最小。“现实社会中的预警概念可以借用到信息社会里面来。”刘继同博士解释说:“一个社会正常运作可以通过一些征兆、指标测量出来。所以,假如下岗失业人多了,社会风险不确定因素就大了。在信息社会中,我认为计算机专家应该担当一个更重要的角色,在病毒大规模爆发前的预警对公众更加有作用,能够避免一些不必要的损失。” 主动防御防止病毒高发 俗话说“道高一尺,魔高一丈”,病毒攻防战一直在艰苦地进行着。防病毒软件到目前为止还不能有效地防范未知的病毒。当一种新病毒出现后,防病毒厂商所能做的就是尽快地得到这种新病毒的代码,然后升级防病毒软件的病毒库。这就像播种免疫疫苗,只有知道了这种疾病,才能事先防止。所以,如果希望像种牛痘一样预先防止病毒侵袭几乎是不可能的。防病毒一直以来都是处于被动地位的,这种局面很难逆转。只有积极主动防御,用户才能尽可能地避免病毒的危害。在主动防御方面各家厂商都采取了一些措施。孙文明说:“随着病毒不断地发展,反病毒技术也在不断发展,当病毒利用什么漏洞或者手段传播时,你可以利用一些技术阻止它,有一些技术是可以预知的,在某些层面可以预防,但有一些层面是不可能避免被攻击的。”齐军就自己产品中的技术谈了主动防御,“我们在产品上加了判断的条件,针对行为模式给出病毒的两个解决方案,其中之一是要做预防代码。预防代码是非常小巧的策略性文件,即使病毒发作它也能通过病毒中心到达客户端。接收到策略文件之后即可对自己服务形态做一个调整。在病毒发作之前,通过自身调整的方式使病毒基本上没有机会靠近你。如果你中毒了,通过调整遏制中毒机器蔓延。从正常到不正常的周期缩短,是从被动往主动的转换。” 
十年病毒走势图 
冲击波病毒感染主机数 
大无极变种F病毒感染主机数 崔翔分析了现在的主动防御技术,他认为现在的反病毒软件在一定程度上是可以做到主动防御的,但最大的问题是误警。误警永远不可避免,因为病毒和正常的程序没有绝对的边界。主动防御的技术基础是启发式查毒,就是根据程序的行为来判断。主动防御只能起到辅助判断的作用,目前反病毒软件的应用是如此广泛,可是没有成功防御过一次大规模病毒的传播。 刘继同认为病毒攻防战实际就是一个社会的运行规则,“我们可以在某一个时期有了一定的规则,这个规则就是一般的标准,然后就会有一些反规则。在这个时期两者相互斗争当中达到一个平衡,过了一段时间后两者会在更高的平台达到一个平衡。我们杀毒、防毒的技术不断地提高,病毒伤害能力也在不断地提高,计算机发展和社会发展都是在不断提高的,发展的大趋势应该是一致的。 HISTORY 历史上的病毒高发阶段主机数 1983 年 11 月 3 日,弗雷德·科恩 Fred Cohen 博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼 Len Adleman 将它命名为计算机病毒computer viruses,并在每周一次的计算机安全讨论会上正式提出,8 小时后专家们在 VAX11/750 计算机系统上运行,第一个病毒实验成功,一周后又获准进行 5 个实验的演示,从而在实验上验证了计算机病毒的存在。 1986 年初,在巴基斯坦的拉合尔 Lahore,巴锡特 Basit 和阿姆杰德Amjad两兄弟经营着一家IBM-PC 机及其兼容机的小商店。他们编写了Pakistan 病毒,即Brain。在一年内流传到了世界各地。 1988年11月2日,美国六千多台计算机被病毒感染,造成互联网不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件。这个病毒程序设计者是罗伯特·莫里斯 Robert T.Morris。罗伯特·莫里斯设计的病毒程序利用了系统存在的弱点。 在1989年,可执行文件型病毒出现了。它们利用DOS系统加载执行文件的机制工作,这种类型病毒中具有代表性的是“耶路撒冷”、“星期天”。这类病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年它发展成为复合型病毒,可感染COM和EXE文件。 在国内,最初引起人们注意的病毒是20世纪80年代末出现的“黑色星期五”、“米氏病毒”、“小球病毒”等。因为当时软件种类不多,用户之间的软件交流较为频繁且反病毒软件并不普及,造成病毒的广泛流行。 伴随、批次型阶段 1992年,伴随型病毒出现。它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒它感染EXE文件时会生成一个和EXE文件同名而扩展名为COM的伴随体。当它感染COM文件时,改为原来COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM。这样,在 DOS加载文件时,病毒就取得控制权。这类病毒中的典型代表是“海盗旗”病毒。 幽灵、多形阶段 1994年,随着汇编语言的发展,幽灵病毒也出现了。它的特点是每感染一次就产生一段不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,并被隐藏在解码前的数据中。 生成器、变体机阶段 到了1995年,在汇编语言中,一段解码算法可以由生成器生成。当生成的是病毒时这种复杂的称之为病毒生成器和变体机产生了。具有典型代表的是病毒制造机“VCL”,它可以在瞬间制造出成千上万种不同的病毒威力十分强大。 网络、蠕虫阶段 同样是1995年,网络开始普及。于是,病毒也开始利用网络进行传播。但最初它们只是以上几代病毒的改进,在非DOS操作系统中“蠕虫”是典型的代表,它利用网络功能搜索网络地址,将自身向下一地址进行传播。 视窗阶段 1996年,Windows 95的日益普及,使得利用Windows进行工作的病毒开始发展,典型的代表是“DS.3873”,这类病毒的解除方法也比以往的任何一种病毒都要复杂。 宏病毒阶段 1996年中,Word功能的增强促使了Word宏语言向编制病毒发展。这种病毒编写非常容易,感染Word文档文件,甚至蔓延到了Excel和AmiPro中。由于Word文档格式没有公开,所以,在当时这类病毒查解起来十分困难。 