微软公司在五天前刚刚泄露出Windows 2000中的一个漏洞,网上就出现了几种傀儡虫(bot worms)开始攻击未打补丁的Windows 2000系统的事件。这些傀儡虫在攻击中所利用的代码与制造出振荡波蠕虫(Sasser worm)所用代码都是由同一个集团散布出来的。
虽然某些分析师称这些狡猾的傀儡虫很可能会引发严重的问题,但是他们都不希望再发生振荡波蠕虫或者2003年的MSBlast蠕虫那样的大规模攻击事件。
互联网安全系统(Internet Security Systems)下属的研究机构X-force公司曾经因发现了即插即用漏洞而广为人知。针对此次傀儡虫事件,其靡下研究员David Maynor说:“我们昨天反研究了其中一个傀儡虫,找到了傀儡虫的主人用来联系他们的傀儡虫所使用的IRC渠道,并把它中止了一会儿。感染的数量并非很高。它传播的速度是每30秒感染一个新的系统。相比而言,振荡波蠕虫则是每秒钟感染10台电脑。
许多反病毒公司都发现了其中最著名的2种傀儡虫:Zotob和Zotob.b。
Zotob从技术上来讲是一种傀儡虫,简单地说,它是通过一种自我繁殖的蠕虫与一个木马结合而成的。其中,蠕虫散布恶意代码,木马安装系统后门,然后攻击者就可以通过系统后门把其他的代码加载到受攻击的电脑中。这些受到感染和控制的电脑通常都是用来发送垃圾电子邮件、发动拒绝服务型(denial-of-service)攻击以及发动钓鱼式攻击。
当外界针对即插即用漏洞会受到攻击的消息愈传愈盛的时候,微软公司意识到问题的严重性并立即修订了周五发布的安全建议书。
修订后的建议书写道:“我们最初的调查显示蠕虫是采取远程攻击Windows 2000系统的方式进行攻击的。包括Windows XP SP 2和Windows Server 2003在内的其他版本的Windows不会受到Zotob远程攻击的影响。然而,这些操作系统还有可能会因为计算机操作者的本地操作或者其他的恶意软件已经把蠕虫安装到了本地的计算机上而受到攻击。”
微软公司指出启用了NULL会话的非Windows 2000系统也可能受到攻击,因为Zotob是利用NULL会话来攻击Windows 2000系统的。SANS互联网风暴中心(SANS Internet Storm Center)指出,有些服务器需要启用NULL会话才可以发挥其功能,比如Exchange和SQL服务器。
互联网风暴中心管理员Joshua Wright在网上发出了一份警告称:“如果你启用了系统中的NULL会话功能,你就可能会受到Zotob某个变体蠕虫的感染。”
各种Zotob蠕虫与Mytob蠕虫家族的关系都很接近,后者是最著名的恶意软件家族之一。
VeriSign iDefense公司高级工程师Ken Dunham说:“黑客们从MyDoom中得到了Mytob蠕虫代码,然后利用MS05-039号系统漏洞替换掉Mytob中的电子邮件功能。”
Dunham预计一旦黑客们开始仿制这些经常变化的Mytob变体,那么很快就会出现大量的Zotob蠕虫和相关的傀儡虫。他说:“很快,我们就会看见大量的傀儡虫涌现出来。”
其中有部分原因是因为黑客们知道他们必须在计算机用户们修复Windows 2000系统漏洞之前迅速展开攻击行动。Dunham说,这种情况现在正在进行之中。他说iDefense公司已经分析出9种不同的代码,其中包括两种Zotob蠕虫的变体和4种Rbot的新变体。
Dunham补充说:“如果还会继续发生更为严重的情况,那也很可能是最近的事。蠕虫出现以后的前10天是非常重要的一段时间。再那之后,大部分的企业都已经修复了漏洞。如果在漏洞公告发布4星期以后出现这种情况,那根本就构不成任何威胁了。”
虽然这些代码的名次叫做“houseofdabus”,但是Dunham没有发现这种攻击会演变成振荡波或者MSBlast蠕虫那种攻击的迹象。“houseofdabus”与2004年振荡波蠕虫发作之前出现的一种代码紧密相关。
“我并不认为它会发生振荡波蠕虫那样的大规模攻击现象。傀儡虫攻击与振荡波那样的巨型蠕虫攻击是完全不同的。傀儡虫攻击档次要低得多。这全都是一种数字游戏,但是对于傀儡虫的研究已经进行了很多年了。”傀儡虫蠕虫的编写者的目的是希望控制用户的计算机,因此他们希望尽可能秘密地进行攻击。
Dunham称,即便是公开第一轮的攻击,也会对黑客们造成一定的打击,因为许多用户得知这条新闻后会立即修复系统中的漏洞。
反病毒研究人员对此持相同意见,他们认为这次的攻击不象Zotob蠕虫攻击,它的变体家族才是主要的威胁所在。研究员Mikko Hypponen在公司的博客上写道:“Zotob不会变成另一个振荡波蠕虫。”
ISS公司的Maynor说,然而,Zotob可能还是致命的蠕虫。虽然傀儡虫利用了即插即用漏洞,但是它还包括一些利用Windows其他漏洞的代码,比如2004年发现的LSASS漏洞。振荡波蠕虫也利用了这个LSASS漏洞来发起攻击。那就意味着,许多新的傀儡虫可能不止会感染 Windows 2000系统计算机,而且还会感染其他的未进行系统修复的计算机。
“最有可能出现的情况是,傀儡虫可能会利用即插即用漏洞来攻破网络的外部防御,进入企业的网络之后,有许多计算机的系统是没有经过漏洞修复的,傀儡虫就可以利用其他的漏洞来进行攻击。”
因此,用户是有必要进行系统修复的。例如,微软公司不断要求用户给系统打上8月9日星期四在MS05-039号公告中提供的更新补丁。
否则,微软公司建议各企业在防火墙设置中关闭139号端口和445号端口。