追杀“红色代码”纪实(2)

　　
　　变身

　　7月31日爆发的病毒已经做了修改，对其中一些错误进行了修正，使其传播和攻击能力进一步加强。然而，人们却没有料到，“红色代码”病毒再次经过修改，其变种卷土重来，这次扑向的是使用中文系统的网站。

　　据瑞星公司技术部门分析的结果表明：作为改进后的版本，“红色代码”可以创建300个线程在网络上查找未感染的计算机，当判断到系统默认的语言是中华人民共和国或中国台湾时，查找线程数猛增到600个，占用大量系统资源和网络资源，造成网络拥堵。

　　瑞星公司的模拟实验显示：病毒采用随机产生IP地址的方式，每个病毒每天能够扫描40万个IP地址，搜索未被感染的计算机，在寻找到“猎物”后，病毒会向寄生虫一样，通过自我安装感染服务器，一旦在某台服务器中安装成功，接下来它就会利用这台服务器，搜寻更多的感染目标，其传播速度非常惊人。

　　更可怕的是，在感染计算机后，它还从病毒体内释放出一个木马程序，驻留在计算机当中，为入侵者大开方便之门。

　　“红色代码”病毒的传播机理不同于以往的文件型病毒和引导型病毒，采用的机理很特殊，利用WINTEL构架的缺点，它只存在于内存当中，传染时不通过文件这一常规载体，直接从一台电脑内存到另一台电脑内存。如果把所有的计算机都同时关掉，病毒将不复存在，而这样做完全是不可能的。

　　8月6日上午，瑞星公司24小时800免费电话接连打来电话，其中一家企业网络处于瘫痪状态，服务器一天重新启动20余次，下午紧急召集瑞星等三家著名反病毒厂商现场会诊，瑞星技术人员根据现象当即断定是“红色代码”新的变种，马上进行现场采样，连夜分析，经过一夜的艰苦奋战，至凌晨4∶30，拿出解决方案，到5∶40升级程序编制完成，6∶00整，升级程序及相关资料全部公布在瑞星网站上。也是这一天，公安部发布紧急通告，加强防范“红色代码”病毒。

　　8月7日一大早，瑞星公司技术人员再次通报：经过仔细分析解剖“红色代码”的变种，又发现该恶性病毒的新招术，在它感染计算机后，修改操作系统注册表，将Scripts、MSADC、C盘和D盘的属性改为可读写，这样便可以远程操控感染计算机，对其进行读写操作，并通过网络盗走资料数据。很多用户在清除该病毒并弥补软件漏洞之后，并没有恢复以上四项的属性，特别是C盘和D盘的读写操作属性，这为黑客留下了可乘之机，瑞星公司提出了相应的解决办法。

　　具体方法如下：在杀毒后重新启动计算机，再次杀毒以消灭木马程序，然后打开“控制面板”，找到“管理工具”，运行“Internet信息服务”，在其“默认的Web站点”选项中将C、D、Scripts和MSADC的属性改为原有属性。


　　反思

　　反思一：通过“红色代码”病毒事件，证明了在网络时代，病毒传播的速度是极其惊人的，其危害也极为巨大，国内用户限于应用水平和麻痹思想，并没有对计算机安全给予高度的重视和相关的投入，这也提醒用户是否应该进一步做好病毒防范工作。

　　反思二：瑞星公司早在7月20日就得到了病毒样本，并分析解剖提出了破解方法，制作出了升级程序，由于病毒发作主要在国外针对英文网站，没有意识到在病毒变种后针对中文网站进行攻击，所以没有采取紧急升级措施，致使用户疏于防范。

　　反思三：“红色代码”病毒的传播机理是相同的，其变种致少有两种，一些反病毒厂商将其不同变种归纳为一代、二代、三代，事实上是出于炒作的需要，俗话说“蛇打七寸”，如果掌握病毒传播机理，其防治效果相当显著。

　　反思四：国外各通讯社紧盯“红色代码”不放，特别是有关“中国制造”的说法，更让国内媒体不敢轻举妄动，这在一定程度上影响了对该病毒的宣传防范。

　　反思五：国内企业网络应用水平不高，对于计算机病毒一般采用单机版杀毒，而且采用手工升级的方式，很难彻底根除网络病毒，瑞星网络版用户由于使用全网杀毒、定时智能升级等功能，在此次网络病毒大爆发中安然无恙，从中可以看出企业在这方面认识的滞后。

　　反思六：“红色代码”病毒源自于微软公司操作系统软件的一个“缺陷”或“漏洞”或“BUG”，这样一个对微软来说小小的错误造成了如此巨大的恐慌和损失，对于这样一个一统天下的操作系统软件公司来说，是否应追究其产品质量问题，并提出相应的索赔，似乎也在情理之中。（来源：《市场报》）

|首　页||上一页|