蠕虫再掀病毒潮 怀阳 1999年 第24期 08版 #1 ●蠕虫再度入侵 6月6日,一个普通的星期天,著名的美国反病毒公司Symantec的电话突然铃声大作。几家以色列公司打来紧急求救电话,这些心急如焚的受害者们报告说,电脑里的许多文档不翼而飞,他们怀疑电脑已经被一种新型的电脑病毒感染了。反病毒专家在进行紧急研究后得出了一个惊人结论:一个与两三个月前席卷全球,造成惨重损失的“美丽杀手”病毒极为相似的“蠕虫”类病毒,正在以极为快捷的速度在全球范围内蔓延。更为可怕的事实是,这只代号“探险蠕虫”的“虫虫”剧毒无比!它不但通过Internet疯狂传播,还能在很短的时间里使数以千计的邮件服务器不堪重负而彻底瘫痪,更可怕的是,这条危险的“虫虫”会毫不留情地吞噬受害者硬盘中的大量数据!现在看来,1999年,21世纪的最后一年将毫无疑问地被作为多事之秋而载入计算机发展的史册。短短半年时间里,三波规模空前巨大、波及面甚广、造成损失惨重的电脑病毒风潮如惊涛骇浪一般以势不可当之势,扫荡全球。《纽约时报》则以“前所未有的Internet病毒风暴”来形容这种病毒的大泛滥。与此同时,世纪“千年虫”的阴影更是挥之不去,谁也说不准这条“超级大虫”将在世纪之交给人类带来何种灾。这正是:“99虫虫总动员”。 #1 ●精心伪装、快速扩散 这只“探险蠕虫”的学名是ExploreZip,经反病毒专家的反复分析比较后发现,“探险蠕虫”与“美丽杀手”同类。两者均为“蠕虫”类病毒,都是通过电子邮件在Internet上快速传播。有人将这两个危险的家伙比喻为射程可以覆盖全球的导弹,唯一的不同之处在于,“美丽杀手”型导弹没有装载“核弹头”,而“探险蠕虫”型导弹则携带有致命的“核弹头”!这是因为“探险蠕虫”会疯狂删除硬盘上的数据。“探险蠕虫”的“特诺伊木马”式欺诈手段比“美丽杀手”又高明了许多,如果事前没有得到警告,收信人十有八九会上当中招。这只狡猾的蠕虫以附件的形式藏匿在电子邮件之中,它伪装成一个十分友善的回复邮件(^240801a^),说道:“嗨(收件人)!我已经收到了您的来信,我会尽快回复。在此之前,请先看一看附件中的压缩文件。”而那个看上去温情脉脉的“Zip-files.exe”附件正是极度危险的“探险蠕虫”!一旦粗心的收件人上当受骗打开这个附件,“探险蠕虫”就成功地钻进了他的电脑。然后,蠕虫在后台偷偷摸摸地运行,搜索邮件程序收件箱中的邮件,然后将自身的副本作为附件向收件箱中的所有未读邮件发送一封回信,当然回信的正文就是上述的那段蛊惑人心的话语了。由于是对真实邮件的回信,这就使经“探险蠕虫”伪装过的邮件看起来像朋友的友好回信,于是上当受骗的机会就大大增加了。然而恶梦远远没有结束,因为你注意到计算机中“探险蠕虫”存在之日,就是你发现大量文件不翼而飞之时!这只邪恶的“虫虫”不但疯狂传播,更可恶和可怕的是,它对数据的胃口极大的,会在极短的时间内删除硬盘中的微软Office文档和各种程序语言源文件,这些文件在被“探险蠕虫”吞噬以后几乎没有恢复的可能!更进一步的研究还发现,这个可怕的“蠕虫”竟聪明到它可以自动通过网络上共享的驱动器爬到相邻的机器上。这样,公司内部的那些即使没有邮件系统的联网机器也可能难逃虫口之灾!由此可见“探险蠕虫”的恶毒已经远胜于其它同类了。 由于拥有极负欺骗性的传播方式,这只“探险蠕虫”在短短的几天时间内就征服了所有的大洲,唯一幸免遇难的恐怕只有那远在万里之遥而千里冰封的南极了。在被发现踪迹后的第四天,也就是6月10日,美国、德国、挪威、以色列、捷克等国相继传出了灾情。11日上午这只虫虫正式登陆台湾,开始宝岛上的“探险”旅程。此后,香港、日本、英国、南非和拉美均传出虫情报道。有报道称,在美国有许多联邦官员,包括诸多众议院议员,都受到了该病毒的沉重打击。位于加州的反病毒公司网络联盟公司(NAI)称其分布在美国、法国和德国的企业用户中已经有60%受到了“探险蠕虫”的感染,并有大量的数据被删除。美国国内的许多大公司的网络都受到了“探险蠕虫”的攻击,包括微软、Intel、波音和通用电器在内。这些公司的网络无一例外的因为病毒的原因暂时瘫痪或者被迫关闭。波音公司遭到严重破坏,被迫关闭了供15万名员工使用的电子邮件系统。微软的电子邮件系统也因为“蠕虫”的原因被迫切断与Internet的联系,关闭了两个小时。与此同时,联邦调查局(FBI)以极快的速度对这种病毒及病毒作者展开调查,国家基础设施保护中心的报告说,在美国有数十万部计算机感染了这种病毒。一时之间,使用电脑工作的人们又开始谈“虫”色变了。