第一季度创下历史单季度最多病毒警报记录高出去年同季 6.6倍
3月头号病毒:NetSky.D网络天下 与 MyDoom世界末日、Bagle贝革热掀起无烟硝的网络病毒战役
网络安全软件和服务领域的世界领导者----趋势科技(纳斯达克代码:TMIC;东京证交所代码:4704)TrendLabs表示:「以往在暑假才出现的病毒感染高峰期,已经提前至第一季发威了。 Q1 共发出了232个病毒警戒,相较于2003年 Q1的35个,高出了6.6倍。这暴增的数据,不免让人忧心2004年的网络环境可能会更糟糕,也说明了主动式防范机制的刻不容缓。」
网络安全软件与服务专家趋势科技(Trend Micro)共在 Q 1 发布了 11 个Level 1(中度/高度)病毒警戒、119个Level 2(低度)病毒警戒、112个Level 3(一般)病毒警戒,其中包含2月的感染率冠军 MyDoom世界末日、喋喋不休发动网络口水战的 3月毒王NetySky网络天下与Bagle贝革热系列: NetSky网络天下系列启动了4个中度警戒、 Bagle贝革热系列启动了 5 个中度警戒。相较于 2003 第一季,一个红色警戒、4个黄色警戒,2004第一季病毒除了尚未启动红色警戒(重大病毒警戒)外,可说是毒气熏天的多事之”春”。 NetSky 与 Bagle 密集地出现变种,频率最高时每天都有变种,甚至一天出现两个变种。Bagle 与 Netsky 起初是看不惯 MyDoom 抢尽媒体锋头,于是在程序代码里竞相不甘示弱地攻击对方,甚至在中毒计算机里删除对手的程序代码。
<病毒口水战>春眠不觉晓,处处病毒吵
趋势科技公布的 3 月的十大病毒,则以WORM_NETSKY.D病毒以530,187感染案例坐上毒王宝座,不过相较于WORM_MYDOOM.A于2月创下的1,086,488 感染个案,就显得逊色了。这也许会使得讥讽 MyDoom 为抄袭者("MyDoom.F is a thief of our idea!")的NetSky 作者有失落感。另外,同样在一季度掀起口水战的 Bagle 与 NetSky 系列,在感染率方面,根据趋势科技 TrendLabs 追踪分析:NetSky家族在3月有 4 个(WORM_NETSKY.D 、WORM_LOVGATE.G、WORM_NETSKY.B 、WORM_NETSKY.C 、WORM_NETSKY.P)分别列名十大病毒的一、三、四、五名,而 Bagle 系列只有WORM_BAGLE.GEN-1列入第十名。这让嘲笑 Bagle 为失败者的 NetSky.F: “Bagle - you are a looser!!!!-Bagle 你这个失败者!!!" 不幸言中。不过趋势科技担心,曾放话"don't ruine our bussiness, wanna start a war?-不要坏了我们的好事,想开战吗?"的 Bagle 会不会继续在第二季度延长这场黑客较劲的战役。
<变种延长战> NetSky用了17 个字母,Bagle快用光 26 个字母
Bagle与 NetSky以变种病毒延长战役,NetSky用了17 个字母; Bagle.U 在 3/26再度启动中度病毒警戒,目前已经用了22个英文字母,可说史无前例。Bagle可说是一季度繁殖力最惊人的病毒,趋势科技 TrendLabs 3 月公布的最新变种为 Bagle.U,接二连三的变种使得2 6个字母已经用了五分之四。
趋势科技表示综观一季度的病毒,其攻击模式之所以得逞,主要分析如下:
1 「社交工程学」让使用者自己启动病毒陷阱:每一次变种便出现各种新的信件主题、内文的方式,不难揣摩病毒作者正试图找出能让受害者不假思索开启 email 的”社交工程学(Social engineering)”手法。比如一季度感染冠军 MyDoom 则是采用以下手法,创下高感染率:
P 仿冒退件通知
P 信件无法正常被开启
P 自动开启应用程序
P 假装是 TXT 纯文字文件的 ICON
2 以密码保护的压缩文件,躲过网关端软件侦测:类似 Bagle.J 伪装成ZIP压缩文件,甚至有密码保护,是一季度常被采用的手法。这使得恶性程序得以躲过一般型企业 Gateway 端的防毒软件侦测,使其偷渡进入公司内部网域的机率大增,直到客户端开启了压缩文件,客户端防毒软件必须更新病毒码才可以加以拦阻。不过病毒已经成功地越过第一层门禁,长驱直入的机率相对的增高了。又如 BAGLE.P第一次以RAR压缩文件方式隐藏病毒,并且将ZIP、RAR压缩文件密码以图片的方式呈现,让人不疑有诈输入密码、开启压缩文件的用户,被原为保护文件的密码给暗中出卖。
3 发病毒信给你的人,根本没中毒:伪装发来源虽然是 2002 年风云病毒 Klez 的老招数,当年让 IT 人员疲于奔命地找感染源,可针如其英文译名:「 可累死了!」。但是这回加入这场混乱阵仗有 NetSky 与 Bagle 系列的满堂子孙,除了让一些根本没中毒的使用者,频频收到“ undeliverable “退件通知外,更让.“中毒通知 “不断涌入信箱。 IT 人员被这些障眼法弄得团团转,更错过了清除病毒的黄金时间。
防病毒与弱点防制结合的架构部署,可于第一时间掌握全局
趋势科技表示,随着本季度病毒趋势的发展,IT 人员所面临的威胁,已经不是昔日的防御措施可以面对,新形态网络威胁已不是单用产品就可以解决问题。任何的产品基本上都无法面对未知的问题,就算是防毒专家也必须先看到病毒,才能解毒、防毒。面对层出不穷的各种漏洞,IT 人员更积极的做法是寻找一套防病毒与弱点防制结合的企业防毒保护策略。如趋势科技即将上市的趋势科技网络病毒墙- Network VirusWall.
相关网站:
趋势科技: http://www.trendmicro.com.cn/
