2004年春节，正当人们沉浸在节日的喜悦和幸福之中时，

　　病毒也悄然在网上开始蔓延传播，并且来势汹汹。

　　据了解，约有数百种病毒在这个假期肆虐，除了一些老病毒在此期间爆发外，又有一些新病毒也开始传播蔓延，严重威胁互联网安全。其中，最值得关注的是一种被称为“Mydoom”的新蠕虫病毒。

　　影响巨大

　　这种新型蠕虫病毒以一种近乎疯狂的速度波及全球，大量的电脑终端受到感染，数以万计的邮件服务器收到以亿计的病毒邮件，造成了邮件服务器的性能严重下降或是瘫痪，从而影响了整个网络的正常运作。

　　专家介绍说，目前，这个蠕虫病毒及其变种仍在大面积爆发，据统计该病毒在全球的提交案例已达8568例，亚太地区为377例，而且提交量仍在增加，尤其是个人用户的提交量增长迅速，提交量为8036。

　　被攻击的SCO公司称，全球因特网接入供应商纷纷对SCO网站的使用加以阻止，生怕受到可能是迄今增长最快的蠕虫Mydoom的感染，因为该蠕虫的攻击目标是SCO的网站。

　　该公司称，全球的因特网服务供应商正在阻止向SCO网站的接入，因为他们认为通过这种方式能够避免该病毒的侵袭。据悉，美国波音公司内部网因为被Mydoom攻击而全部瘫痪。Sophos公司的技术顾问格雷厄姆表示，由于不能足够快地清除这种病毒，企业非常被动。

　　有关专家称，尽管造成的经济损失很难估量，但估计在数十亿美元的量级上。对于普通计算机用户而言，Mydoom的代价是收到大量电子邮件，在互联网服务提供商过滤恶意流量时不能访问电子邮箱。对于微软公司和SCO集团而言，它们则再次成为了病毒的靶子。

　　据了解，这个病毒主要是在北美地区蔓延，在国内造成的损失小于国外，但由于其传播速度非常快，仍不能掉以轻心。据国家计算机网络应急技术处理协调中心运行部副部长周勇林透露，通过CNCERT/CC的抽样监测，截至2月1日12∶00，在我国互联网上共发现蠕虫的传播企图（即发送带蠕虫的邮件）580多万次；国内向外发送蠕虫邮件的主机约2.7万台。而且还在不断蔓延，目前在国内造成的影响小于国外，但CNCERT/CC对此很重视，将会继续观察其发展事态。

　　与众不同

　　Mydoom蠕虫是通过电子邮件附件进行传播的，当用户打开并运行附件内的蠕虫程序后，蠕虫就会立即以用户信箱内的电子邮件地址为目标向外发送大量带有蠕虫附件的欺骗性邮件，同时在用户主机上留下可以上载并执行任意代码的后门。

　　该蠕虫变种还设定了自2月1日起向www.sco.com网站和2月3日起向www.microsoft.com网站发起大量连接请求而造成DDoS攻击，并且阻止被感染机器访问一些著名反病毒厂商的网站。据悉，攻击将一直持续到3月1日，但DDoS攻击停止后蠕虫留下的后门不会自动消除。

　　Mydoom本身是一种蠕虫，与传统意义上的病毒不同的是，它是一个独立的文件，从技术手段上看没有什么特别的创新，主要是通过邮件进行传播，并在被感染的主机上安装后门程序，并对网站发动拒绝服务攻击（DDoS）。其传播速度非常快，影响力也比较大，与国外相比，在国内目前并没有造成重大的损失。

　　网络联盟目前已经把这个病毒由低风险度升为高风险度。这个病毒的突出特点是可以进行自我构造邮件地址，并且利用3127等端口进行IP欺骗攻击，非常有针对性。而且传播速度特别快，36小时内在全球蔓延，超过了去年的Sobig病毒。