三月的“美丽杀手”和四月的CIH带来的恐慌还历历在目,如今兼有两者特点的更为厉害的“探险蠕虫”又气势汹汹的出来“闯世界”了!“美丽杀手”以其前所未有的传播速度席卷全球,而CIH则以破坏性极大而臭名昭著,现在的“探险蠕虫”则嫁接了两者的恶毒基因,以“美丽杀手”般的速度飞速传播,以CIH般的凶悍大肆进行破坏。难怪有人感叹,如今的病毒似乎早已深谙了达尔文的进化论,以令人目不暇接的速度繁衍、进化。唯一值得庆幸的是,“探险蠕虫”的全面爆发是在“美丽杀手”大流行之后。因为对“美丽杀手”事件人们还记忆犹新,而且很多受到“美丽杀手”攻击后的机构和个人在那次事件中得到了惨痛教训和深刻教育。通过媒体的大量报道,人们对病毒的了解和警惕程度已经今非昔比了。这也是“探险蠕虫”此次造成的危害远不及“美丽杀手”大的真正原因了。有病毒专家对此唏嘘不已,声称如果“探险蠕虫”的流行先于“美丽杀手”的话,我们很可能将面对一场世界范围的危机!(^240801b^) #1 ●蠕虫要吃什么? 由于极具破坏力的“探险蠕虫”专门袭击微软的Office文档(包括Word、Excel、PowerPoint文件),并且有针对性地专门删除、破坏C、C++和汇编程序的源代码,不少的安全专家分析认为,蠕虫的作者本人极有可能曾被其他病毒攻击并丢失过源代码,因此,这一次出于报复心理,他把攻击的目标对准了他的那些程序员同行。IBM公司从事自动病毒免疫系统研究的研究员大卫·切斯(David Chess)认为“探险蠕虫”的作者将很难抓获,因为他不像“美丽杀手”的作者将行踪暴露在了可以追踪行迹的一个新闻组里。“我不知道这些人是怎么想的”,大卫说道,“这就和那些有意打碎别人轿车玻璃的小人的思维方式一样,都是同样愚笨无知的破坏行为。” #1 ●三次“毒潮”带来的反思 虽然病毒编写者的目的可能千奇百怪,但结果都是同样的具有灾难性,特别是在Internet日渐普及,人们日益依赖网络的今天。年初的“Happy 99”在受害者的屏幕上大放美丽炫目的烟火,带给人们的却是深深的恐惧。在接下来的短短三个月时间里,三波前所未有的病毒狂潮又借Internet的神通为害人间。最先降临的是一点都不美丽的“美丽杀手”,说她是杀手其实有点言过其实了,幸好它还不是嗜“数据”如命的动物,否则它的降临就不仅仅是让那些身体极为“虚弱”的邮件服务器瘫痪半天一天那么简单了。“美丽杀手”的背影还没有完全在视野中消失,切尔诺贝利(CIH)的“核阴影”又笼罩到了可怜的电脑用户们的头上。好不容易送走了CIH这个瘟神,善良的人们以为可以暂时松口气了,但是,我们想得过于天真了。平静的日子持续了不到久,更为可怕的“探险蠕虫”又爬进我们的电脑,吞噬我们的数据!“美丽杀手”的作者史密斯被FBI抓获归案,炮制CIH的陈盈豪也难逃台湾警方的法网,但这一切还是阻止不了“探险蠕虫”闯荡世界的步伐,它还是爬进了数十万部电脑的硬盘!当然本年度最大的恶梦还在世纪的拐角处等着我们,硕大的“千年虫”的能量目前仍是旋在我们头顶的一个巨大问号。 有人曾调侃地说:现在世界上最没有安全感的人也许就是电脑一族了。这样的调侃也是不无道理的。随着Internet的触角伸向世界的每一个角落,我们手边的电脑从来没有像今天这样的易于被人攻击。在面临病毒威胁的同时,让人更防不胜防的则是那些不知躲在哪个黑暗角落里的“黑客”们。科技从来都是寒光闪闪的“双刃剑”,Internet在将地球日益变为小小村落,为人类带来巨大方便的同时,也带来了不少不容忽视的问题,这和神通广大的电脑同样带来令人头痛万分的“千年虫”问题如出一辙。黑客和病毒制造者们(有时两者是合而为一的)从来没有像现在这样彼此接近过。借助于Internet,他们无须见面就可以交流黑客心得,分享最新的病毒技术,炫耀自己的“丰功伟绩”,甚至结成虚拟的网上组织(恐怖组织?)。极具讽刺意味的是,这些电脑和Internet的受益者的最大乐趣竟然是专研如何使电脑和网络瘫痪的技术,而且他们甚至就通过电脑和Internet本身来从事这种勾当的!网络为人们提供了一个更为宽广、自由的空间,但是病毒、黑客这样的破坏性行为正在逐渐增多,他们将掐住Internet发展的咽喉,让我们不得把大量人力、物力投入到与这种人为破坏进行争夺和对破坏进行修复中。每次类似的病毒爆发之后,我们不得不投入更多的时间、精力进行重复的建设。(^240801c^) 水能载舟也能覆舟。如何更好地利用Internet,尽量减少其负面影响看来应该是引起大家的注意的时候了。这大概也是世纪末的“虫虫总动员”给我们敲响的一声警钟吧!