2003,蜕变中的病毒(始乱-缘起-解构-蜕变)

请相信,我们已经尽力去回想我们曾经经历过的那段岁月,但有些感觉,一旦忘记了,就很难在记起。我们已经沦落到如此近距离的沟通也要依赖网络,又是三月,有一种渴望在心底不安的躁动,冬天以退到很远很远的地方。一片片崩蚀的岁月催促我,我知道是动身去寻找你的时候了。

  就这样启程,满怀渴望走在三月里,走在曾照耀我们的春阳里,在亿万年目光的注视下,骄傲的袒露我们追随智慧的路程……

  又是三月……


  始乱-

  2003年1月25日下午,韩国国家情报通信部突然发现国内出现了大面积类似于黑客攻击网络服务器的状况,而且攻击的面积与速度都异常的猛烈。这种持续而猛烈的攻击导致韩国的几个主要DNS域名解析服务器被迫关闭,整个韩国网络服务全面中断,Korea Telecom Freetel和韩国电信的网络服务器遭到重创,数百万互联网用户不能使用互联网服务,手机短信等服务也因服务器遭受猛烈攻击被迫停止服务。韩国是世界上互联网普及率最高的国家之一,全国4600万人口中有三分之二是网民,更多的人群享受通过互联网提供的各种服务项目,突发的事故使得通过因互联网进行的各种票务预订、网上购物、电子邮件、网络电话等服务都受到了严重影响,遍布韩国的网吧经营也遭受了严重打击。所幸此次瘫痪事故发生在星期六下午,因此韩国在线证券交易等互联网金融服务方面并未受到大的影响。系统数小时后被拯救,但韩国官方官员表示速度依然很慢。

  与此同时美国全国范围也出现了这种大面积的针对网络服务器的恶性拒绝服务攻击,让美国人摸不到头脑的是攻击的地点来自全球各个地区,猛烈的攻击致使互联网网路严重堵塞,造成网民浏览互联网网页及收发电子邮件的速度大幅减缓与停顿。攻击风暴以前所未有的速度迅速传蔓延到了全球的每个角落,美国大部分银行的柜员机因遭受持续的攻击停止工作,美国第三大银行花旗银行网络大面积瘫痪,手持信用卡但无法消费的人群在自动柜员机和超市中排起了长队。

  在随后的时间中国大陆地区的网络也陷入了全面瘫痪的状态,芬兰的电话运营商TeliaSonera声称有用户报告不能连接到芬兰和瑞典以外的微软的SQL服务器;泰国国内服务器运在美国东部时间周六凌晨0点30分左右部分用户不能连接到国际服务器;日本NHK电视新闻报道巨大的数据流量已经堵塞了该国的互联网连接。一个国立大学的服务器在一小时内受到超过20万次的攻击,网络安全机构已经介入此事;台湾地区最大的ISP之一Chunghwa Telecom公司表示其系统遇到困难,有些客户不能连接到互联网。具体的损失情况还不清楚;马来西亚私营ISP TimeDotCom声称收到消费者无数的抱怨,称部分或者完全不能接入互联网;印度新德里报告网络服务全面中断,幸好软件研发中心海德拉巴德和班加罗尔两地没有报告什么问题;菲律宾一家ISP在周六早些时候发现势头不对,于是临时关闭了拨号服务。该公司表示太多他们不能分辨来源的外部数据试图进入他们的系统迫使做出了这样的决定。

[2003年1月27日全球网络状况]

  究竟是什么力量使得短短的几个小时,西欧、亚洲、北美等地区的网络服务器全部遭受重创,一时间谣言四起,“中国红客”攻击全球互联网服务器的小道消息遍布四处。FBI、CIA等机构立刻将联想和怀疑的矛头指向了所有的邪恶轴心与流氓国家。某些打着红客大旗的无知份子更是叫嚷着世界黑客大战爆发了的言论唯恐天下不乱。谣言终归不攻自破,事情的真相逐渐浮出水面……

  [全球互联网在1月25日丢包率突然暴增]

