论文部分内容阅读
今天是2005年3月8日,国际劳动妇女节。就在昨天,互联网刚刚经历了一场浩劫,而我们研发部门也刚刚结束了一场大战役。
昨天下午2点多,部门老大说拿到了六个通过MSN Messenger传播的新病毒样本,据说客服部门那边的兄弟已经接到好几个关于它们的求助电话了。
粗略的看了一下这些病毒,它是“MSN木马”病毒的一个变种,类似今年2月初截获的那个叫做“性感烤鸡”的病毒,也是运行后在后台疯狂的给MSN好友发送病毒文件,好友接收并运行发送的病毒文件以后就会被病毒感染,继续向他的好友发送病毒文件……这样无限循环下去。
经过仔细分析,其中流传的最厉害的那个病毒运行后会打开一个标题为*Crazy frog*的网页,网页中显示一副相应的图片,不过我们截获样本的时候那个图片的连接已经失效了,无法知道图片是什么内容。发现图片的下面还居然还放置了一个计数器?!够狠!安装这个计数器是病毒作者为了统计被这个病毒感染的计算机数量的,在我印象中这似乎是第一个进行感染数量统计的病毒。病毒会在系统目录下生成“formatsys.exe”、“serbw.exe”和“msmbw.exe”文件,并在系统盘的根目录下生成一堆以pif为扩展名的病毒文件。病毒传播的时候便是从这堆pif文件中随机挑选一个发送给好友的。同时,病毒会修改本机的Hosts文件将大量的杀毒软件厂商网站地址指向到“64.233.167.104”这个IP地址。奇怪,通常病毒修改Hosts文件都是指向本机(127.0.0.1),这次居然是一个公网IP。这个IP看上去挺眼熟,在浏览器里输入了这个IP地址,显示的是Google的页面。原来病毒作者是想通过大量的染毒计算机对Google访问造成间接的分布式拒绝服务攻击(DDoS)。这再一次让我们看到了病毒作者的狠毒!另外,分析这个病毒的时候还发现它会自动结束“任务管理器”、“命令行控制台”、“注册表编辑器”以及“W32DASM”之类的调试工具。看来作者在对反跟踪也动了一些脑筋。
这六个病毒大同小异,有的病毒会在染毒计算机上放置后门程序,机器可能变成黑客的“bot”而被随意控制,比如窃取这些机器上的信息,或者用这个庞大的“bot”群对一些大型网站发起攻击。这些病毒的传播方式都是一样,均通过MSN Messenger给好友自动发送病毒文件,其他人接收并且运行收到的文件就会中招。
从技术角度上讲,这个病毒其实很简单。它并没有利用高超的技术手段进行传播,也没有在隐藏自身上下太大的功夫,然而它却在短时间内大规模爆发了。
一般能够大规模爆发的恶性病毒可以分为两种传播方式:一种是利用系统漏洞进行传播,而另一种则是利用社会工程学的原理进行传播,是人们心理上的漏洞。利用系统漏洞进行传播的病毒能举出很多例子,比如早期利用Unicode漏洞传播的“尼姆达(Nimda)”病毒、利用IIS漏洞传播的“红色代码II(CodeRed II)”、利用微软SQL Server漏洞传播的“蠕虫王病毒(Worm.netkiller2003)”以及其后的冲击波和震荡波病毒。而那些电子邮件类病毒、即时通信类病毒(如:QQ尾巴类病毒、MSN木马等)则是利用了社会工程学原理。
两种传播方式的病毒相比较而言,利用系统漏洞传播的病毒防范起来可能相对容易一些,只要给系统安装上最新的补丁,设置安全的密码就可以很好防止被这类病毒侵入。而利用社会工程学进行传播的病毒防范起来就要依靠用户个人的安全意识以及经验了。如果我的MSN好友给我发这样的文件,我肯定是不会打开的。首先文件的名称比较怪异,其次文件采用pif作为扩展名是非常不正常的。另外,即使朋友要发送的文件看上去比较正常,我也会询问一下对方发送的是什么文件,确认以后才会接收。
我认为用户平时多看一些安全方面的资讯还是很有必要的,在瑞星杀毒软件的主界面中我们特意设置了一个信息中心能够显示最新的病毒新闻等。这样做就是希望用户能多留意相关的信息,并能从自身提高一些安全意识,这样能减少很多不必要的麻烦。
写到这里已经是8日的晚上了,老大告诉我刚刚我们的瑞星全球反病毒监测网又截获到一个新MSN病毒,和7号的那个病毒很像,不同的是这次弹出页面显示的是一个外星人。
