就一个技术错误向《程序员》杂志读者和编辑道歉[更新]

今天翻阅2012年5月《程序员》杂志，仔细看了我两位同事的文章《探索Duqu木马身世之谜——Duqu和Stuxnet同源性分析》

 

发现下列文字：

同源，是生物遗传学领域的重要概念，用于描述物种或DNA序列是否具有相同的祖先。计算机病毒分析工程师也经常通过分析病毒同源性的方法，追踪病毒制造者的身份—比如dvlodr（口令蠕虫）和lovegate（爱门蠕虫）的制造者，就是通过同源性分析判断为同一人。

 

关于dvlodr（口令蠕虫）和lovegate（爱门蠕虫）是否同源问题，上述描述其实是一个严重的错误，是不符合我们之前的分析结论的。

 

关于两个病毒是否同源问题，系在2003年3月～4月间被提出的，当时由于lovegate的第六个变种（即f变种）用于进行口令破解的密码档与dvlodr几乎一样，加之两者都有利用远程执行的投放行为，因此被怀疑同源。而就这个问题，安天在《基于口令破解机制的蠕虫家族关联分析报告（2003年）》中已经有如下论述：

（密码档）...从哪里来，第一是基于经验，在以往破解过的所有密码中，选择排在前面若干位的密码。第二是来在网上找一个其他人的经验密码档，再经过个人经验筛选。我们认为是值得分析的。比如”88888888”我们觉得对国外用户这种密码是不常见的。但” patrick”作为中国用户的密码可能性不大，不过至少这不是一个随便的男名，而且还是一个宗教人物。同时，从系统目录上看，蠕虫也没有针对中文系统特殊之处，这个角度上说，这个蠕虫来自国外的可能性还是比较大的。

.......

从密码档上看，Dvldr和LovGate.f的近似性很大，不过由于Dvldr3月9日开始，资料被迅速公开，而在此前的LovGate版本，密码档只有十几个串，因此作者改进中抄袭了Dvldr的部分密码的可能性最大。两个程序虽然编译程序和压缩工具相同。不过Dvldr和LoveGate最关键的差异是投送机理相同，但细节不同，LoveGate并没有嵌入psexec的部分，而是自己实现，我们认为比较大的可能是参考了xCmd的源码。而由于lovegate出现在前，另外Dvldr嵌入可执行程序是采用资源的方式，而LovGate则是exebind的方式。

初步的推断认为， Dvldr来自国外，而lovegate来自国内，两个程序没有同源性关系。

.......

 

此报告电子版本并未公开发布，但入选了《安天技术文章汇编（三） ——专题报告分册》，上述文字见第一版（2011年6月版本）P114。

 

安天在2003年6月20日在有关高校做的《蠕虫问题与2003全球蠕虫事态》报告PPT中，在题为邮件+口令猜测的复合蠕虫一页内容的内容也部分重复了上述内容：

I-worm.lovegate,中国本土编写。
组合了邮件和远程注入的手段。
向Worm.Dvloder学习密码档。
本地硬盘大量复制，进程注入技术，清除困难。

 

 

在2010年9月，CNCERT年会上，我在《恶意代码的样本关联与追踪》报告中，也讲过为什么通过同源分析可以认为两者并不是同一来源。相关PPT页面如下：

这个X是个动画效果，表示最终否定了两者同源，被遮住的部分的文字是“公共76个”

说dvlodr和lovegate.f的密码档有76个重复的。

 

此PPT可以在网上找到。

另，关于口令蠕虫的病毒名称问题，我们开始一直使用Dvldr，但后期诸多兄弟厂商称为Dvloder，因此后来我们也从众做了调整。（此记忆有误，见下面补记）

[2012年5月21日补记]

{

根据我同事Bughouse的检索，发现上述口令蠕虫的命名问题亦为我的记忆偏差，其经过对安天多份历史文献的翻阅整理后，在 5月18日在内部发表的文章中对此名称变迁的原委做了如下描述：

 

案例一：口令蠕虫

口令蠕虫是安天历史上发现和处置重大恶意代码最成功的案例。2003年，安天-哈工大联合CERT小组发现并分析了这一蠕虫，将其命名为Dvldr[1]。名字来源是，该样本投放的恶意文件名为Dvldr32.exe。随后，全球主要反病毒厂商均采用了这一命名，例如Symantec[2]。

后来某一个文档中，误将Dvldr写作Dvlodr。从此我许多内部文档和对外文档都采用了这一名称，包括：

l   “AntiyCERT/ArrectNET监控网络”介绍[4]

l   多份重大项目和资质的申报材料

l   《病毒通缉令》2010中文版

l   大型报告《多家企业网络入侵事件传言的同源木马样本分析报告》

l   技术报告《恶意代码的样本关联与追踪》

l   技术文献《探索Duqu木马身世之谜——Duqu和Stuxnet同源性分析》

此外，在seak最新博文《就一个技术错误向<程序员>杂志读者和编辑道歉》中，对此亦有误解：“关于口令蠕虫的病毒名称问题，我们开始一直使用Dvldr，但后期诸多兄弟厂商称为Dvloder，因此后来我们也从众做了调整。”

实际情况是：

1.          国内外主流厂商始终采用Dvldr

2.          根据搜索结果，目前只有安天使用Dvlodr

3.          大部分厂商将该蠕虫投放器部分命名为Deloder[2]，并不是Dvloder

这就造成了一个很有意思的局面，即发现者最初命名被所有人接受后，反而改用了一个特立独行的名字。

（上述红色文字引自Bughouse的《文档衍生与进化》一文。）

}

 

----

关于本期杂志相关问题文字的产生原因，我了解了一下，相关段落并非文中署名的我的两位同事所加，系负责审稿的安天另一位技术负责同事为让文章显得丰满而添加。他回忆可能由于时间久远，误把当初判定Sasser（震荡波）和netsky（网络天空）为同源的案例记混了。他对未查阅之前资料进行验证，表示非常懊恼。

 

若允许我为同事辩解一下，确实有一个隐情：原定本期杂志由我在天下事栏目中，简单谈谈Stuxnet和Duqu的同源性话题，因我突发疾病住院，才改为由同事发表专题分析文章，当时时间已经比较紧迫。在原有分析结果上整理适合阅读的文字其实比较仓促。另同事，曾将几次修订版本在都抄送给我，因当时在病中有些懈怠，也未处理全部邮件。

 

但不管怎么说，相关错误是我们不够严谨细腻所致，我代表安天和同事们，为我们的失误向程序员杂志的读者和杂志社道歉，并说明一下相关情况提供相关正确信息，希望能弥补一下后果。