资讯首页 > 安全信息 > 正文
“狙击波”蠕虫病毒何以引发如此大规模攻击
毒霸信息安全网 http://www.duba.net
2005-08-25 19:58:33 来源:techtarget

  Ken Pfeil是幸运的人之一。虽然其它公司都在努力阻止由于受到Windows 2000中即插即用安全漏洞的影响而引起的大规模的、多种恶意代码的攻击,但是,Pfeil的企业却仍在照常经营。

  标准普尔公司位于纽约的拥有1000名雇员的分公司Capital IQ的首席安全官Pfeil说,我们一直在解决一些薄弱环节。但是,我们听说这些攻击比我们看到的还要多。尽管他的网络在工作站和产品一级上仍有很多采用Windows 2000系统的设备,但是,他的网络并没有受到影响。

  随着即插即用安全漏洞的攻击在24日迅速增加,很多人把这个损失归咎于公司没有学习按时使用补丁的价值。

  一家位于东南部的中型零售供应链Shavlik技术公司的网络系统分析师Todd Towles说,很多公司似乎都没有听说这件事。由于这个恶意代码攻击的目标是有限的,这种恶意代码在传播过程中是可以被阻止的。尽管有很多警告提醒人们快速修复这个即插即用安全漏洞,Zotob这样的蠕虫仍然能够在全球范围内造成破坏。

  他在随后的电子邮件采访中说:“不了解正在驶向他们的列车的人数之多令人感到意外,尽管我们尽了最大的努力宣传这件事。”

  Pfeil说,Zotob和其它蠕虫为什么会造成自从去年“振荡波”蠕虫以来最大规模的互联网攻击?人们不能把原因全部归咎于不及时使用补丁。

  他说,我们不能依赖于使用补丁来减轻所有的风险。很多公司都在尽快地使用补丁修复一切漏洞。但是,他们没有为系统制定优先等级,指出哪些机器是最重要的。我们有很多Windows 2000工作站,我们主要使用的是Windows 2003。我们从一开始就知道哪些系统在使用补丁的优先等级方面是最重要的。

  速度杀手

  但是,Pfeil最后说,在攻击达到一定速度时,你还有许多可以做的事情。这种蠕虫的传播速度在3秒钟之内从0提高到了60。

  安全专家说,笔记本电脑、蜜网和恶意软件本身之间的竞争是传播速度加快的一个原因。

  CipherTrust公司的研究工程师Dmitri Alperovitch说,很多Windows 2000机器已经被Windows XP机器所取代了,而且大多数IT部门都知道封锁防火墙中的TCP 445端口,因为这个端口过去一直是经常受到攻击的目标。但是,当这些蠕虫能够感染笔记本电脑的时候,上述措施就不起作用了。

  他说,我们面临的最大的挑战之一是网络漫游的性质。大多数IT部门封锁了防火墙中的445端口。但是,人们的笔记本电脑是在外部受到感染的,然后又把笔记本电脑带回了办公室,接入网络并且进行传播。

  Towles也赞同这个观点。他说,每一台没有使用补丁的笔记本电脑都是感染你的内部网络的定时炸弹。这是一种典型的安全问题--外部很牢固内部很脆弱。封锁边界还是不够的。

  僵尸战争升级

  与此同时,攻击者正在悄悄地建立他们自己的僵尸电脑武器库。所谓僵尸电脑就是被恶意代码感染的电脑,这些电脑正在等待恶意代码的制作者发布指令。僵尸电脑大军可以用来转发垃圾邮件和间谍软件,并且对目标企业发动各种攻击。在这种情况下,Alperovitch认为,攻击者利用这些僵尸电脑快速传播他们攻击即插即用漏洞的蠕虫。在最近的一次检查中,新出现的这类蠕虫已经包括Zotob-A到Zotob-F、Zytob、IRCbot.worm、Tpbot-A、Dogbot-A、Esbot-A、SDbot-ACG、Rbot-AKM和Rbot-AKN以及Drugtob-B。

  Alperovitch表示,僵尸电脑一直是快速传播这种蠕虫的关键。在4个小时的过程中,实验室检测到一个僵尸电脑大军的电脑数量从2000台增加到了4000台。这是我过去从来没有看到过的。

  位于英国的MessageLabs公司发表声明说,它发现Zotob蠕虫的作者就是Mydoom/Mytob蠕虫的作者。MessageLabs还发现这种病毒及其变体正在相互争夺国内电脑谜网的控制权。这种情况使MessageLabs做出结论称,这种行动只能归咎于有组织的犯罪团伙之间的竞争。这些犯罪团伙似乎要实施更大规模的互联网犯罪活动。

  新闻编辑室遭受严重攻击

  人们对于这次攻击不理解是为什么像CNN、ABC和纽约时报等新闻机构遭到这样严重的攻击。SANS研究所研究经理Allan Paller有一个理论,这个理论是以Zotob-C蠕虫为中心的。

  他说,虽然前两个Zotob蠕虫的变体是通过有即插即用安全漏洞的网络计算机传播的,但是,Zotob-C蠕虫还能过通过电子邮件传播。如果早期被感染者有一个各大新闻媒体的记者的电子邮件列表,这种蠕虫正好利用这个邮件列表进行疯狂的传播。

  Paller在即时消息采访中表示,新闻机构没有严格的电子邮件附件的限制,如禁止所有带图片的电子邮件附件等,因为新闻机构要得到合法的图片。似乎每个新闻机构的第一个收件人都是从可信赖的消息来源得到的这种附件。一旦蠕虫感染了CNN(或者其它新闻机构)内部的某个人,这个蠕虫就通过这个人的电子邮件列表向这个机构的其他人进行传播,然后再通过受害者的电子邮件列表进行传播。

  Paller表示,这是一个没有证实的理论。但是,这是一个合乎逻辑的理论。
【责任编辑:V】
毒霸网站热点推荐
我要发表评论 内容指正 进入论坛 打印此页 返回顶部
相关文章:
· 研究证实短信拒绝服务攻击可使手机网络瘫痪 2005-10-08 16:39:48
· 三个月内遭两次攻击 火狐推广网站被迫关闭 2005-10-08 16:03:16
· 知己知彼 深入了解黑客常用的五种攻击手法 2005-09-13 20:56:13
· 思科网络系统曝严重漏洞 存在远程攻击风险 2005-09-12 20:53:44
· [防护]黑客攻击行为的特征分析及反攻击技术 2005-09-11 19:10:56
匿名发表  昵称:  验证码:

如果您有关于产品方面的问题,请您登陆客服在线,以便我们尽快为您解答:)
金山简介 | About Kingsoft | 业务合作 | 广告服务 | 招聘信息 | 客服中心 |
© 2001-2005 金山公司 版权所有