3月5日,国家计算机病毒应急与处理中心发布病毒警报,老病毒“高波”(Worm_AgoBot)的新变种正在加速传播,该蠕虫常驻内存,利用系统多种漏洞和通过远程攻击弱密码系统进行主动传播,利用mIRC软件进行远程控制。蠕虫还会连接IRC服务器,接收并执行黑客命令,使被感染计算机成为“僵尸电脑”。
无独有偶,3月2日,国内最大的计算机反病毒厂商江民科技也发布了病毒警报,称一名为“瑞波”(Backdoor/RBot.auv)的老病毒变种正在迅速蔓延,可导致网络堵塞,该病毒与“高波”变种如出一辙,同样可以利用多种系统漏洞进行传播,中毒计算机将被黑客完全控制成为"僵尸电脑",病毒同样会扫描感染目标,可以造成局域网拥堵。迹象表明,我国互联网正在遭受此类“网络僵尸”(Botnet)病毒攻击。
江民科技反病毒中心负责人何公道介绍,他们是3月2日连续截获了“瑞波”以及“高波”新变种的。当天,江民病毒预警系统共收到近200例用户上报的“瑞波”病毒样本,这个数字已经很令人吃惊,因此我们立即发布了病毒警报,提醒用户及时升级杀毒软件防范,然而随后截获的“高波”变种更是出人意料,截止到3月3日凌晨,江民病毒预警系统共收到584例“高波”变种上报样本,上报人数是“瑞波”的“三倍”。
据江民反病毒工程师分析,“高波”变种病毒文件名为Medman.exe,功能上和以往高波病毒变种相同,通过多种系统漏洞、管理员弱密码口令进行传播,会连接IRC服务器,接收并执行黑客命令,使被感染计算机成为“僵尸电脑”。病毒发作后,会结束多种反病毒软件和防火墙软件进程,改写hosts文件,屏蔽多个安全网站。病毒通过MS03-007、MS03-026、MS04-011、MS04-031等多种系统漏洞和管理员弱口令进行传播,感染能力很强。病毒传播过程中,会发送大量网络包,用于扫描局域网内存在漏洞的计算机,可以导致局域网拥堵甚至瘫痪。更为可怕的是, 何公道介绍,中毒电脑还可以接收并执行黑客设置的命令,这些命令可能是任意文件操作、注册表操作、键盘记录、下载执行远程程序、任意网络操作等,这意味着染毒用户的电脑中所有数据都已经毫无安全可言。
江民反病毒专家进一步认为,该病毒显然是有预谋的黑客所为。病毒用来控制僵尸电脑的服务器并不在中国,而感染目标却多数是国内用户。为了进一步观察该病毒的感染机制,江民反病毒工程师隐身进入病毒设置的IRC服务器,结果发现,在40分钟之内,有174台计算机被黑客成功控制成为“僵尸电脑”,而从中毒电脑的IP地址分析,其中多数是国内用户,区域分布分别在北京、福建、甘肃省、贵州、海南、河北、黑龙江、湖南、吉林、江苏、江西、山东、辽宁、山东、山西、陕西、台湾、天津、上海等我国大部分省市,其中有多家是高校和企业用户。
事实上,针对网络上愈演愈烈的“网络僵尸”事件,国家有关部门已经开始高度重视。2005年11月份AVAR2005国际反病毒大会上,国家计算机网络应急技术处理协调中心陈明奇主任介绍,僵尸网络从2005年6月份数量开始呈上升趋势,从6月3日至9月19日,发现较大规模僵尸网络59个,平均每天发现3万个僵尸网络客户端,其中一个大型僵尸网络客户端规模超过15万!数量之大令人触目惊心。
记者从江民科技副总经理严绍文处了解到,前不久,国家网络与信息安全通报中心黄小苏处长在视察江民公司时,曾专门指出僵尸网络的防范问题,建议江民公司加大对僵尸网络的监控和防范力度。目前江民公司针对僵尸网络的防范技术已经取得了初步成果,最新推出的江民杀毒软件KV网络版2006中,集成了全网未知病毒检测、全网防木马等三大创新技术,其中未知病毒检测能够根据病毒行为进行可疑文件判断,并在用户许可的情况下自动上报到江民反病毒中心,反病毒专家在收到样本后立即进行分析并升级病毒库,及时阻断僵尸网络的进一步蔓延。据介绍,“瑞波”“高波”两大变种正是通过这一功能被及时捕获的。
国家计算机病毒应急与处理中心专家称,随着病毒数量大幅增长,预计近一段有可能木马、间谍软件等恶意代码会继续影响和威胁着计算机用户的网络安全和计算机系统安全。总体来看,未来病毒发展在延续传统流行病毒的特性的同时,会进一步提高自身的传播能力和破坏性,针对性也有所提高,技术含量更加复杂。专家建议,计算机用户的防范病毒措施要随这些病毒特性的变化而变化,尽可能地阻止病毒对自己计算机系统的入侵和破坏。