  [全球骨干网络失去响应――响应的延迟时间超过了180毫秒]

  人类一思考,上帝就发笑。最具戏剧性的一幕出现在最具戏剧性的地方,2002年11月23日,全球最大的计算机反病毒组织AVAR的第五次会议在韩国汉城落下帷幕。本次会议的主要议题涉及两个领域:反病毒技术和策略研讨以及政府间电脑病毒控制操作经验的交流,韩国人当时做梦也不会想到短短几个月后,正是一个利用微软SQL Server2000漏洞的电脑蠕虫病毒搅的整个韩国上下鸡犬不宁,这只蠕虫也正是此次事件的背后真凶。美国东部时间2003年1月24日 (北京时间1月25日) 这只代号为“W32.SQLExp.Worm”(中国代号“Worm.SQLexp.376”)的蠕虫在中国香港地区出现,并以惊人的几何数速度传播,大面积袭击了全球各地的网络服务器,导致了上述网络交通大堵塞。真相已经大白,虽然这个病毒并不直接攻击个人电脑,但是由于中毒后的服务器会发送大量的攻击信息堵塞网络,此时全球的互联网已经处于半瘫痪状态,。随后的1月27日,全球所有的杀毒公司全部推出了针对W32.SQLExp.Worm的紧急解决方案,微软更是向每一个他找得到的客户说明,SQL Server SP3这个补丁很重要!

  虽然这个病毒在周六发作,但是由于它的附着力小,在服务器重启后再打上微软的漏洞补丁就可以将其根除,因此在短短的两天,全球快速蔓延的病情基本得到了有效地控制。但“SQL Slammer”(“SQL Slammer”为“W32.SQLExp.Worm”的国外名称)带来的经济损失仍然杀入了病毒破坏的前十名。国外媒体报道,包括韩国、日本、中国等亚洲国家在内,“SQL Slammer”在全世界范围内造成的经济损失额最高可达12亿美元。 据信息技术(IT)产业专业网络C.net提供的情况,英国市场调查机构Mi2g公司预测,“SQL Slammer”病毒出现的第5天,全世界范围内的生产性损失额达到9.5亿美元,最高可达到12亿美元损失额。

  这样的损失额与“求职信”、“情书”等以前的“职业病毒”相比,尚属于小巫见大巫。据预测,求职信及其变种、爱虫、红色代码等病毒的生产性损失额分别为90亿、88亿、26亿美元。在该公司统计的病毒损失额中,“SQL Slammer”病毒排名第九。

Mi2g公司列举的主要损失包括:

  1.作为互联网主要基础的域名解析服务器(DNS)的瘫痪

  2.银行自动提款机的运作中断

  3.机票等网络预订系统的运作中断

  4.信用卡等收付款系统出现故障

  5.在韩国、中国等亚洲地区发生的互联网瘫痪事件。

  据分析,“SQL Slammer”病毒直接受害者大部分是不能连接互联网和无法预订机票的普通百姓,因此“直接损失”比以往任何一个病毒都大,蠕虫时代的大门由此打开……

  缘起―

  蠕虫病毒这个概念最早来源于John Brunner在1975年写的一部经典科幻小说《振荡波骑士》。小说中描写了一个霸权政府通过强大的电脑网络掌控现实世界,而一个反叛组织的程序员编写一个名叫“涤虫”的程序安插在网络中,“涤虫”不断自我复制,大面积的阻断了网络的联接,政府为了控制并杀死“涤虫”只好被迫关闭网络,起义军在网络关闭的时刻推翻了政府,换回了自由。现在我们温故这个故事是不是感觉很耳熟,故事中的“涤虫”程序与现今的蠕虫并无二样。