　　感染Mydoom病毒的主机因为被留了后门，形成了一个跳板，能够让黑客和其它电脑犯罪者不怀好意地控制受感染的电脑，从而去窃取密码、文件内容或其它电脑用户的敏感信息。这对用户来说是一个很大的威胁。

　　很多计算机安全厂商已经多次警告用户不要随便打开可疑的电子邮件附件文件。由于该病毒将自己伪装为来自电子邮件系统管理员的错误信息，许多人在发现邮件的正文中信息太少时会毫不犹豫地打开附件文件。

　　Mydoom蠕虫病毒利用社会工程学诱使用户打开后缀为.exe、.scr、.zip或.pif的附件文件。

　　有关专家称，该病毒采用的是病毒和垃圾邮件相结合的战术。由于许多用户对此并不知情，使得这种病毒的传播速度有日渐加速的趋势。

　　缘起何处

　　该病毒攻击的目标是软件制造商SCO和微软两家公司的网站，为此这两家公司已经各悬赏50万美元，以捉拿Mydoom的制造者。但到目前为止，尽管怀疑该病毒制造者是俄罗斯人，因为第一封携带该病毒的邮件产生自俄罗斯，除此之外，寻找该病毒制造者的工作没有任何进展。

　　网络安全专家日前表示，Mydoom病毒制造者在病毒中暗带了一条道歉信息，向受害的公众说抱歉。 据悉，Mydoom和Mydoom.B的作者在病毒中署名“andy”，并在后一版本中留下一条信息称：“我只是在做自己的工作，没有任何针对性，抱歉。”防病毒软件制造商NAI公司的分析师吉米-科奥(Jimmy Kuo)表示：“我们的理解是他在向公众道歉，我们猜可能是有人付钱让他编写病毒的。”

　　两种版本的病毒都在被感染者的计算机中留下了一个后门，帮助黑客控制受害计算机，并利用其发送垃圾邮件、发动拒绝服务式攻击或是进行其它恶意行动等。另有一些专家对作者的道歉有另外一番理解，他们认为，作者和其它很多病毒制造者一样是在捉弄调查当局，炫耀自己的能力。如果他真是内疚的话，为什么还要制造病毒呢？

　　各网站也有消息说，因为SCO公司在去年对Linux进行过投诉，从而导致了一些Linux爱好者的痛恨，所以编写了这个病毒来报复SCO公司。《商业周刊》网站1月29日刊登的分析文章指出，在究竟是谁、又为何要制造出Mydoom的问题上，SCO及开源软件社区之间都指桑骂槐而相互指责。但反病毒专家们对此表示，这种口水战行为并不能使网络安全程度有丝毫的提高。

　　目前能帮助我们了解Mydoom病毒作者身份的唯一线索是隐藏在病毒代码中的一行字：“sync-1.01；安迪，我正在忙自己的工作，与私人无关，对不起。”到了1月28日，Mydoom的变种却又向微软的网站发起了攻击，这样Mydoom作者的原始动机就更加让人感到迷惑不解了。

　　其实，这些说法都没有任何有力的证据，也都是一些猜测。除非Mydoom的作者今后在某个场合因管不住自己嘴巴而走漏风声，否则查找Mydoom始作俑者的任务无疑是大海捞针。此前微软也曾悬赏25万美元寻找大无极和Gibe病毒的作者，但最终也是不了了之。

　　反病毒专家们进一步指出，病毒的危害性不容忽视。目前，我们面临的最主要任务应该是如何最大程度清除它所带来的负面影响，并对它可能实施的下一次攻击做好种种防范工作。如果我们老在究竟是谁制造了病毒这个问题上纠缠不休，这种态度并不能使网络安全程度有丝毫的提高。

　　问题所在

　　从Mydoom病毒本身来看，技术上并没有什么创新，只是利用了与邮件结合的技术，以及社会工程学来诱使、欺骗用户打开邮件，但却在全球造成了如此巨大的影响和损失，到底是什么原因造成的呢？

