SCO推临时网站 MyDoom.B今日攻击微软网站

作者:孜孜　2004年02月03日 09:21 来源:赛迪网

 

赛迪网讯】据最新消息称,Mydoom病毒的变种MyDoom.B在周二对SCO网站和微软网站发起攻击.

由于最近Mydoom病毒在网上猖獗,SCO在本周一受到攻陷,并推出了新的网站,目前其以www.thescogroup.com作为临时网站，代替www.sco.com.有发言人称,该程序能够攻陷任何网站,但是并非恐怖主义那么简单,它是一种电子战争,而且显然针对SCO.

据悉,MyDoom病毒的变种MyDoom.B也将在周二对SCO网站和微软的http://www.microsoft.com发起攻击。

安全专家警告说,尽管MyDoom.A周一的传播速度有所下降，但是仍然在大量发送电子邮件.建议网民收到可疑邮件时最好将其删除,尤其是带有不明附件的邮件.

36小时发出1亿封“毒信”

春节长假过后，人们重新恢复正常的工作，可是，许多人打开电脑后，却遭到了非正常的病毒袭击。踩着新春脚步悄然入侵的新型病毒名为“Mydoom”(又名“Novarg”)，中

文译名“挪威客”，属于蠕虫病毒类型，影响系统包括Win95/98/NT/2000/Me/XP。显而易见，“Mydoom”攻击的主要目标是微软的操作系统。

“Mydoom”以附加文件的电子邮件形态出现，收件者一旦打开这个附加文件，病毒就会开始占据使用者的电脑，并转发电脑使用者的密码和相关资料，让电脑黑客轻松入侵。该病毒最初出现是在欧洲时间1月26日晚，首先在欧美等地亮相，28日开始在我国传播。据俄罗斯最大的反病毒机构卡巴斯基实验室有限公司报告，第一封感染“Mydoom”的电子邮件来自于俄罗斯。

与以前的蠕虫病毒相比，“Mydoom”破坏性更大。这表现在：其一，传播速度快，30秒之内可以发出100个病毒邮件，从1月26日下午在网上出现，短短36个小时发出了约1亿封毒信；其二，感染范围广，目前已有142个国家报警，平均每12封电子邮件中就有一封带“毒”，截至2月3日，“Mydoom”已在全球范围内瘫痪了百万台电脑，刷新了“大无极”病毒创下的扩散纪录；其三，危害程度深，“Mydoom”会使企业用户的服务器每秒钟收信10万封以上，并不停发信，最终导致服务器瘫痪。2月1日，“Mydoom”电脑病毒已经以转发大量电子邮件的方式，瘫痪了美国软件公司的SCO网站。

后出现的B型病毒更难防范

由于“Mydoom”病毒程序的隐蔽性高以及杀毒软件病毒库更新滞后，防范和清除该病毒都比较困难。“Mydoom”一般隐藏在电子邮件附件中，或伪装成被退回的电子邮件，发送蠕虫的邮件主题、发件人、甚至附件的名称等都是随机变化，为了隐藏自己，“Mydoom”还将自身的exe文件的图标修改成纯文本形式，这都增加了识别它的难度。“Mydoom”还阻挠用户链接微软、诺顿等专业电脑厂商的网址，加大了清除难度。

目前，正在全世界范围内肆虐的“Mydoom”有A、B两种，新变种的“Mydoom”B型病毒更难防范。网络安全机构虽然研制出防“Mydoom”A型病毒的软件，但无法发现和删除B型病毒，B型病毒还能阻止被感染的电脑打开防病毒公司的网页下载防毒软件。

普通用户如何防范

专家提醒，“Mydoom”发动“总攻”的时间为2004年2月1日，2月12日才会停止攻击。在此期间，用户要做好防范，最有效的办法是安装和更新网络及桌面防火墙，加强安全权限，升级杀毒软件。“Mydoom”多为模仿邮件服务器退信，附件多以“.bat”、“.cmd”、“.exe”、“.pif”、“.scr”和“.zip”等为后缀，附件本身就是病毒。用户见到陌生的邮件可直接删除，一旦被感染，应使用尚未被感染的电脑下载新的防毒软件，再用软盘安装进行杀毒。

【赛迪网独家特稿】1月29日，8∶50，经过了春节长假之后还没有进入工作状态的李小姐，仍像往常一样，到办公室的第一件事就是收电子邮件。半小时过去了，慢得不能再慢的网速连三分之一的邮件都没收下来，真是让人着急。

其实，类似李小姐的情况，在很多单位的这个时候都在发生。很多人还收到了带有.bat、.cmd、.exe、.pif、.scr、.zip等后缀的邮件，还以为是晚到的贺卡呢。而在欣喜地打开之后，却彻底地死机了……