  1998年4月26日已经成为了我们永远无法抹去的历史,每一个电脑爱好者都能够从中回忆其那段日子发生的一切,CIH给中国电脑用户所带来的沉痛永远的凝刻在每一个人的记忆中,中国国内的计算机用户第一次感受到病毒的存在与威胁。一时间个人单机版杀毒软件火爆一时,国内计算机用户的病毒防范意识明显提升。但随后几年的一些病毒事件似乎距离我们并不太近,特别是求职信等蠕虫病毒,虽然名噪一时,但等这些虫虫爬到中国时基本威力已经大减,很大的一部分原因是由于国内用户的个人保护意识的增强,几乎每个人的计算机都配有杀毒软件,因此受害范围得到了一定的控制,但细心的人们发现,2002年最具威胁的十个病毒中仅蠕虫就占居了6个位置,尼姆达、Funlove、求职信、红色代码、欢乐时光、Cam先生,此时大众发现蠕虫已经开始浮出水面。

  蠕虫并不是一个新生病毒群体,罗伯特·潘泰·莫里斯,美国国家安全局前任首席网络安全专家鲍勃·莫里斯的儿子,一个疯狂的计算机奇才。1988年11月12日,莫里斯利用UNIX的一个系统漏洞开发出世界第一只蠕虫病毒“莫里斯蠕虫”,随后的1小时莫里斯将他的虫宝宝释放在美国麻省理工学院人工智能实验室,短短的几分钟后这只蠕虫鼻祖疯狂的袭击了上百台电脑,等到莫里斯准备享用晚餐的时刻,他的虫宝宝已经袭击了近万台电脑。全美各大科研机构与实验室的网络全面瘫痪。莫里斯为此付出了3年缓刑、400小时的公共社区服务与1万美金的代价。但由于对物理环境的要求,蠕虫在此后的十几年中并没有产生更大的威力。但随着Internet的逐渐大众化,2000年,“梅利莎”这个准蠕虫病毒再次唤醒了人们脑海深处的记忆,也就是从那时起,蠕虫家族日益庞大。

蠕虫病毒的诞生大大的提高了安全防护的复杂程度,透过这几年的蠕虫,我们不难发现几乎每一个大规模发作的蠕虫病毒都利用软件本身的漏洞,先寻找有漏洞的计算机,然后再进行感染达到攻击的目的。杀毒软件的厂商单靠关注病毒动向就可以万事大吉的时代已经一去不复返,新生代的病毒不仅仅需要杀毒软件厂商关注自身病毒库的完善,对安全漏洞的防堵工作显得日益重要。此次的蠕虫事件的攻击对象主要是针对企业用户的服务器漏洞发动进攻,这种破坏在很大程度上要高于对个人用户的破坏,此次病毒事件的破坏程度足以说明一切。“W32.SQLExp.Worm”的诞生不仅仅让更多的大众开始关注蠕虫,网络蠕虫与拒绝服务攻击的结合并不是第一次出现在我们的面前,但“W32.SQLExp.Worm”传播的技术和时机把握显然很准确,使得破坏力达到了前所未有的高度。病毒与黑客技术的结合从红色代码开始,不断的为网络安全提出新的课题,制造新的恐怖,这次的蠕虫事件在一定程度上让国内的厂商更加关注企业杀毒的市场,捉虫,任重道远。

  解构-

  本次的蠕虫事件在根源是由于微软的SQL Server 2000的一个缓冲区溢出的漏洞造成的,其实这个漏洞早在2002年7月25日就被一个叫做NGSSoftware Insight Security Research的安全组织公布,漏洞发现者David Litchfield当时将这个漏洞的危险级别定义为高度危险。NGSSoftware Insight Security Research将这个漏洞的报告张贴在了互联网中,这份安全编号为#NISR25072002的安全公告中,配以了详细的说明。

  这份详细的安全报告警告SQL Server2000的用户,Microsoft SQL Server 2000的Resolution服务对用户提交的UDP包缺少正确的处理,远程攻击者可以利用这个漏洞进行基于栈的缓冲区溢出攻击。报告的原文指出,Microsoft SQL Server 2000支持在单个物理主机上伺服多个SQL服务器的实例,每个实例操作需要通过单独的服务,不过多个实例不能全部使用标准SQL服务会话会话端口(TCP 1433),所以SQL Server Resolution服务操作监听在UDP 1434端口,提供一种使客户端查询适当的网络末端用于特殊的SQL服务实例的途径。

