(这条文章已经被阅读了 27 次) 时间:2001-09-09 00:40:22 来源:李然 (李然) 原创-IT
“红色代码”病毒刚刚肆虐一番,全世界将近26亿美元的损失还在折磨着众多杀毒软件工程师的神经的时候,一个名为“蓝色代码”的病毒又跃入了人们警惕的视野。
与人们的猜测大相径庭,“蓝色代码”并非“红色代码”的最新版本,从它的攻击行为来看,前者更像是黑客对一家著名网络安全公司显示力量的举动,这家公司就是绿盟科技,即以前著名的黑客联盟——“绿色兵团”。
9月6日下午5点,金山公司拿到了公安部提供的Codeblue病毒标本,该公司的反病毒专家马上对其进行了分析,发现该病毒会感染WindowsXP和Windows2000系统服务器,将其中的inetinfo.exe进程杀掉造成Web服务中止并根据一定的算法生成新的IP地址作为攻击传染对象。同时,“蓝色代码”会在系统中植入并运行名为SvcHost.exe的黑客程序。
反病毒专家发现,病毒设计中有一个环节是在每天10-11点之间启动一个线程访问地址为211.99.196.135的网站,而且线程不断生成,而该网站就是“绿盟科技”。病毒设计者的目的很明显:采用Dos(拒绝服务式攻击)使绿盟网站的服务器瘫痪。但病毒的这一攻击行为却不会启动,原因是条件语句中存在一个简单的BUG,即10和11之间没有整数,这使得10-11点的攻击无法发生。
是黑客一时疏忽还是有意恐吓?有关专家更愿意相信前者。但无论答案是什么,有一点是肯定的,如果病毒设计者愿意,这个简单的BUG很容易解决,能够实施对绿盟科技网站攻击的“蓝色代码”新版本瞬间就可以出现并传播出去。
相比之下,目前受“蓝色代码”威胁最大的是直接被感染的服务器,尤其是单一服务器的中小型企业网站,一旦inetinfo.exe进程被杀,整个网站的服务就将停止,没有其他服务器可以分担web服务。据透露,已经有一些网站感染“蓝色代码”,反病毒公司也纷纷接到此类咨询。
目前看来,“蓝色代码”的造成的损失不可能达到“红色代码”的程度,一方面是因为它的传播速度要比“红色代码”慢得多,令一方面,“蓝色代码”还没有传播开就被发现,它如今的名气多是来源于其本身的好名字。但是,值得人们注意的是,“蓝色代码”的攻击方式更加危险,一旦发作危害更大。
有关反病毒专家称,“红色代码”和“蓝色代码”的出现预示着一个新的病毒时代的到来,病毒的传播速度和破坏性都会空前地提高。对于个人来讲,受到的病毒危害不但来自于自家的电脑,而且来自于远方的网站服务器,无法浏览网站,无法收发邮件,无法网上购物——这和自家电脑蓝屏一样会令人沮丧。