　　安全专家表示，他们对该病毒对微软公司和SCO集团发布的分布式拒绝服务攻击无能为力。反病毒厂商很难作出及时有效的反应，总是落后病毒一步。

　　事实却是如此。刘彬分析说，病毒编写者在暗处，时刻在寻找各种漏洞和攻击的机会。而厂商却在明处，只有威胁出现了，才会去应对，所以，厂商永远是被动的。而能达到的最好效果是，病毒出现后能立刻进行遏制。

　　病毒的制造技术是在不断发展，如果反病毒技术和工具不去技术更新和发展，势必会造成病毒的泛滥。病毒的攻击手段越来越高明，可是我们手上的武器还是相对落后的。病毒开始紧密地结合黑客技术，而现阶段的很多安全产品还是以简单的查杀功能为主，这种技术上的滞后，使得用户的安全防护形同虚设。所以，作为厂商，应该时刻关注病毒的发展趋势，不断更新和完善反病毒技术和工具，病毒与反病毒的魔与道的斗争是长期较量的过程。Sophos亚洲区总裁Charles Cousins表示：“网络管理员所需要的防毒软件不仅在安装上要简易快速、能有效扫描，最重要地还要对照新的病毒威胁迅速更新，并尽量使网络不受影响。”

　　另外，各厂商的代表均表示，对病毒的防范只靠产品/技术是不完整的，并不能收到很好的效果，常规的防火墙、防病毒产品不能从根本上解决安全问题。防范病毒应该需要一个立体的、深层的防护体系，它包括动态和静态两种：以产品/技术作为静态防护手段；及时的响应服务机制作为动态防护手段，包括预警、防护、响应、管理及专业安全服务等。

　　从Mydoom病毒的爆发情况来看，用户的个人防范意识还有待提高。目前，用户的杀毒软件应用概念还是淡薄。据了解，使用杀毒软件的电脑用户中，有近八成仍然在使用老版本杀毒软件。因此，在新病毒攻击时形同虚设，尤其是已经停止病毒库升级的版本，更不能保障电脑的安全使用。

　　实际的调查表明，及时更新版本的用户不到20%，其余80%多的用户没有更新版本，仍然在沿用着两三年前的，甚至是更早时间的版本。

　　另外，用户的安全观念不足。大量增长的网络用户成为病毒的易发群体，这是因为这些人群缺乏网络安全意识，并普遍没有安装保护电脑的反病毒软件。多数用户并没有意识到网络的危险性，只是简单地打开email，却没有发现原来这是一种病毒，等到发现时却为时已晚了。垃圾邮件的泛滥和操作系统的漏洞，也使病毒以前所未有的速度进行传播。

　　在计算机应用方面，一些用户为图使用方便，随意打开共享和对于密码的管理过于简单、过于松懈。甚至管理员密码直接为空。将密码直接保存到电脑里，使用一些有规律而且很简单的密码，如1234、abcd等，甚至空密码，这样就会给一些有猜密码功能的病毒创造了传播的途径。

　　还有，用户对已经公布的安全漏洞，视而不见，缺乏对漏洞的认识和采取修订措施。这主要是因为应用和管理人员本身安全意识淡薄所致。

　　去年冲击波病毒的典型案例中就反映了多数用户安全意识淡薄和企业安全管理的松散。早在7月中旬，微软公司和美国国土安全部就一直在发布措辞强硬的网络攻击预警，但“冲击波”蠕虫还是如期而至。如今Mydoom病毒的例子更是证明了这一点。

　　发展新趋势

　　“窥一斑可见全豹”，在我们对Mydoom病毒进行解读的同时，我们看到，计算机病毒正日益呈现多样的发展趋势，这种多样性体现在数量、形态、传播手段等诸多方面。

　　首先，新趋势最显著的特点是传播速度非常快，一旦病毒开始蔓延，在几小时，甚至几分钟内就可以遍及互联网，就像Mydoom病毒一样。

　　另一个将扮演主要角色的安全威胁是垃圾邮件，病毒与邮件结合，会同时造成双重影响。一方面，阅读和删除这些垃圾邮件需要浪费大量时间，另一方面，垃圾邮件有时会被病毒和恶意代码利用作为传播的手段。