  当SQL Server Resolution服务在UDP 1434端口接收到第一个字节设置为0x04的UDP包时,SQL监视线程会获取UDP包中的数据并使用此用户提供的信息来尝试打开注册表中的某一键值,如发送/x04/x41/x41/x41/x41类似的UDP包,SQL服务程序就会打开如下注册表键:

  HKLM/Software/Microsoft/Microsoft SQL Server/AAAA/MSSQLServer/CurrentVersion

这份报告明确的警告管理员,攻击者可以通过在这个UDP包后追加大量字符串数据,当尝试打开这个字符串相对应的键值时,会发生基于栈的缓冲区溢出,通过包含"jmp esp"或者"call esp"指令的地址覆盖栈中保存的返回地址,可导致以SQL Server进程的权限在系统中执行任意指令。

  但是这份报告仅仅引起了微软的重视,微软随后就推出了一个紧急补丁用来修复这个漏洞,可是这个补丁却很少有人下载,这成为了蠕虫大规模发作的最大隐患。为什么如此重大的漏洞却没有引起数据库管理员与网管的重视?安全专家一针见血的指出,这次“蠕虫”病毒是从所谓的“1434端口”获得进入路径后发起攻击的,这个端口是访问微软数据库服务器的标准入口。要想防止“蠕虫”病毒攻击事件再次发生,当然也可以采取关闭掉这个端口的一刀切做法,只是这么一做,服务器主要的商业功能也就丧失殆尽了,因此这也不是解决问题的最佳途径。微软虽然推出了针对这个漏洞的补丁,但恰巧这个漏洞是在微软推出SQL Server2000 SP2补丁包后,很多企业的管理员自以为打了SP2的补丁包,应该在一段时间里万事无忧了。

  直接受到这个漏洞威胁的系统包括:

  Microsoft SQL Server 2000 SP2

  Microsoft SQL Server 2000 SP1

  Microsoft SQL Server 2000 Desktop Engine

  Microsoft SQL Server 2000

   -Microsoft Windows NT 4.0 SP6a

   -Microsoft Windows NT 4.0 SP6

   -Microsoft Windows NT 4.0 SP5

   -Microsoft Windows NT 4.0

   -Microsoft Windows 2000 Server SP3

   -Microsoft Windows 2000 Server SP2

   -Microsoft Windows 2000 Server SP1

   -Microsoft Windows 2000 Advanced Server SP3

   -Microsoft Windows 2000 Advanced Server SP2

   -Microsoft Windows 2000 Advanced Server SP1

  其次,微软采取天天给自己系统打补丁的做法往往也只具有杯水车薪的效果。微软给系统打补丁当然是好事情,只是这种做法的缺点也是显而易见的:一是世界上使用微软系统的公司个人成千上万,微软手下的工作人员来面对如此众多的机器,显然是跑断腿也忙不过来。二是微软不停地发布补丁软件,匆忙之中难免会出错。不少用户反映,微软的不同补丁软件之间本身也会导致冲突,这也使得很多用户对微软补丁软件采取了观望的态度。三是如果网络攻击已经发生,你想去下载补丁软件也不可能完成,这种尴尬可能连微软自己也没有想到。

“W32.SQLExp.Worm”蠕虫正是利用了微软这根致命的软肋,通过攻击安装有微软Microsoft SQL Server 2000 和 Microsoft Desktop Engine (MSDE) 2000服务器的UDP/1434端口,即 SQL 服务器的解析服务端口,发送长度为376字节的包到 UDP 1434 端口,在溢出成功取得系统控制权后,就开始向随机IP地址发送自身病毒的副本,由于这是一个死循环的过程,发包密度仅和机器性能和网络带宽有关,所以发送的数据量非常大。和被感染机器在同一网段的每一台分析机每秒钟都收到了近千个数据包。

