2003病毒领域已经发生了什么, 即将会发生什么?
每年的十二月,防病毒软件厂商都会发布一些有关病毒活动情况之类的数据统计报告,通常这些病毒都是在即将过去的2003年里最为活跃的。这些报告着实有趣,有些记载的数字甚至能让那些IT管理人才吓出一身冷汗。
不过当我们聚焦于POWERPOINT放映的几张图片时,我们所看到应该不仅仅只在于上面的数字本身,我们还应该有足够的敏感度去获悉其它的一些东西,比这一年的病毒领域已经发生了什么,以及即将会发生什么。
今年最初是由 SQL Slammer病毒拉开序幕的,虽然该病毒仅感染MSSQL服务器,但破坏速度却十分惊人。对于杀毒软件厂商而言,SQLSlammer可能是他们事业的重要里程碑,因为大多数制造商凭借自己目前的固有技术对于这类病毒往往束手无策,无计可施。但幸运的是,熊猫卫士网关防毒墙PAGD却对SQLSlammer早已有备而来、成竹在胸,该产品也是第一个由杀毒软件制造商提出的解决方案。冬去春来,到了炎夏8月,我们遇到了同样传播迅速的Blaster,其来势之凶猛与SQLSlammer相比可谓有过之而无不及。
今年,另外一个让人印象深刻和破坏力强大的病毒便是Bugbear,它能对IE浏览器5.01和5.5造成严重的打击和损害。自2003年五月份病毒发布之日起、直至六月,该病毒在网络上嚣张横行、肆无忌惮。曾经有一段时间它看上去似乎即将消失,但转眼间它突然又卷土重来、再次活跃在人们的视线中。
上面提到的病毒都是2003年度的最主要的几个病毒,但是我们不要忽略在2003年还有一个大病毒——Klez.I。该病毒网络成名甚早,自它被发现以来,几乎所有常见的网络危胁的名单里都可以看到它的大名。不过所幸,种种数据表明在Klez.I病毒出现后的一年半时间里,它的网络感染速度正在回落,这无疑是个好消息。
蠕虫病毒家族的所有成员它们都是使用同一种传统的繁殖方式,产生同一种破坏力,虽然它们总是毫无创新,但他们同样是目前网络上引起众多病毒感染的罪魁祸首之一。追根溯源,我们可以知道这类病毒影响波及到所有计算机的一个重要因素。无论用户怎样升级系统,安装层层安全防线,可是最危险的那一环节却总是被遗忘、忽略:用户的鼠标。鼠标,用户总是不加任何防备地使用鼠标去点击那些危险的程序、链接,打开EMAIL等。如果反病毒公司不让用户明白这一点,那么那些旧的病毒仍会继续永无止境地传播。
因此,所有的反病毒日程安排上都应该安排这一项任务:培训培训再培训。让用户去了解病毒是如何工作的,蠕虫又是什么,它的传播途径,社会工程学指的又是什么,如何识别伪装的电子邮件。如此,才能让那些公司的网络安全管理人员不再头痛。
另外,还有一个责任问题:一些网络管理员总是不能及时地更新系统。也许是因为他们没有时间、没有资金支持……,总之造成不能及时更新的原因有很多,可是管理人员必须解决这一问题。一些网页可以使这一任务变得简单。如果所有的管理员每星期能看一眼这些网页,我相信安全系数将得到很大的提升。同时,这项工作应该不仅只是由WINDOWS的管理员来做,所有的管理员都应做到这一点。因为现在为数众多的应用软件和操作系统同样面临着漏洞和安全问题的困扰。从Oracle到Apache,许多不同的软件都需要及时更新。WINDOWS如今可不再是孤独的受害者呢!也许正有一两个黑客正盘算着明天去袭击哪一个系统,尽管今天它看上去是多么的坚不可摧、多么的安全。没准现在已经有病毒对它虎视眈眈,谁知道呢!但是,只要漏洞和它的补丁程序存在,病毒和反病毒软件也就同时存在。
我们希望2004年将是和平的一年。但是,撇开美好的祝愿,我们还是不得不承认现实:一定有人会来挑战我们的反毒信心。目前,仍有许多的服务器没能及时或正确地更新,存在着许多令人担忧的漏洞。不仅仅是Windows,许多Linux系统正面临随时遭到攻击的威胁。SQLSlammer和Klez的教训告诉我们,在不久的将来可能会有传播速度更快,破坏力更大的病毒出现,它们的影响可能会更大,比如DoS拒绝服务攻击,数据库被删除,资料被盗等。
在未来的日子里——当然不仅仅是2004年,黑客们仍会使用各种技术破坏网络。从网络连接设备(如路由器,防火墙或网关)的缓冲溢出到恶毒代码的殖入,破坏系统的方式和机会有许许多多。也许他们的目的并不在于彻底破坏你的数据库,而是暂停正在运转的业务,但损失仍然是巨大的。将你们公司一年的收入除以三百六十五,你会发现,公司网络停止一天意味着多少的损失。
为了预防可能会出现的各类破坏性病毒及那些已经出现的经典病毒(SQLSlammer,Blaster等)会造成的各类损失,各种高新技术需要不断开发,不单是用于防范那些众所周知的特洛伊木马、网络蠕虫以及病毒等,更重要的在于检测新的网络危胁并及时制止他们。
这些技术也许与平日里常见的启发式病毒扫描技术相似,但它们更为先进,具备各种高端技术,例如能够检测到各种恶意的协议命令行、错误的UDP报头以及其它种种威胁。
“我相信越来越多的人会同意我下面的观点:时下用于探测各类以文件作为载体的网络威胁的软件,已经陷于一种危险的境地——面对前所未有的网络危胁时会开始束手无策,就像几年前一样,因此反病毒技术不得不迈出跨越性的一步,除了保护传统的文件和软盘外,电子邮件也随之开始受到重视。”熊猫软件的一位反病毒专家说,“我至今还记得几年前人们对我的嘲笑,因为那是在1998年,熊猫软件发布了“铂金版”杀毒软件,它是第一款能检测和清除电子邮件信息文本中的病毒的产品,在此之前,人们普遍认为邮件文本是不可能携带任何病毒的。然而紧接着,出现了利用了安全漏洞的HTML病毒,然后,从Bubbleboy病毒史就翻开了新的篇章。
因此,展望新的一年,我们应对那些意欲挑战传统防病毒软件的各类新危险作好准备。我们现在的对手不仅仅是那些通过EXE文件传播的病毒(如Jerusalem)或者通过软盘传播的病毒(如Pakistan),而是面对着会摧毁整个电脑系统的新一代的恶意程序的挑战。如果黑客门正在开发新的攻击技术(我坚持请各位设想一下),那么你就应该做好准备安装新的系统以确保你的网络安全。如果公司有人说这样保护网络成本会很高,那你就请他去设想一下:如果不这么做,到时将付出多大的代价和损失。