| 出版日期:2004-05-17 总期号:1313 本年期号:34 |
|
 |
震荡波余波未了
刘宏伟、陈友梅 今年“五一”期间,一种名为“震荡波 (Worm.Sasser)”的病毒在互联网迅速蔓延。继红色代码、尼姆达、冲击波、Mydoom之后,“震荡波”又一次成为人们茶余饭后谈论频率最高的病毒,同时,也让人们再次感受到计算机病毒的厉害和日益严重的威胁。 2003年8月, “冲击波”病毒造成全球上百万台电脑瘫痪和几十亿美元经济损失的惨相还历历在目,今年“五一”长假,震荡波病毒又一次迅速席卷了全球,截至目前,已使全球1800万台电脑受到感染。据报道,台湾三分之一的邮局系统,欧盟委员会总部以及多个部门1200台电脑、香港近700名家用电脑用户都不同程度受到震荡波的袭击。 漏洞攻击日益严重 据趋势科技技术顾问齐军介绍,该病毒主要是通过微软的最新高危漏洞——LSASS 漏洞(微软MS04-011 公告)进行传播的,危害性极大。目前, Windows 2000/XP/Server 2003 等操作系统的用户都存在该漏洞。这些操作系统的用户只要一上网,就有可能受到该病毒的攻击。 震荡波病毒不同于以往的病毒,并不将病毒信息写入被攻击的硬盘,它只存在于内存,传染时不通过文件这一介质,而是借助网络连接攻击其他的计算机,直接从一台计算机内存传到另一台计算机内存。齐军形容说:“通过网络弱点攻击的病毒像是劫机犯,利用海关安检漏洞,顺利登机,而后在空中取得飞机行进方向的主导权。现行的解决方案却只能在地面等待其降落,因而束手无策。”而Sasser病毒也具有这项特性,它利用Misrosoft弱点进行攻击, Sasser病毒会扫描网络上具有LSASS.EXE漏洞的系统,远程攻击者可完全控制受感染系统。一般以传统病毒码扫描文件的扫毒方式,无法自系统里根除病毒。就像在地面荷枪实弹、火力超强的警卫人员,空有一身装备,却徒具形式。 据估计,震荡波在未来几日还将延续,而且极有可能继续出现新的变种。震荡波的表现同去年的“冲击波”极其相似,都是利用微软的漏洞,中招后都是使机器运行缓慢,无法上网,并且经常会死机重启。齐军表示,目前,病毒的种类越来越多,爆发频率越来越高,尤其是针对系统漏洞的攻击成为当前病毒发展的一种新趋势。 我们也不得不承认,病毒的制造技术越来越高明。但是,此次震荡波病毒的技术是否就真的高明呢?齐军表示,和以前几个病毒相比,这个病毒从技术本身来说,并没什么新的东西,它主要是利用微软的一个漏洞。 无疑,任何一个系统都不是完美的,可以肯定,像微软系统的各种漏洞还会不断地被发现,而针对这些漏洞的病毒攻击也将不断出现。 防毒需要应急措施 震荡波病毒自5月1日爆发以来,现在已经接连出现四个变种。虽然病毒疫情依然有增无减,但各大防病毒厂商快速、积极的应对措施也让我们看到了希望。和以前相比,厂商在应急处理方面确实有了很大的提高,也充分说明了厂商在防病毒方面所做的努力。 齐军表示,自震荡波病毒爆发以来,趋势科技的员工就放弃了“五一”假期,全力投入到病毒防治的工作中,迅速采取各种应对措施。打补丁和升级防毒工具是目前最主要的两大防治手段。 其中趋势新推出的网络病毒墙(NetWork VirusWall ,NVW)在这次震荡波病毒的防治中起到了非常大的作用。齐军介绍说,NVW在防治震荡波病毒中最大的特色是其强制安全策略功能。NVW主要部署在各网段之间或网关的位置,允许用户通过NVW对外访问之前,反过来检查其内部机器上的防病毒工具是否升级了最新版本,是否安装了最新的漏洞补丁。任何未安装MS04-11补丁程序的计算机,都会被NVW隔离。NVW将会禁止这样的机器访问外部,通过定制策略控制这样有漏洞的机器去升级或打补丁。没有安装防毒软件或更新至最新病毒码的机器,将禁止上网,而且会被引导致相关位置安装 OfficeScan客户端防毒软件。 另外,当NVW侦测到某网段出现异常的网络流量时,早期预警功能可进行拦截,并发出警讯通知系统管理者。不但可以达到预警的目的,还可以预防震荡波这类病毒的扩散。 齐军表示,网络病毒的传播速度非常快,是人力处理速度反应不过来的,使用NVW至少抢出一个时间段,在还来不及升级或打补丁之前起到一种屏障的作用。 NAI技术顾问包彤表示,NAI对这次震荡波病毒爆发也非常重视,NAI在防范措施上主要提供了四种方式,一是在网上提供了专杀工具;二是对于正式的NAI用户,提供了病毒特征文件的自动升级包,可查杀所有的四种变种病毒;三是利用NAI提供的Sniffer嗅探器扫描机器,如果发现包含这个病毒特征文件的数据包,就进行报警;四是利用NAI提供的IPS来阻止震荡波病毒的攻击。 