荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: xhjx (好好爱你,永远!), 信区: Virus
标  题: 分析:2001病毒症候与2002杀毒大法
发信站: 荔园晨风BBS站 (Thu Jan 31 14:52:09 2002), 站内信件

自Happytime开始,2001年的流行病毒就开始体现出与以往病毒截然不同的特
征和发展方向,它们无一例外地与网络结合,并都同时具有多种攻击手段。尤其是
SirCam之后的病毒,往往同时具有两个以上的传播方法和攻击手段,一经爆发即在
网络上快速传播,难以遏制,加之与黑客技术的融合,潜在的威胁和损失更巨大。


通过分析对照,我们不难发现2001年流行病毒的新特性:

利用微软漏洞主动传播

CodeRed、Nimda、WantJob、BinLaden都是通过利用微软漏洞而进行主动传播
的。尤其是Nimda、WantJob、BinLaden利用微软的Iframe ExecCommand漏洞,使没
有给IE打补丁的用户会自动运行该病毒,即使没有点击,只要浏览或预览染毒邮件
就会中毒。正因为如此,这几种病毒才得以如此广泛流传。

局域网内快速传播

虽然2001年初的FunLove病毒就初具局域网传播的特性,但是Nimda和WantJob
才算让人们真正见识到局域网的方便快捷被用在病毒传播上会更“有效”。Nimda
不仅能透过局域网向其他计算机写入大量具有迷惑性的带毒文件,还会让已中毒的
计算机完全共享所有资源,造成交叉感染。一旦在局域网中有一台计算机染上了
Nimda病毒,那么这种攻击将会无穷无尽。

以多种方式传播

过去的病毒想方设法隐藏自己,生怕被发现后无可逃匿,而现在计算机与外面
的联系四通八达,一般都有两种以上的传播方式,如Nimda,可以通过文件传染,
也可以通过邮件传播,还可以通过局域网传播,甚至可以利用IIS的Unicode后门进
行传播,真可谓“合理利用资源”。

大量消耗系统与网络资源

计算机感染了Nimda、WantJob、BinLaden等病毒后,病毒会不断遍历磁盘,分
配内存,导致系统资源很快被消耗殆尽,最明显的特点是计算机速度变慢,硬盘有
高速转动的震动声,硬盘空间减少。而且,像CodeRed、Nimda、WantJob等病毒还
会疯狂地利用网络散播自己,往往会造成网络阻塞。

双程序结构

如WantJob和BinLaden都是双体结构,运行后分成两部分,一个负责远程传播
(包括E-mail和局域网传播),另一个负责本地传播,各司其职,大大增强了病毒
的传染性。

用即时工具传播病毒

Goner能利用ICQ传文件的功能向别的计算机散播病毒体,这也许会是继邮件病
毒之后的又一个大量散播病毒的途径。现在即时通信工具用户群很广,而且在聊天
时往往戒心更低,一不小心就会中了病毒的圈套。

病毒与黑客技术的融合

包括CodeRedⅡ、Nimda等都与黑客技术相结合,从而能远程调用染毒计算机上
的数据,使病毒的危害剧增。
远程启动

WantJob在部分条件下可以远程启动,是这个病毒的一大特征,也是独具特色
的危害点。远程启动是网络管理的一种有效手段,也被NT系统所支持,一旦病毒成
功利用了这一点,它只需感染局域网中的一台计算机即可把危害扩散至整个局域网


2002年病毒发展趋势及反病毒对策

2001年的病毒在很多地方改变了人们对病毒的看法,而且,它还改变了人们对
病毒预防的看法。过去总是说,只要不用盗版软件,不随便使用别人的软盘,不乱
运行程序,就不会染毒。而现在呢?有了互联网和操作系统的漏洞,就算你坐着不
动,病毒也会找上门来,真可谓防不胜防。所以,2002年,互联网上的信息安全也
成为整个业界关注的重点。

从由Happytime到Goner的发展趋势来看,现在的病毒已经由从前的单一传播、
单种行为,变成依赖互联网传播,集电子邮件、文件传染等多种传播方式,融黑客
、木马等多种攻击手段为一身的广义的“新病毒”。通过分析2001年病毒的“进化
”之路,我们可以预见今后病毒的一些特点:

1. 与Internet和Intranet更加紧密地结合,利用一切可以利用的方式(如邮
件、局域网、远程管理、即时通信工具等)进行传播;

2. 所有的病毒都具有混合型特征,集文件传染、蠕虫、木马、黑客程序的特
点于一身,破坏性大大增强;

3. 因为其扩散极快,不再追求隐藏性,而更加注重欺骗性;

4. 利用系统漏洞将成为病毒有力的传播方式。

由于病毒的快速发展,势必要求反病毒厂商要跟上时代的步伐,以保证互联网
时代的信息系统安全。所以,作为新一代的反病毒软件,必须做到以下几点:

1. 全面地与互联网结合,不仅有传统的手动查杀与文件监控,还必须对网络
层、邮件客户端进行实时监控,防止病毒入侵;

2. 快速反应的病毒检测网,在病毒爆发的第一时间即能提供解决方案;

3. 完善的在线升级服务,使用户随时拥有最新的防病毒能力;

4. 对病毒经常攻击的应用程序提供重点保护(如MS Office、Outlook、IE、
ICQ/QQ等),如Norton的Script Blocking和金山毒霸的“嵌入式”技术;

5. 提供完整、即时的反病毒咨询,提高用户的反病毒意识与警觉性,尽快地
让用户了解到新病毒的特点和解决方案。

--
      ∵                       ∵
      ●  ◆ ★  ▼   ★   ●  ◆
      ╂  ╢ ┃  ┢   ┨   ║  ╋
      █  █ █  █ ███ █●█
        █   █●█   █    /█\
      █  █ █  █ ██   █  █

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店