Mydoom：传播迅速 损失惨重

据美联社报道，截至2月3日，Mydoom感染的计算机数量已经超过7000万台，其中每12封邮件中至少有1封有毒邮件，在全球所造成的直接经济损失已经达到385亿美元，从而一跃成为2004年1月份十大病毒之首。



Mydoom 10天席卷欧美亚

针对特定网站实施攻击

业内安全专家在分析该病毒时发现，它最初的目的是针对SCO网站而来，通过发送大量攻击邮件，致使网站瘫痪。而所攻击的理由似乎也很“充分”：SCO此前因试图对免费操作系统Linux收取授权费，而遭致大量Linux拥护者的强烈抗议。病毒的袭击在2月2日彻底击溃了SCO网站。SCO不得不重建一个新域名作为公司临时使用的站点。

随后出现的Mydoom.B则将攻击目标指向微软的网站。据新华社消息，美国微软公司2月3日宣布，公司当天成功地“击退”了Mydoom.B电脑病毒针对微软网站发动的攻击，整个网站当天运行正常。出于安全考虑，微软拒绝公布保护措施的细节。

SCO和微软分别悬赏25万美元捉拿病毒的制造者。



病毒对SCO及Microsoft网站发动攻击

病毒邮件可以防护

江民公司反病毒专家在分析Mydoom后发现，尽管发信人随机变化，但是邮件的主题还是有规律可循的，他们大致是在以下几种中任意选择，大都是纯英文的，如带有Hi、hello、Mail Delivery System、Server Report、Status、Error等邮件“主题”、带有readme、doc、text、file、data、test等文件名和pif、scr、exe、cmd、bat、zip等扩展名的附件文件。

防护方法：

1．不要轻易打开附件；

2．及时更新最新的杀毒软件；

3．尽快安装邮件网关、防火墙等设备；

4．及时下载免费的专杀工具。



江民公司快速反病毒小组提供的部分病毒源代码

谁干的？

俄罗斯一家网络安全公司曾表示，Mydoom很有可能来自俄罗斯。据俄罗斯“卡斯佩尔斯基工作室”发言人丹尼斯·岑金说，他相信这种病毒有80%的可能是从俄罗斯开始传播的，其幕后隐藏着的是一批“十分专业”的俄罗斯电脑专家。如果是这样，根据俄罗斯的法律，黑客因为传播有害计算机病毒将会被定罪，并将面临最长为7年的有期徒刑。

Mydoom和Mydoom.B的作者在病毒中署名“andy”，并在后一版本中留下一条信息称：“我只是在做自己的工作，没有任何针对性，抱歉。”NAI的Jimmy Kuo说：“我们的理解是他在向公众道歉，我们猜可能是有人付钱让他编写病毒的。”

Mydoom：乱了套

据江民公司反病毒专家介绍， Mydoom的主要破坏作用是大量发送含有蠕虫的信件，这些信件大部分看起来都是乱码（如图所示），引起邮件系统的堵塞、设置瘫痪；同时，蠕虫会在感染的机器上安装后门程序，给黑客或者病毒制作者控制感染机器提供了可能；病毒还会将受感染的机器设置成代理服务器，使得每个感染的机器都成为发送蠕虫程序的新的“源头”；最后，病毒还会在预定时间内对特定网站发起拒绝服务DoS攻击。



病毒邮件显示乱码

邮件蠕虫 一变三

纵观病毒的整个发展史,邮件蠕虫病毒在其中占了重要的一章。从传输角度看，能够外部调用用户邮件客户端是电子邮件病毒最初得以泛滥的原因。还有一类邮件病毒是模拟成一个邮件客户端，这种病毒可能读取用户的邮件设置，也可能按照预定设置的smtp服务器进行传播，不过一旦预定的smtp服务器作出限制，则就遭到遏制。在全球匿名smtp服务器越来越少的情况下，这种病毒也大量减少。目前一些比较新的病毒，把自身就作为一个smtp服务器。同时采用随机生成地址、地址搜索等垃圾邮件技术。其发信的频率所造成的流量压力很大。



全球病毒增长及经济损失统计

Mydoom：有个性

与常见病毒相比，Mydoom的“狡猾”之处在于以退信方式来伪装自己。病毒为了增加病毒程序本身的欺骗性和隐藏度，会使用双扩展名的文件名或使用文件本件的图标，使之看起来像文本文件、WORD文档，还会隐藏于压缩包中。

与冲击波（Msblast）病毒利用微软操作系统漏洞不同的是，Mydoom利用写字板Notepad掩护，发送蠕虫的邮件的主题、发件人、甚至附件的名称等都是随机变化的，这些都加重了识别它的难度。同时，人们的好奇心，再次成为病毒传播的“桥梁”，使其在30秒内就可以发出100个有毒邮件。



Msblast、Sobig.f、Mydoom病毒特征比较

垃圾邮件 另外一害



2003年中国垃圾邮件危害示意图



用户认为垃圾邮件造成的影响