  因为发送大量的数据包,该蠕虫也会导致具有“拒绝服务”(DoS)效果的攻击。感染了该蠕虫的网络性能会极度下降,在达到一定程度后会导致整个网络的全面瘫痪。这种病毒机理很像癌症,良性的癌症不会杀死人体内的细胞,只是不断的生长,吞噬掉所有的养分,直至人体内的所有细胞全部衰竭枯死。该蠕虫,一个带宽百兆的局域网络内只要有一两台电脑受到感染,蠕虫就会导致整个网络访问阻塞。

  从国外著名安全组织SANS(http://www.sans.org)上得到下面的图表数据:

  “W32.SQLExp.Worm”蠕虫程序是通过一种算法穷举出一个IP列表,而且它不检测IP列表中的IP是否存在,不检测是否曾遭受过攻击,当然更不检测是否IP地址下的计算机是否开机,因此发包速度异常的快,只要有一台服务器感染,整个网段中的交换机就会受到极大的数据处理压力,当2-3台受到感染,整个局域网网就会陷入完全瘫痪状态。而因为其传播范围没有任何限制,各级骨干路由也承受了极大的压力,因此对整个骨干网络造成了巨大的冲击,巨额的经济损失也就不可避免了。

  安全专家建议所有运行Microsoft SQL Server 2000和遭受DoS的用户按照以下解决方法操作:

  1.强烈建议 Microsoft SQL Server 2000 或 MSDE 2000 的用户根据 Microsoft Security Bulletin MS02-039 和 Microsoft Security Bulletin MS02-061 审核机器的安全漏洞。或者到网址:microsoft.com/Downloads/Release.asp?ReleaseID=40602下载微软的漏洞补丁或者安装Microsoft SQL Server 2000 SP3:http://www.microsoft.com/sql/downloads/2000/sp3.asp。

  2.在防火墙或者路由器上阻塞外部对内的和内部对外的UDP/1434端口的访问。如果由于DoS导致系统反映缓慢,可先断开网络连接,然后在Windows任务管理器里面强行终止进程SqlServr.exe,在做过相应的防范措施以后在SQL Server管理器里面重新启动此服务。

那又是谁制造了“W32.SQLExp.Worm”?这个谜底成为了最具悬念的话题,一位美籍华裔资深安全专家向笔者透露,这只蠕虫第一次发作的根源虽然在中国香港地区,但是由此就断定为中国人编写的太过勉强。首先根据中国病毒编写者的习惯,中国人编写的类似蠕虫病毒多数就针对性目标进行攻击,比如只攻击美国或者日本的IP段。其次从病毒反汇编的代码分析,这个病毒的编写方式更像是欧洲人的手法。他坚信这个病毒的编写者应该是一名电脑黑客,而非专业的病毒编写者,因为“W32.SQLExp.Worm”只有攻击与传播成份,并没有任何的数据破坏功能,其次“W32.SQLExp.Worm”的附着力低得惊人,服务器只需经过重启,然后打补丁就可以将其根处。而病毒作者的编程能力分析,如果他真想利用“W32.SQLExp.Worm”实现数据破坏是非常轻松的一件事情,由此可见病毒的编写者对服务器的数据并不是很感兴趣。

  蜕变-

  这一场蠕虫风暴已经落下了帷幕,也许你会相信,对蠕虫的恐惧感觉会随着时光与岁月的冲刷渐渐的离我们远去,但那些站在电子前沿的疯狂病毒制造者们却在悄悄的制造着下一场病毒的引爆,蜕变的病毒!

  2001年互联网上出现了一种新的邮件病毒,它不仅会攻击网络电视(WebTV)装置,还会影响到紧急电话服务网络。该病毒首次露面于WebTV用户组公告板,如WebTV的alt.讨论新闻组。据报道称,一旦打开受感染的附件,WebTV就会被关闭、重启,然后拔号911。微软的客户服务监督人员也证实到,已有18位客户打电话向他们报告了这一可疑的WebTV怪异行为。WebTV目前叫MSNTV,但一些老品牌仍为WebTV。据微软称,这两种都受到影响。早在2000年四月份,美国国家基础设施保护中心(NIPC)曾发布过一个安全公告,警告一种能够清除硬盘并让电脑拔号911的病毒在蔓延。然而当时该病毒并未传播开来。目前令人担心的是这种病毒能够影响到对紧急事件的响应服务。微软建议受影响用户删除可疑的电子邮件,并拔打1-800-469-3288。技术人员建议受害用户清除WebTV,或者输入新病码重新启动机器。微软表示目前正在对此病毒进行调查,研究它是如何复制并控制WebTV Modem的。该病毒能够感染微软WebTV/MSNTV。Windows PCs, Macs, Unix及Linux机器不受影响。数码设备病毒的身影开始走入大众的生活。