　　同时，由于最近几个月内后门型木马及黑客工具出现的频率大大提高，为黑客攻击大开方便之门，因而可以预测，在2004年，这种新的安全威胁很有可能会大幅上升。

　　就病毒来看，2004年，各类利用了被广泛应用的软件中存在的安全漏洞的病毒将继续大行其道，更深入地被病毒制造者利用为他们的新“杰作”服务。这一策略在过去一段时间里呈现普遍的流行趋势，并经常造成灾难性的后果。2004年将会出现更多具有迅速传播能力的蠕虫病毒以及能在用户计算机上安装其它有害程序的木马病毒。

　　告别2003年，我们又迎来了崭新的一年。可以预见，2004年的IT 安全领域必然会出现各种新的威胁，2004年绝对不会是一个太平年。

　　防火墙也防病毒

　　面对如此凶恶的病毒，防火墙通过主动阻隔网络攻击、将病毒防患于未然的手段，和防病毒产品默契配合，发挥了单兵作战达不到的卓越效果。

　　防范MyDoom病毒

　　MyDoom病毒是一种依赖于Windows操作系统的蠕虫病毒，它通过电子邮件传播，目前，绝大多数提供mail服务的网站都是通过过滤邮件标题进行此种病毒的防范。

　　方正方御防火墙针对病毒首先可以在受感染的机器上打开tcp 3127-3198的端口作为监听端口的特性，防火墙需对tcp端口3127-3198的访问进行阻断或者封禁；其次，使用方正方御防火墙IDS的自动封禁功能，对每秒钟7次以上的syn连接进行自动封禁，从而防止后门程序对www.sco.com的 DDoS攻击。同时，使用方正方御的syngate产品可以抵御10万次/秒的DDoS攻击；第三，可以使用方正方御防火墙特有的ZeSA（零拷贝流分析）技术，通过对邮件的标题、内容、附件名以及附件扩展名进行过滤，可以有效地防止带有该种病毒的邮件的传播。

　　防范MyDoom.B病毒

　　MyDoom.B病毒与“MyDoom”不同，它把攻击的矛头直接指向微软，将对微软网站发动拒绝服务式攻击。由于带毒邮件的大量传播会消耗网络资源，并对系统设置后门，对普通用户的正常使用也造成很大安全风险。

　　由于MyDoom.B在受感染的机器上打开tcp监听端口： 80、 1080、 3128、8080、10080，这其中80与8080都为著名的Web服务端口，所以在防火墙规则设置上控制粒度要很细，不能只做简单的tcp 80端口阻断规则，假如这台受感染的机器明确不提供web服务，则方御防火墙可以阻断所有对这台机器80或8080端口的访问。如果它对外提供Web服务，则我们可以通过邮件过滤以及IDS自动封禁等方法来进行病毒的防范。

　　防火墙与防病毒结合

　　防火墙对于病毒只能进行阻断传播，减少其对于网络的危害。真正杀死病毒还需依靠相应的杀毒软件。但防火墙起到的是防患病毒于未然的作用。所以，很好地利用防火墙进行网络病毒的防护，能最大限度地减少网络蠕虫病毒给用户以及全社会带来的巨大经济损失。此次方正方御通过高覆盖率客户回访，得知防火墙再次有效阻隔了MyDoom病毒的攻击，证明了有效利用防火墙的特性进行病毒防范的效果大大高于单独利用防病毒产品的效果。希望所有的用户能提高警惕性，做到早发现早防治，在安全厂商和用户的共同努力下，能创造一个日益安全的网络环境，为各个行业的发展提供有力的保证。