从Melissa到Zotob:Windows蠕虫10年回放
一长串饶舌的名字,读起来就像是在报道“美国职业拳击”中的某个片断。Klez、Blaster、Slammer、Sasser、Zotob……,这些计算机病毒和蠕虫,都齐刷刷地对准了微软的Windows操作系统的用户。
计算机病毒活动首次出现可以追溯到1982年,一个称为Elk Cloner的蠕虫程序偷偷爬进了Apple II系统中。接着出现了Morris蠕虫,这个首次记入档案的流窜的弹性概念(proof-of-concept),感染了DEC VAX机。随后,在上世纪80年代后期,出现了针对IBM PC系列和Amigas的SCA病毒和Brain。
这些蠕虫基本上都没有把大型机作为长期的攻击目标,Windows 95登台亮相后,它们不约而同地转上这一新的阵地。这种场面,在计算机领域可算史无前例。
1999年3月:梅利莎(Melissa)攻击
以佛罗里达州一位膝舞女郎的名字为名,梅利莎被认为是第一个针对微软用户的破坏性的邮件群发蠕虫。这个蠕虫通过微软的Word和Outlook传播,感染速度惊人地快。
梅利莎蠕虫,是由新泽西州一名黑客制造的,为此,这名黑客被送入大牢。他首先以微软的Word文件的形式,把梅利莎发布在了一个Usenet讨论组中,然后该病毒通过电子邮件飞速传播,导致反病毒厂商连滚带爬地赶忙前去捉虫,并且CERT调协中心也马上发布了警告。
2000年5月:我爱你(ILOVEYOU)
“我爱你”病毒,别名VBS/情书(VBS/Loveletter)或爱虫(LoveBug),现在仍被广泛认为是给企业带来最大经济损失的病毒。它使用社会工程和诈骗主题队列(catchy subject lines)诱骗Windows用户运行可执行文件。
这个蠕虫通过向所有微软Outlook地址簿中的邮件列表发送自身拷贝达到快速传播的目的。反病毒研究员也发现了另一个同样危险的名为“WIN-BUGSFIX.EXE”的组件,它是一个密码盗窃程序,把缓存中的密码用电子邮件送回给攻击者。
该蠕虫还引起了主要媒体的关注,因为它对白宫网址发起了一场拒绝服务攻击。直到这一天,反病毒厂商才报告了“我爱你”病毒在流窜。
2001年:三面夹击
这一年,恶意蠕虫活动激增,有3个高姿态攻击,对Windows用户狂轰滥炸。第一个是SirCam,通过电子邮件和未加防护的网络共享文件传播。SirCam带来的危害还不至于太大,但随后出现的蠕虫洪流却足以让企业瞠目结舌,带来上百万美元的损失。
2001年7月,红色代码的再次出现让业界鸡犬不宁,它借助于微软Internet信息服务器(IIS)Web服务器上的一个漏洞传播。该病毒利用随IIS发布的索引软件中的一个漏洞,使网站上出现“Hacked By Chinese!”的字样,在很大范围内引起了恐慌。红色代码通过在Internet上的IIS服务器中寻找更多漏洞来传播自己,8月份,对包括白宫在内的数个美国政府网站发起了拒绝服务攻击。
此后不到一个月,出现了一个新变种,称为红色代码二号(Code Red II),引发了更大破坏。
被SirCam和红色代码搞得晕头转向的Windows用户还没清醒过来,Klez就出击了。该病毒依赖于电子邮件,利用微软的Internet Explorer浏览器中的一个漏洞,向Outlook及Outlook Express用户发起进攻。
因为Klez要求用户点击一个电子邮件附件才可能发挥作用,所以这次带来的危害比较有限。但随后的变种病毒用假冒的发送方地址诱骗用户,这让人们首次认识到病毒作者为了躲避追击会变换伎俩。后来,假冒电子邮件地址就成了一种标准的诱骗技术,用来攻击非专业的电子邮件Windows用户。
Slammer、Sobig和Blaster
2002年是平静的一年。2003年1月出现的Slammer和夏季出现的Sobit及Blaster让Windows不得不使出浑身解数,应对这场三面夹击的战役。
Slammer利用微软的SQL Server数据库的两个缓冲区溢出漏洞,引起了网络流量大拥塞,覆盖面极广,横贯亚洲、欧洲和北美洲。让人不禁想起红色代码蠕虫。
前10分钟,该蠕虫病毒就感染了大约75000台主机,后续时间里又在世界范围内打下了数个ISP,使之断网。
微软正在竭尽全力对付Slammer时,在夏季,又爆发了两个新病毒,Sobig和Blaster在数以百万计的未打补丁的Windows计算机中流窜。快速传播的这两个病毒搞摊了全球范围的网络,清除和恢复的费用,据估计要有上千万美元。
Blaster尤其讨厌。它通过利用Windows 2000和Windows XP上的DCOM RPC服务中的缓存溢出漏洞,并对微软的安全补丁大本营windowsupdate.com网站的80端口发起了一场SYN flood攻击。通过重定向网站,微软暂时躲开了这发子弹,但媒体的压力,迫使微软对补丁日程安排做重大调整,来帮助用户对付这种补丁管理恶梦。
2004:Sasser攻击
Slammer和Blaster之后,微软的用户痛苦万分地抱怨说,微软不可预测的补丁日程让攻击者在打补丁的过程的中有机会发起进攻。2003年10月,首席执行官史蒂夫·鲍尔默(Steve Ballmer)宣布,除紧急情况外,以后会以月为周期发布安全补丁更新。
这个计划大受欢迎,但蠕虫攻击一点没有呈现减缓之势。2004年1月,发现了MyDoom蠕虫,它通过群发邮件中的载荷攻击Windows操作系统。很快,MyDoom的传播速度就超过了Sobig,成为最快的电子邮件蠕虫。除了攻击Windows机器,构建botnet网络外,MyDoom还向微软的网址发起了分布式拒绝服务攻击(Distributed Denial-Of-Service,DDoS)。
你方唱罢我登场,5月初,Sasser来了。利用LSASS((Local Security Authority Subsystem Service,本地安全权力子系统服务)组件的一个漏洞,Sasser蠕虫潜入了未打补丁的Windows 2000和Windows XP系统。Sasser危险性特别大、传播速度特别快,通过脆弱的网络端口进攻系统。
微软向来以反应迅速、控制Sasser传播出名,但最新的Zotob攻击证明,和10年前进攻Windows 95相比,现在进攻一个未打补丁的漏洞的时间大大缩短了。