荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: stephen (若不是因为你), 信区: WinNT
标 题: 破灭的神话-遭遇Windows NT病毒
发信站: BBS 荔园晨风站 (Sun Mar 14 22:30:26 1999), 转信
破 灭 的 神 话
—— 遭 遇 Windows NT 网 络 病 毒
“Windows NT 环 境 下 无 病 毒” 这 是 一 个 流 传 相 当 广
的 神 话。 前 一 段 时 间, 有 人 甚 至 提 出:Windows NT 是 一
个“ 封 闭 的, 安 全 的” 操 作 系 统 平 台, 因 此, 随 着 主
流 操 作 系 统 自Windows 98 后 开 始 向Windows 2000 的 转 移,
计 算 机 病 毒 将“ 逐 步 灭 绝” 反 病 毒 软 件 也 将 在 几 年
之 内“ 走 向 消 亡”。
不 错,Windows NT 虽 然 在 推 出 时 就 宣 称 已 达 到 美
军 相 当 级 别 的 安 全 标 准, 但 我 们 应 当 清 配 地 意 识
到: 任 何 安 全 标 准、 安 全 体 系 或 安 全 系 统, 都 并 非
牢 不 可 破。 去 年 底, 就 在 美、 英 两 国 正 对 伊 拉 克 大
动 干 戈 的 时 候, 首 例 专 门 攻 击Windows NT 平 台 的 网 络
病 毒 悄 悄 出 现 了, 在 短 短 的 两 个 月 时 间 内, 该 病 毒
通 过Internet 传 遍 了 全 世 界, 它 不 但 在 编 制 技 巧 上 有
了 质 的 飞 跃, 而 且 是 迄 今 为 止 头 一 个 真 正 实 现 大 规
模 传 播 的 网 络 病 毒, 它 的 名 字 叫 —— Remote Explorer。
病 毒 简 介
Remote Explorer 最 早 发 现 于 去 年12 月17 日, 原 产 地
在 美 国。 与 其 它 许 多 病 毒 一 样,Remote Explorer 也 有
许 多 别 名, 如RICH(S)、W32_RICHS、RmtExplorer、WinNT.RemEx
和WNT/RemExp 等。 该 病 毒 仅 在Windows NT Server 和Windows NT
Workstation 平 台 上 起 作 用, 常 驻 内 存, 专 门 感 染EXE 文
件。Remote Explorer 主 要 破 坏 作 用 表 现 在: 它 会 加 密EXE、
TXT 和HTML 等 文 件, 并 且 能 够 通 过 局 域 网/ 广 域 网 实 现
快 速 传 播。
当 具 有 系 统 管 理 员 权 限 的 用 户 运 行 了 被Remote
Explorer 病 毒 感 染 的 文 件 后, 该 病 毒 就 会 作 为 一 项NT
系 统 服 务(NT Service) 被 自 动 加 载 到 当 前 用 户 的 系 统
之 中, 此 后 如 果 我 们 打 开 系 统 服 务 清 单, 就 会 发 现
多 了 一 项 名 为Remote Explorer 的 系 统 服 务, 这 就 是Remote
Explorer 病 毒 名 称 的 来 历。 这 项 新 增 的 系 统 服 务 对 应
的 文 件 是WinNT/System32/drivers/IE403R.SYS。 为 增 强 自 己
的 隐 蔽 性, 该 系 统 服 务 会 自 动 修 改Remote Explorer 在
NT 系 统 服 务 中 的 优 先 权, 每 周 一 至 周 五 早 上6 点 至
下 午3 点,Remote Explorer 将 自 己 的 优 先 权 设 置 为 最 低,
而 在 周 末 和 正 常 工 作 日 每 天 下 午3 点 至 第 三 天 早 上
6 点, 它 将 自 己 的 优 先 权 提 升 一 级, 以 便 加 速 传 染
过 程。
Remote Explorer 最 显 著 的 特 征 是 它 的 传 播 过 程 与
传 统 单 机 病 毒 截 然 不 同,Remote Explorer 的 移 动/ 传 播
均 无 需 一 般 用 户 的 介 入( 交 换 软 盘 或 电 子 邮 件)。
该 病 毒 侵 入 网 络 后, 直 接 使 用 远 程 管 理 技 术 监 视
网 络, 查 看 域 名 管 理 登 录 情 况 并 且 自 动 搜 集 远 程
计 算 机 的 数 据( 包 括 超 级 用 户 口 令), 然 后 再 利 用
所 收 集 数 据( 如 口 令) 将 自 身 向LAN 网 络 中 的 其 他 计
算 机 进 行 传 播。 由 于 系 统 管 理 员 能 够 访 问 到 所 有
远 程 共 享 资 源, 所 以 具 备 同 等 权 限 的Remote Explorer