包彤表示,在4月13日微软公布了四个漏洞后,4月15日,NAI的IPS就在其特征库中更新了IPS特征签名,所有针对这些漏洞攻击的病毒等在经过IPS时就被实时阻断,即使其内部的机器没有打补丁、没及时升级杀毒工具,也不会被这种病毒攻击。IPS在这次震荡波病毒的防范中充分体现了其主动、深层防御的特点,在病毒攻击前进行提前防护。 针对这次震荡波病毒的爆发,瑞星公司紧急制作了50万张应急光盘。5月5日上午,瑞星震荡波应急光盘已经在北京各大软件专卖店免费向广大用户发放。与此同时,瑞星公司紧急动员各个部门,在各大发放网点安排技术工程师现场解答用户疑难问题。据了解,自5月1日震荡波病毒开始泛滥后,瑞星公司就变成了一个巨大的救援中心,除了技术服务部门安排技术人员24小时值班外,研发部和销售部的所有技术人员也全部取消了假日休息,全力投入到用户救援中;同时,在网上公布了专杀工具,并迅速升级新的病毒代码库。 在发现病毒的当天,金山公司也立即给出了解决方案,先是在网站上发布了免费专杀工具,又及时发布了专用的防火墙。仅三天时间,其专杀工具和防火墙便累计下载超过了500多万份。尽管如此,据说,金山公司的客服电话依然响个不停,大多是咨询中毒后无法杀毒的问题。据金山CTO兼副总裁王涛透露,为了帮助全国中招用户解决杀毒难、升级难的问题,金山公司也赶制了80万张震荡免疫器光盘,光盘中包括震荡波免疫防火墙、震荡波专杀工具、漏洞补丁、毒霸单机版和网络版的离线升级包。另外,还包括三步解决震荡波的制胜宝典。 5月7日,北京江民科技也宣布,针对震荡波病毒推出自主研发的“震荡波”漏洞补丁程序以及专杀工具,可以通过江民反病毒资讯网及各大网站供用户免费下载。江民反病毒专家介绍,反病毒更重要的是要防患于未然,针对震荡波病毒,除了使用专杀工具查杀外,第一要务是打上系统补丁或者封堵相关端口。但是,由于我国相当部分用户使用未经合法授权的操作系统,打不上微软提供的相关补丁程序,而江民自主研发的漏洞补丁则可以解决这个问题,彻底封堵震荡波漏洞。同时,江民也从8日起面向全国用户免费发放60万套急救光盘。 因为目前很多企业用户尚未安装微软的补丁程序MS04-011,因此,中蓝韩锐网络版的用户使用客户端弱点分析功能,让网络中所有的节点自动检测系统并下载、安装相应的安全补丁程序,来防止病毒传播攻击。 用户意识还要加强 大家都知道,这次震荡波病毒的爆发主要是利用微软的MS04-011漏洞,其实,早在4月13日,微软就已经公布了这个漏洞,同时还包括其他三个漏洞:MS04-012、MS04-013、MS04-014。从13日到5月1日,震荡波病毒爆发的时间间隔为18天,虽然,从这个时间上来看,比以往病毒爆发的反应时间短了很多,但这18天,对于用户去打补丁是足够的,如果用户能够及时地打补丁,那么,震荡波病毒就不会像今天这样给用户造成这么多损失。 虽然微软公司于今年4月13日已经针对全球客户发布安全性通知,建议更新修正程序MS04-011,但由于大部分企业与个人尚未完成更新,以致于让病毒趁机肆虐。 包彤表示,用户应该把安全防护当成一种日常的工作,要有专人去时刻关注各种系统漏洞,及时打补丁等;另外,安全防护需要一种主动的防护,一味被动是不够的。 同时,我们也不得不注意到这样一个问题,那就是,单靠用户去注意漏洞也是不够的,打补丁后会不会影响系统和应用,其兼容性成为一些大用户所关心的问题。对于上述微软发布的四个漏洞,有些用户反映在打了补丁后,系统就不能启动了等现象。包彤表示,补丁管理是必需的,但还是不够的。 齐军也表示,其实微软已经提供了补丁和管理工具,但很少有人去做,这主要还是安全意识问题。今天,如果用户有意识地及时更新升级,是可以防范一大部分病毒攻击的。另外,IT管理人员或网管人员的权力还需要加强,他们应该有责任、有权利去执行一些强制的安全政策。 震荡波病毒的爆发再次向我们敲响了警钟,病毒的威胁日益严重。从冲击波到震荡波,病毒波浪可谓一波未平一波又起,在前些日子听说有人还是中了冲击波病毒。由此看来,许多人还是缺乏足够的安全意识。在反病毒厂家与国家信息安全部门一再提醒与警告下,人们还是在犯同样的错误。同时,我们也看到,反病毒真是一项旷日持久的战斗,只有各软件生产厂家、反病毒厂家、政府与民众齐心合力,才能真正做到打赢这场战争,真正保护好全人类的安全与稳定。 
5月10日,熊猫公司公布过去24小时震荡波病毒走势图 
重大病毒与微软修补程序攻击周期 |
||||||||||||||||||||||||||