  数码设备病毒的概念曾经在1998年广受大众和媒体关注,那一年的4月26日正是世纪病毒CIH的大规模发作,破坏了上百万台计算机。CIH不仅仅打破了防病毒软件的神话,更让硬件厂商第一次为病毒头疼。CIH改变了我们对于病毒的传统认识,它可以潜伏在计算机的内存内,发作时会将“垃圾代码”写入计算机主板中的BIOS,令你的主机板立刻瘫痪。这样的病毒破坏理论同样适合于时下流行的大多数数码设备,当今的数码设备产品中,或多或少的都会有内存或者BIOS等硬件的存在。如手机、PDA、GPS、数码相机等,这无疑为病毒的潜伏和爆发提供了有力的环境。

第一个真正意义上攻击数码设备的病毒于2000年在西班牙出现,这个病毒绝弃了多数传统病毒的理念,它除了会造成计算机无法正常运作外,还会透过移动电话系统运营商提供的“email转短讯至手机”(SMS)功能干扰用户。这种攻击模式类似于邮件炸弹,它通过传递大量的简讯给手机用户干扰用户接受正常短信息,但是它对于手机本身并不会造成任何的破坏。这种手机攻击方式与国内后来也出现了一些手机短信息炸弹有着惊人的相似,这种工具通过短信服务运营商提供的路由可以向任何手机用户发送大量垃圾信息或者广告,不过由于没有太多的破坏性它并没有引起太多的关注。

  目前市面上已经出现的病毒共有6种,它们分别是:

  第一种是“EPOC_ALARM”,它总是持续发出警告声音,虽无大害,却也颇为烦人;

  第二种是“EPOC_BANDINFO.A”,它发作时会将用户信息变更为“Somefoolownthis”;

  第三种是“EPOC_FAKE.A”,它会在手机的屏幕上显示格式化内置硬盘时画面,无需惊慌,因为实际上手机并不会执行格式化操作的;

  第四种是“EPOC_GHOST.A”,它会在画面上显示“Everyonehatesyou”的话;

  第五种是“EPOC_LIGHTS.A”,它会使背景灯BackLight持续闪烁;

  第六种是“EPOC_ALONE.A”,它可以使键盘操作失效;等等。

  这六种病毒中前五种的危害并不很大,并且还有种恶作剧的味道,但第六种“EPOC_ALONE.A”却是一种恶性病毒。当电脑执行有毒的程序时,会显示红外线通信接收文件时所显示的画面,并在此时将病毒悄悄地藏入内存之中。当病毒在内存中安营扎寨之后,会在电脑画面上显示“Warning-Virus”的信息,此后手机便不接受任何键盘操作。当您发现以后,可以输入“leavemealone”来解除病毒常驻。

  西班牙的手机病毒没有大规模发作主要是因为它的技术局限性和物理局限性。在技术局限性中,很多手机还没有WAP功能,这些手机有独立的软件系统,不能互相兼容。很多人对WAP编程技术也不甚了解,这造成了手机病毒发作时间上的缓冲期;而物理局限性主要体现在不同地区的用户群体信息不能互发,例如欧洲的手机无法给中国手机发送短信的区域物理局限性,不同的手机之间还没有大量通用的系统与软件。我们在享受科技的同时也忘却了技术背后隐藏的杀手。不过随着技术的发展,病毒花样也会不断的翻新,如今的手机等数码设备所具有的数据通讯的功能,例如图片传送,上网等。他们的确为我们带来方便,只需要登录相关网站,再按几个简单的按键,我们就可以更换个性化的手机Logo,下载自己钟爱的铃声。也许有一天你的手机SIM卡会在几分钟内被黑客克隆,而那些黑客可以用这种克隆的SIM卡打电话,结果你的手机不仅不能正常使用,还要支付高昂的话费。这些操作换一个方式说就是在对手机进行一些能够写入系统或内存的指令。而某些指令甚至是公开让人开发新服务的。