Oh,My God,一场新的战役又打响了,但愿这个病毒不要再大规模爆发了……
昨天下午2点多,部门老大说拿到了六个通过MSN Messenger传播的新病毒样本,据说客服部门那边的兄弟已经接到好几个关于它们的求助电话了。
粗略的看了一下这些病毒,它是“MSN木马”病毒的一个变种,类似今年2月初截获的那个叫做“性感烤鸡”的病毒,也是运行后在后台疯狂的给MSN好友发送病毒文件,好友接收并运行发送的病毒文件以后就会被病毒感染,继续向他的好友发送病毒文件……这样无限循环下去。
经过仔细分析,其中流传的最厉害的那个病毒运行后会打开一个标题为*Crazy frog*的网页,网页中显示一副相应的图片,不过我们截获样本的时候那个图片的连接已经失效了,无法知道图片是什么内容。发现图片的下面还居然还放置了一个计数器?!够狠!安装这个计数器是病毒作者为了统计被这个病毒感染的计算机数量的,在我印象中这似乎是第一个进行感染数量统计的病毒。病毒会在系统目录下生成“formatsys.exe”、“serbw.exe”和“msmbw.exe”文件,并在系统盘的根目录下生成一堆以pif为扩展名的病毒文件。病毒传播的时候便是从这堆pif文件中随机挑选一个发送给好友的。同时,病毒会修改本机的Hosts文件将大量的杀毒软件厂商网站地址指向到“64.233.167.104”这个IP地址。奇怪,通常病毒修改Hosts文件都是指向本机(127.0.0.1),这次居然是一个公网IP。这个IP看上去挺眼熟,在浏览器里输入了这个IP地址,显示的是Google的页面。原来病毒作者是想通过大量的染毒计算机对Google访问造成间接的分布式拒绝服务攻击(DDoS)。这再一次让我们看到了病毒作者的狠毒!另外,分析这个病毒的时候还发现它会自动结束“任务管理器”、“命令行控制台”、“注册表编辑器”以及“W32DASM”之类的调试工具。看来作者在对反跟踪也动了一些脑筋。
这六个病毒大同小异,有的病毒会在染毒计算机上放置后门程序,机器可能变成黑客的“bot”而被随意控制,比如窃取这些机器上的信息,或者用这个庞大的“bot”群对一些大型网站发起攻击。这些病毒的传播方式都是一样,均通过MSN Messenger给好友自动发送病毒文件,其他人接收并且运行收到的文件就会中招。
从技术角度上讲,这个病毒其实很简单。它并没有利用高超的技术手段进行传播,也没有在隐藏自身上下太大的功夫,然而它却在短时间内大规模爆发了。
一般能够大规模爆发的恶性病毒可以分为两种传播方式:一种是利用系统漏洞进行传播,而另一种则是利用社会工程学的原理进行传播,是人们心理上的漏洞。利用系统漏洞进行传播的病毒能举出很多例子,比如早期利用Unicode漏洞传播的“尼姆达(Nimda)”病毒、利用IIS漏洞传播的“红色代码II(CodeRed II)”、利用微软SQL Server漏洞传播的“蠕虫王病毒(Worm.netkiller2003)”以及其后的冲击波和震荡波病毒。而那些电子邮件类病毒、即时通信类病毒(如:QQ尾巴类病毒、MSN木马等)则是利用了社会工程学原理。
两种传播方式的病毒相比较而言,利用系统漏洞传播的病毒防范起来可能相对容易一些,只要给系统安装上最新的补丁,设置安全的密码就可以很好防止被这类病毒侵入。而利用社会工程学进行传播的病毒防范起来就要依靠用户个人的安全意识以及经验了。如果我的MSN好友给我发这样的文件,我肯定是不会打开的。首先文件的名称比较怪异,其次文件采用pif作为扩展名是非常不正常的。另外,即使朋友要发送的文件看上去比较正常,我也会询问一下对方发送的是什么文件,确认以后才会接收。
我认为用户平时多看一些安全方面的资讯还是很有必要的,在瑞星杀毒软件的主界面中我们特意设置了一个信息中心能够显示最新的病毒新闻等。这样做就是希望用户能多留意相关的信息,并能从自身提高一些安全意识,这样能减少很多不必要的麻烦。
写到这里已经是8日的晚上了,老大告诉我刚刚我们的瑞星全球反病毒监测网又截获到一个新MSN病毒,和7号的那个病毒很像,不同的是这次弹出页面显示的是一个外星人。
Oh,My God,一场新的战役又打响了,但愿这个病毒不要再大规模爆发了……