能 够 感 染 网 络 环 境 中 所 有NT 服 务 器 和 工 作 站 硬 盘
上 的 共 享 文 件。
在 传 染 时,Remote Explorer 首 先 在 远 程NT 服 务 器
或 工 作 站 上 随 机 选 择 一 个 目 录, 并 试 图 感 染 该 目
录 下 所 有EXE 文 件。 当 前 版 本 的Remote Explorer 对 文 件
系 统 有 两 方 面 的 破 坏 作 用: 一 方 面, 在 感 染 过 程
中, 令 人 感 到 奇 怪 的 是Remote Explorer 几 乎 不 检 查 被
感 染 对 象 是 否 是 一 个Win32 可 执 行 文 件, 因 此 一 些
DOS 或16 位Windows 应 用 程 序 也 可 能 被 感 染 — — 不 过
被 感 染 后 这 些 文 件 就 再 也 不 能 正 常 工 作 了; 另 一
方 面,EXE 文 件 被 感 染 后, 文 件 长 度 大 致 增 长125K,
感 染 完 成 后, 目 标 目 录 中 所 有 其 它 文 件, 除DLL
和TMP 之 外 均 被 加 密, 象 纯 文 本 或Word 文 档 这 样 的
文 档 文 件 再 也 无 法 被 正 常 打 开。
综 合 以 上 分 析, 我 们 不 难 看 出 结 论 — —Remote
Explorer 是 一 个 真 正 的 网 络 病 毒, 这 是 因 为: 一 方
面 它 需 要 通 过 网 络 方 可 实 施 有 效 传 播; 另 一 方 面,
Remote Explorer 要 想 真 正 攻 入 网 络( 无 论 是 局 域 网 还
是 广 域 网), 本 身 必 须 具 备 系 统 管 理 员(Administrator)
权 限, 如 果 不 具 备 系 统 管 理 员 权 限, 那 么Remote
Explorer 只 能 够 对 当 前 被 它 感 染 的 机 器 中 的 文 件
和 目 录 起 作 用。
深 远 影 响
Remote Explorer 的 出 现, 迫 使 我 们 去 重 新 审 视Window
NT 环 境 的 安 全 性, 重 新 制 定 系 统 安 全 策 略, 重 新 认
证Windows NT 环 境 下 的 安 全 产 品, 重 新 建 立 用 户 的 安
全 概 念。
利 用 高 级 编 程 技 术 和 网 络 技 术, 提 高 自 身 传 播
的 迅 速 性 和 隐 蔽 性, 这 是 未 来 若 干 年 病 毒 技 术 的 根
本 发 展 方 向。 从 以 上 关 于Remote Explorer 病 毒 的 分 析 我
们 不 难 看 出,Remote Explorer 的 编 制 技 术 与 工 作 机 理 与
我 们 以 前 所 见 到 的 传 统 病 毒 截 然 不 同, 它 以 正 常NT
系 统 服 务 形 式 加 载 到 系 统 中 开 通 过 网 络 进 行 传 播,
从 而 避 开 了 传 统 病 毒 所 使 用“ 截 获 中 断 向 量” 等 过
于 底 层 的 编 程 技 巧。 我 们 都 知 道, 截 取 系 统 低 层 资
源 不 但 会 造 成 系 统 开 销 过 大、 兼 容 性 差 等 问 题, 比
较 容 易 被 用 户 发 现, 同 时 也 不 利 于 病 毒 本 身 通 过
网 络 传 播。 病 毒 利 用Windows NT 正 常 系 统 服 务 完 成
自 身 加 载、 传 播 等 功 能 的 思 路, 不 但 充 分 体 现 出
病 毒 编 制 者 的 良 苦 用 心 和 熟 练 的NT 编 程 技 巧, 而
且 也 极 大 增 强 了 传 播 的 隐 蔽 性 和 通 过 网 络 传 播
的 迅 速 性。95 年 以 来, 随 着Windows 95 的 推 出, 先 是
以Concept 为 代 表 的 宏 病 毒, 然 后 是 以CIH 为 代 表 的
Win32 病 毒, 直 至 今 天 的Remote Explorer, 为 增 强 隐 蔽
性、 提 高 传 播 速 度, 所 有 这 些 病 毒 全 部 摒 弃 了 传
统 病 毒 截 取 系 统 底 层 资 源 的 办 法, 转 而 采 用 应
用 程 序 或 操 作 系 统 的 高 级 调 用 来 实 现 所 有 功 能。
事 实 证 明, 随 着 技 术 —— 特 别 是 网 络 技 术 的 进 步,
利 用 系 统 高 级 功 能 不 但 可 以 编 制 出 病 毒, 而 且 完
全 可 能 编 制 出 杀 伤 力 更 强、 传 播 更 快 的 病 毒。
当 代 反 病 毒 观 念 已 不 再 是 传 统DOS 环 境 下 的
单 机 反 病 毒 技 术, 而 是 真 正 的 网 络 环 境 整 体 反
病 毒 解 决 方 案。Remote Explorer 是 一 个 真 正 的 网 络