2001年1月17日,荷兰安全公司ITSX的研究人员发现,诺基亚的一些流行型号的手机的操作系统存在一个Bug,黑客可以利用这个安全漏洞向手机发送一条160个字符以下长度的畸形电子文本短信息来使操作系统崩溃。这例有害的SMS短信息病毒主要破坏诺基亚3310、3330和6210型手机。诺基亚公司证实了上述安全漏洞的存在,并表示去年该公司已经修补了这一漏洞,之后生产的新手机均不会受到此类有害短信息的影响。但是,去年以前生产的很多老手机仍然很容易受到攻击。手机厂商为了解决手机软件升级的问题,在新一代的手机中配备了与电脑连接的接口线,希望用户能够更新自己的手机软件弥补漏洞,而且随着手机应用功能的增多,越来越多的厂商提供一些娱乐与多媒体的软件供手机用户下载,这跟与电脑的连接线

  现在有不少手机用户担心WAP手机将会成为黑客攻击的重要对象。因为通过网络直接对WAP手机进行攻击比对GSM手机进行攻击更加简便易行。不过一些专家曾指出,此类技术难度很大,加之手机网络运营商大多已在WAP服务器和“网关”部位设置安全系统,一般用户不用担心。手机制造商当然称他们的手机系统安全,但试问哪里有100%的保安系统?破坏者只要找出缺口,传出一个携有恶意代码的短讯,以Assembly Programming(低级程序语言,操控一般微处理器的程序语言)改变系统的Machine Code(微处理器,内存等电子零件内的机械码,多以十六进制(HEX)显示,一般人不可以轻易解出其数字的意义),将指令藏在内存中,然后开启其它手机的通讯录,就可以大肆传播病毒。但随着3G来临,手机趋向为一部小型电脑,彩信、数码相机等功能都需要手机拥有软件处理功能,此外与计算机相连接也成为趋势,这些共同性的提高,让手机病毒的爆发成为了时间问题。基于WAP“网关”防毒的产品需求已经产生,有关的手机厂商们,电信公司们该把这个问题提到议程上来了。对于WAP手机用户,也要随时留意新的信息,防患于未然。

  美伊战争一触即发,在科技高度发达的美国,士兵对于高科技的依赖程度达到了74%。在美军中,每一个士兵配备一台GPS导航系统,GPS通过卫星能够下载到美国作战本部为士兵提供的最新伊拉克军事地图,士兵也可以通过GPS等通讯设备向指挥中心实时汇报战斗情况。这些GPS定位仪使用相同的软件操作系统,并存在可写数据的内部结构,黑客完全可以利用这些致命的弱点,将假信息或者病毒发送到GPS中去,将美军变成聋子与瞎子,逐个消灭在战场中。这并不是单纯的想象,先例已经一个一个开始被打破。复杂化的功能和网络将会完全湮灭往日的纯真,数码设备的无毒安全岛也会遭遇珍珠港般的轰炸。

自从2002年秋天出现了第一批PalmOS特洛伊木马(LibertyCrack)及病毒(Phage和Vapor),掌上电脑的安全问题已经愈发引起人们的重视,而且PDA在与互联网保持同步数据联络的时候,遭受黑客攻击和感染病毒的机率要高于其它任何一种数码设备。另外,许多用户也没有意识到其PDA中所存储的信息会公开在未经许可的用户面前,所以他们也不会像使用PC那样重视这些数据信息的安全问题。虽然PDA已经由各个公司和政府结构配备了安全保护程序,如一次性生成密码、存储检查记录和机密目录跟踪情况等,但PDA中一些附加的无线功能却也增加了安全隐患,如红外线和无线频谱连接等功能。另外,目前的便携式设备中也没有安装反病毒和其他恶意代码的组件。

