新蠕虫通过ISS安全产品传播 反病毒软件难发现
上周,描述相关安全漏洞的文字发布后,不到48小时,Witty虫便开始在网络上蔓延,成为目前为止利用安全漏洞作乱手脚最快的蠕虫,网络资料分析合作协会(CAIDA)与圣地
亚哥加州大学联合发表的报告显示。
这项报告说:在防火墙软件弱点公诸于世的次日,计算机就遭蠕虫入侵,可见只靠最终端使用者安装修补程序以封死安全漏洞的保全模式不可行。
Witty利用网络安全系统(InternetSecuritySystems,简称ISS)软件的安全弱点,这类软件产品包括RealSecure和BlackIce。尽管ISS先前表示,只有2%的用户遭Witty虫入侵,但这项报告指出,不到一小时之内,Witty已钻入多达12,000台计算机。
报告作者之一CAIDA高级安全研究员ColleenShannon说,如果其它蠕虫也能如此快速孳生,企业可能必须减少对传统亡羊补牢防毒方式的依赖,开始采取其它方法减轻外来的威胁。
她说:仅短短两天,时间不够,一大群人没办法把事做好。这必须靠提升最终用户的技术水平,时时更新修补程序。
报告也发现,迹象显示,这只蠕虫可能在受害的服务器中预先埋伏内应,方能加速攻击的速度。
Witty虫在周六一早开始扩散,约45分钟后,就传染网络上约12,000台服务器,凡是内含相关安全漏洞的服务器大多数都已中毒。10秒钟内,110部遭染指的主机浮出台面,令CAIDA相信那些服务器被利用来主动传播这只蠕虫,这种手法称为预先播种(preseeding)。
这只虫一定预先播种好的,Shannon说:从资料分析,别无其它可能。
Witty虫可以把65k长的资料写入随机选择的硬盘位置,耤以损坏硬盘,造成近半数系统因为中毒而在12小时之内当机。
相形之下,利用MicrosoftSQL安全弱点为害的Slammer蠕虫感染了70,000到100,000台计算机。CAIDA说,两者相比,显然遭Witty传染的计算机比率比较小。该蠕虫也攻击专为预防病毒威胁而设置的计算机。
报告说,这种演变的影响不容忽略。报告说:只有小小的技巧,居心不良的人就可能闯入数以千计的机器,利用它们为所欲为,却未在遭殃的主机上留下什么蛛丝马迹。(唐慧文)