【大纪元8月16日讯】如果说小球病毒是因为第一个大面积传播的计算机病毒而出名的话,那么大规模传播的恶性病毒的第一个恐怕要给CIH了,而借助网络传播的恶性病毒的第一个又是谁呢?那绝对是今天还在作乱的“红色代码”莫属了。
与病毒打了长达十几年交道的著名反病毒专家、瑞星公司总经理刘旭这样评价“红色代码”病毒:这是一种新型网络病毒,非常可怕,所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,开创了网络病毒传播的新路,可称之为划时代的病毒。如果稍加改造,将是非常致命的病毒,可以完全取得所攻破计算机的所有权限为所欲为,可以盗走机密数据,严重威胁网络安全。
如果能够得到著名反病毒专家这么高的评价,那么这个病毒也足够引发人们的重视了。况且,“红色代码”之父没有留下任何蛛丝马迹,而且受攻击的网站经常出现“中国黑客入侵”字样,这更给这个病毒的身世添上了神秘的色彩。
缘起
6月18日,微软公司宣布在ISS网络服务器软件中发现一个漏洞,而ISS软件是架设网站最基础的软件之一,而这正是黑客梦寐以求的软件缺陷,从而引发了全球黑客对这一软件“缺陷”的高度重视。
7月13日,一家名为“左岸系统”的公司称,几台服务器遭到一种新病毒的入侵,利用的正是ISS服务器软件的这个缺陷。
7月16日,发现微软软件漏洞的软件公司程序员把一种饮料名称赋予了这个病毒,称之为:“红色代码(CodeRed)”。
7月18日午夜,“红色代码”大面积爆发,被攻击的电脑数量达到35.9万台。被攻击的电脑中44%位于美国,11%在韩国,5%在中国,其余分散在世界各地。
7月19日,这个名为“红色代码”的病毒开始疯狂攻击美国白宫网站,白宫网站管理员将白宫网站从原来的IP地址转移到另外一个地址,才幸免于难。然而灾难并没有结束,这个蠕虫病毒已复制变成10多万个,并且以每4.5小时400MB的速度大量发送垃圾信息。
7月19日,“红色代码”停止猛攻进入休眠期,不再进行大规模的活动。
7月20日,瑞星公司通过全球病毒监控网获得“红色代码”病毒样本。
7月31日,格林尼治时间午夜整点,“红色代码”再度复活,在全球大面积蔓延,由于某些受感染的网站上出现“中国黑客入侵”的字样,国外媒体产生“病毒制造者是否来自中国”的猜测,但由于制作者没有留下任何蛛丝马迹,而且首次爆发主要在美国等地,所以这只能是一种猜测。
变身
7月31日爆发的病毒已经做了修改,对其中一些错误进行了修正,使其传播和攻击能力进一步加强。然而,人们却没有料到,“红色代码”病毒再次经过修改,其变种卷土重来,这次扑向的是使用中文系统的网站。
据瑞星公司技术部门分析的结果表明:作为改进后的版本,“红色代码”可以创建300个线程在网络上查找未感染的计算机,当判断到系统默认的语言是中华人民共和国或中国台湾时,查找线程数猛增到600个,占用大量系统资源和网络资源,造成网络拥堵。
瑞星公司的模拟实验显示:病毒采用随机产生IP地址的方式,每个病毒每天能够扫描40万个IP地址,搜索未被感染的计算机,在寻找到“猎物”后,病毒会向寄生虫一样,通过自我安装感染服务器,一旦在某台服务器中安装成功,接下来它就会利用这台服务器,搜寻更多的感染目标,其传播速度非常惊人。
更可怕的是,在感染计算机后,它还从病毒体内释放出一个木马程序,驻留在计算机当中,为入侵者大开方便之门。
“红色代码”病毒的传播机理不同于以往的文件型病毒和引导型病毒,采用的机理很特殊,利用WINTEL构架的缺点,它只存在于内存当中,传染时不通过文件这一常规载体,直接从一台电脑内存到另一台电脑内存。如果把所有的计算机都同时关掉,病毒将不复存在,而这样做完全是不可能的。
8月6日上午,瑞星公司24小时800免费电话接连打来电话,其中一家企业网络处于瘫痪状态,服务器一天重新启动20余次,下午紧急召集瑞星等三家著名反病毒厂商现场会诊,瑞星技术人员根据现象当即断定是“红色代码”新的变种,马上进行现场采样,连夜分析,经过一夜的艰苦奋战,至凌晨4:30,拿出解决方案,到5:40升级程序编制完成,6:00整,升级程序及相关资料全部公布在瑞星网站上。也是这一天,公安部发布紧急通告,加强防范“红色代码”病毒。
8月7日一大早,瑞星公司技术人员再次通报:经过仔细分析解剖“红色代码”的变种,又发现该恶性病毒的新招术,在它感染计算机后,修改操作系统注册表,将Scripts、MSADC、C盘和D盘的属性改为可读写,这样便可以远程操控感染计算机,对其进行读写操作,并通过网络盗走资料数据。很多用户在清除该病毒并弥补软件漏洞之后,并没有恢复以上四项的属性,特别是C盘和D盘的读写操作属性,这为黑客留下了可乘之机,瑞星公司提出了相应的解决办法。
具体方法如下:在杀毒后重新启动计算机,再次杀毒以消灭木马程序,然后打开“控制面板”,找到“管理工具”,运行“Internet信息服务”,在其“默认的Web站点”选项中将C、D、Scripts和MSADC的属性改为原有属性。
反思
反思一:通过“红色代码”病毒事件,证明了在网络时代,病毒传播的速度是极其惊人的,其危害也极为巨大,国内用户限于应用水平和麻痹思想,并没有对计算机安全给予高度的重视和相关的投入,这也提醒用户是否应该进一步做好病毒防范工作。
反思二:瑞星公司早在7月20日就得到了病毒样本,并分析解剖提出了破解方法,制作出了升级程序,由于病毒发作主要在国外针对英文网站,没有意识到在病毒变种后针对中文网站进行攻击,所以没有采取紧急升级措施,致使用户疏于防范。
反思三:“红色代码”病毒的传播机理是相同的,其变种致少有两种,一些反病毒厂商将其不同变种归纳为一代、二代、三代,事实上是出于炒作的需要,俗话说“蛇打七寸”,如果掌握病毒传播机理,其防治效果相当显著。
反思四:国外各通讯社紧盯“红色代码”不放,特别是有关“中国制造”的说法,更让国内媒体不敢轻举妄动,这在一定程度上影响了对该病毒的宣传防范。
反思五:国内企业网络应用水平不高,对于计算机病毒一般采用单机版杀毒,而且采用手工升级的方式,很难彻底根除网络病毒,瑞星网络版用户由于使用全网杀毒、定时智能升级等功能,在此次网络病毒大爆发中安然无恙,从中可以看出企业在这方面认识的滞后。
反思六:“红色代码”病毒源自于微软公司操作系统软件的一个“缺陷”或“漏洞”或“BUG”,这样一个对微软来说小小的错误造成了如此巨大的恐慌和损失,对于这样一个一统天下的操作系统软件公司来说,是否应追究其产品质量问题,并提出相应的索赔,似乎也在情理之中。
(人民网-市场报)(https://www.dajiyuan.com)
相关文章
留言