病 毒, 它 之 所 以 同 以 前 我 们 所 见 到 过 的 病 毒 有
很 大 不 同, 是 因 为 过 去 我 们 所 见 到 的 绝 大 多 数
病 毒 都 局 限 在 所 谓“ 单 机” 病 毒 之 上, 这 些“ 单
机” 病 毒 在 同 上 和 在 网 络 环 境 中 的 表 现 是 完 全
一 样 的, 网 络 对 于 这 些 病 毒 而 言 和 软 盘 一 样 仅
仅 是 一 条 传 播 渠 道 而 已。 因 此, 我 们 过 去 在 处
理 病 毒 时, 实 际 上 都 是 停 留 在 防 治 单 机 病 毒 的
水 平 上, 往 往 忽 略 了 究 竟 应 该 如 何 防 治 真 正 的
网 络 病 毒。 以Remote Explorer 为 代 表 的 网 络 病 毒 出
现, 给 反 病 毒 蒙 上 了 更 浓 厚 的“ 网 络 化”、“ 实 时
化” 的 色 彩。
Remote Explorer 攻 入 网 络 的 前 提 是 必 须 具 备 系
统 管 理 员 权 限, 仅 当 此 时Remote Explorer 方 才 可 能 访
问 到 系 统 管 理 员 所 能 够 访 问 到 的 所 有 共 享 资 源,
这 些 资 源 有 些 是 一 般 用 户 权 限 能 够 访 问 到 的,
有 些 则 仅 有 系 统 管 理 员 才 能 够 访 问 到。 我 们 使
用 普 通 单 机 反 病 毒 软 件, 由 于 不 具 备 网 络 管 理
功 能, 因 此 在NT 环 境 下 只 可 能 访 问 到 普 通 用 户 能
够 访 问 到 的 共 享 资 源, 也 就 是 说 普 通 单 机 反 病
毒 软 件 用 在 网 络 环 境 中, 只 可 能 清 除 那 些 权 限
特 别 一 般 的 资 源 中 的Remote Explorer 病 毒, 对 于 权
限 较 高 的 资 源, 普 通 单 机 版 反 病 毒 软 件 根 本 无
法 访 问。 因 此, 只 能 采 用 网 络 版 反 病 毒 软 件 才
能 收 到 最 好 的 效 果, 在 国 内 的 杀 毒 软 件 中, 可
以 选 用Kill 98 for Windows NT, 该 软 件 在 安 装 和 日 常
使 用 管 理 过 程 中, 都 需 要 系 统 管 理 员 权 限 的 介
入, 从 而 保 证 能 够 访 问 到 系 统 管 理 员 能 访 问 的
所 有 资 源, 确 保 清 除 位 于 网 络 环 境 任 意 角 落 里
的Remote Explorer。
Remote Explorer 以NT 系 统 服 务 形 式 加 载, 按 一
定 优 先 权 自 始 至 终 工 作 在 网 络 环 境 中, 随 时 随
地 向 它 所 随 机 选 中 的 目 的 进 行 传 播。NT 系 统 服
务 本 身 就 是Windows NT 操 作 系 统 较 深 层 的 资 源,
使 用 普 通 反 病 毒 软 件 已 很 难 访 问 到 这 一 层 服 务
, 而NT 系 统 服 务 又 是 工 作 的, 我 们 使 用 普 通 静 态
的 反 病 毒 软 件 又 如 何 来 对 抗 这 种 高 度 实 时 化 的
病 毒 呢? 正 是 因 为Remote Explorer 在 网 络 中 传 播 具 有
很 强 的 随 进 性, 所 以 我 们 需 要 以 具 备 实 时 反 病 毒
功 能 的 网 络 反 病 毒 软 件 来 对 抗 这 种 病 毒。
以 上, 我 们 对Remote Explorer 网 络 病 毒 加 以 了
简 单 描 绘, 并 概 括 出 了 这 种 网 络 病 毒 对 今 后 反
病 毒 工 作 的 深 远 影 响。 随 着 技 术 的 发 展, 类 似
Remote Explorer 这 样 使 用 高 级 编 程 技 术 编 制 并 以
网 络 为 主 要 传 播、 破 坏 目 标 的 新 型 病 毒 肯 定 还
将 层 出 不 穷, 更 重 要 的 是: 这 些 病 毒 可 能 更 侧
重 于 破 坏 目 标 的 新 型 病 毒 肯 定 还 将 层 出 不 穷,
更 重 要 的 是: 这 些 病 毒 可 能 更 侧 重 于 破 坏 或 窃
取 网 络 资 源, 因 而 与 黑 客 工 具 不 谋 而 合( 如BO)。
Remote Explorer 的 出 现, 又 一 次 提 醒 我 们 一 定 要 提
高 警 惕, 严 密 防 范 网 络 病 毒。
--
没 有 泪 的 夜 晚 , 是 天 堂 !
ICQ:13750680
※ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 惠州·明 月 湾]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店