互联网阶段 1997年是互联网真正走向普及的一年。这一年中,各种病毒开始大肆进行传播,携带有病毒的数据包和邮件越来越多,如果不小心打开了这些邮件机器就有可能中毒。 Java、邮件炸弹阶段 还是在1997年,Java语言的普及应用产生了利用它进行传播和资料获取的病毒,典型的代表是“JavaSnake”病毒。还有一些利用邮件服务器进行传播和破坏的病毒,例如“Mail-Bomb”病毒,它能严重影响上网的速度。 ADVICE 如何安全度过病毒高发期 1.建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站,不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使计算机更安全。 2.关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,但又对用户没有太大用处,如果删除它们,将大大减少被攻击的可能性。 3.经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,像红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁以防范未然。 4.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。 5.迅速隔离受感染的计算机。当计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。 6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。 7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用防病毒软件进行防毒是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级,将一些主要监控经常打开(如邮件监控),遇到问题要上报, 这样才能真正保障计算机的安全。 LOSS 病毒爆发带来的经济损失 1.统计数据表明:1999年电脑病毒造成的经济损失为36亿美元。 2.统计数据表明:2000年电脑病毒造成的经济损失增长为43亿美元。 3.2001年 据总部设在美国的电脑经济公司公布的一份研究报告指出,全球电脑病毒所造成的经济损失高达129亿美元。 4.美国国际电脑联合公司于2001年12月28日发布2001年十大电脑病毒报告,报告称2001年90%以上电脑病毒均是通过电子邮件传播,造成全球经济损失100亿美元以上。 5.2002年,截至12月初,企业今年一共花费了123亿美元来清除到处施虐的电脑病毒。 6.据来自Compuware/ABC的报告,系统每宕机一小时,包括证券公司、信用卡公司、电视机构、国际航运公司、邮购公司在内,其损失都在650万美元以上。 7.美国的网络系统每年因计算机黑客的非法侵入、破坏信息资源所造成的经济损失达100多亿美元。 8.据1999年有关资料,当年全世界几乎每20秒就有一起黑客袭击事件,美国因黑客袭击造成的经济损失超过100亿美元,我国网络也损失高达数亿元。 9.美国Radicati集团日前发表了一项调查报告,从市场规模、4年间的预测及技术动向等角度进行了分析。据该公司预测,2003年病毒造成的经济损失将超过280亿美元,到2007年则将超过750亿美元。 标志性高发病毒 病毒标志CIH ——让人们开始关注病毒 从1998年开始,每一个4月26日都成为了CIH病毒的发作日。CIH当之无愧成为电脑病毒史上破坏力最强的病毒,它曾使全球超过6000万台电脑彻底瘫痪。CIH的出现让人们开始意识到病毒带给我们的威胁。 欢乐时光 ——最具代表性的蠕虫病毒 “欢乐时光”属于VBS/HTM蠕虫类病毒,是至今为止最具破坏性的蠕虫病毒。5月总是它的活动频繁期。欢乐时光通过邮件传播,但不是作为邮件的附件,而是作为邮件内容,接着感染硬盘,修改注册表,因此让人很难防备。 尼姆达 ——2001年破坏性最严重的病毒 尼姆达是2001年破坏性最严重的病毒,这一年中,它给我们造成了超过10亿元的损失。虽然尼姆达已不是什么新病毒了,可由于它有很强的隐蔽性、难根除性和广泛的传播性,使得它的生存能力非常强大。 红色代码 ——第一个将病毒与骇客结合 红色代码是第一款结合了骇客程序的病毒,因此它采用了更危险、更厉害的攻击方式:从内存到内存的主动攻击,使电脑病毒具有像生物一样的主动寻找猎物、主动攻击的特性。 截止去年年底,肆掠全球互联网的“红色代码”病毒估计已经让整个互联网损失了12亿美元。 求职信 ——产生最多变种的病毒 求职信是产生过最多变种的病毒,目前变种已达数十种之多。因为不停地改变形态,所以流窜性很强。在最新的求职信变种中已经可以捆绑携带CIH,因此更是后患无穷。 硬盘杀手 ——2002年最具破坏力的病毒 “硬盘杀手”(Worm.OpaSoft)病毒无可争议的是2002年最具危害的病毒,纵观数年国内病毒发作情况,该病毒在传播和破坏硬盘方面已经全面超越了臭名昭著的“CIH”病毒。它可以在Windows 95以上所有版本的操作系统中运行,并通过漏洞与共享文件夹在网络中进行疯狂传播,发作时会运行破坏文件、改写硬盘分区、将所有硬盘的所有资料瞬间清除且无法恢复。 2003蠕虫王 ——导致全球主干网瘫痪的病毒 危害远远超过曾经肆虐一时的“红色代码”。网络感染该蠕虫病毒后,网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL Server 2000的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击。 冲击波 ——2003年影响范围最广的病毒 病毒的杀伤力不亚于今年1月份出现的“蠕虫王”病毒,病毒一经出现就导致了国内上千家局域网瘫痪,该病毒主要是利用微软的RPC漏洞进行攻击,病毒的泛滥将导致整个网络瘫痪,并且出现如系统反复重启等现象。 |
||||||||||||||||||||||||||||