  此外PDA使用体积庞大的防御软件,因为这会大量消耗PDA有限且昂贵的资源,而病毒制造者可以轻易的制造出近万种体积小、传染性大的病毒。所以PDA等数码设备面临最严峻的一个问题是“难守易攻”,如今无线网络已经越来越普及,但与此形成强烈反差的是,无线装置拥有防毒程序的却不到5%,这在一定程度上也为杀毒厂商提供了一个更加开阔的潜在市场。对数码设备进行查杀病毒。目前应对数码设备病毒的主要技术措施有两种:其一是通过无线网站对数码设备进行杀毒;其二是通过数码设备的IC接入口或红外传输口进行杀毒。当然多数数码设备病毒在目前还没有达到那种可怕的地步。以手机为例,目前的数字处理能力(容量和运算),还不至于强大到可以独立处理、传播病毒。所以病毒只能通过电脑、WAP服务器、WAP网关来骚扰手机,而对手机本身实质性的破坏(破坏智能卡、乱拨号等)从技术上讲是非常困难的。

  这是一场永远不会停止的战争,新病毒在以每天200个的速度诞生,虽然我们欣喜的看到杀毒技术的快速发展,但是永远不要忘却,制约病毒的往往不是技术,而是我们的安全观念,保持一颗警惕的心,时刻准备着迎接病毒的挑战!

  W32.SQLExp.Worm 数据资料

  W32.SQLExp.Worm

  也称为: SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee], Slammer [F-Secure], Sapphire [eEye], W32/SQLSlam-A [Sophos]

  类型: Worm

  感染长度: 376 bytes

  受影响的系统: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

  未受影响的系统: Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux

  CVE 参考: CAN-2002-0649

蠕虫获取随机IP地址的方法:

  第N个IP地址的算法如下:

  107005^N *[当前时间-开机时间(单位:毫秒)]+N*C

  第N个IP地址 =(107005的N次方 乘以 开机以来经过的时间值,再加上N和一个常数C的乘积)

  常数C取决于Windows的service pack号,在Win2k SP3下C = (0x77E89B18和0xFFD9613C相异或)

  威胁评估:

  端口: UDP port 1434. The worm continuously sends traffic to randomly generated IP addresses, attempting to send itself to hosts that are running the Microsoft SQL Server Resolution Service, and that are therefore listening on that port.

  针对 Microsoft SQL Server 2000 和 Microsoft Desktop Engine (MSDE) 2000 漏洞进行攻击。该蠕虫发送长度为376字节的包到 UDP 1434 端口,即 SQL 服务器的解析服务端口。因为发送大量的数据包,该蠕虫也会导致具有“拒绝服务”(DoS)效果的攻击。

  W32.SQLExp.Worm 侵害一个有安全漏洞的系统时将执行以下操作:

  将自己发送到负责在 UDP 1434 端口监听的 SQL 服务器解析服务(SQL Server Resolution Service)。利用“缓存区溢出导致部分系统内存被覆盖”这一安全漏洞。这样一来蠕虫就可以拥有一般 SQL 服务器服务所拥有的安全权限。

  调用 Windows 的 API 功能 GetTickCount 随机生成 IP 地址。在受感染的机器上建立一个“socket”,使用一个临时端口将自己重复得从随机生成的 IP 地址发送给UDP 1434 端口。 因为蠕虫不选择攻击网络中特定的主机,它运行的直接后果是巨大的通信流量。

  病毒字符串特征:

  * h.dllhel32hkernQhounthickChGetTf

  * hws2

  * Qhsockf

  * toQhsend

  建议:

  对不知名的机器关闭1434端口。

  不发送以1434端口为目的地的 UDP 包。

  所有用户和管理员都坚持以下良好的基本安全习惯:

  关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。

  如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。

  实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。

  将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。

  迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。

  教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。

没有更多推荐了,返回首页