“Storm worm”木马造僵尸网络 Vista难幸免

• 关 键 词：
• windows server 2003
• windows vista
• windows 2000
• windows xp
• 反垃圾邮件产品

据国外媒体最新报道，名为“Storm worm”的木马从上周五开始传播，目前已经攻击了至少1600万台计算机，该木马的目地看来是要制造一个大型僵尸网络。

另外，微软新一代操作系统Windows Vista按原计划将于下周上市，很可能对该木马攻击没有免疫力。

芬兰数据安全公司F-Secure表示，最初这种“Storm”木马以谈论欧洲恶劣天气为主题的邮件传播，而现在的主题又改成了例如“爱鸟”、“被爱感动”等等，另外其可执行病毒文 件也从“postcard.exe”改成了“Flash Postcard.exe”等，不断地进行着变异，让人防不胜防。一名赛门铁克发言人在一封电子邮件中表示，截至目前赛门铁克公司通过传感系 统已接收到1600万条受到攻击的报告，这意味着该木马在过去的七天里已经攻击了1600万台电脑系统。

此前被赛门铁克命名为“Peacomm”的木马就是利用各种貌似时事新闻的主题来吸引人，例如声称“萨达姆·候塞因还活着”等，附有名为“video.exe”的病毒文件。根据赛门铁 克的估算，Peacomm是最近20个月内最严重的网络威胁，本周一它升级为从1到5五个等级中的等级3。在此之前的2005年五月，Sober.o曾被美国加州计算机安全公司Cupertino定义 为等级3。

F-Secure和赛门铁克都表示，目前最新的Peacomm木马变体包括能够隐藏起来不被杀毒软件找到的rootkit。赛门铁克还指出rootkit的缺陷会使得木马黑客的部分计划泡汤，据赛门 铁克安全响应中心研究员Amado Hidalgo称：rootkit可以通过运行一个简单的命令“net stop wincom32”而停止，所有文件、注册密钥和端口都会再次出现。另外，一种个人防火 墙同样可以避免rootkit入侵，它会警告你“services.exe”正通过端口4000或7871试图连接网络。

Peacomm向rootkit的变化与Rustock形成了对比，2006年12月由赛门铁克提出警告的Rustock是一个木马家族，依赖于rootkit技术，并且能够快速转变形态，它已经成为黑客的典范 。赛门铁克安全响应中心总监Dave Cole表示，Peacomm与Rustock相类似，但是其技术并不复杂。赛门铁克研究人员Amado Hidalgo说：“受到Peacomm攻击的电脑会发送大量的垃圾 邮件，在一次测试中我们发现中毒的电脑在五分钟之内发送了1800封邮件，然后突然停止了，据我们推测可能此时发送垃圾邮件的任务已经传送给了另一个僵尸网络成员。”

Windows 2000和Windows XP都容易受到所有Peacomm变体的攻击，不过Windows Server 2003却不会，很明显木马制造者从代码方面排除了那个Windows版本系统，Hidalgo对此的推 测是木马制造者可能还没有时间完成在这一系统上的测试。

赛门铁克认为，微软即将面向用户发布的Windows Vista将面临木马风险，木马变体唯一不能得逞的可能是Vista能够检测和阻止邮件传输，不过目前看来这是不可能的。

许多反病毒公司已经将签名数据库升级为指纹签名，以防止木马入侵。其他的措施还包括过滤UDP端口4000和7871、升级反垃圾邮件产品、配置邮件网关以剥除所有可执行附件。

【深 度 阅 读】 相 关 文 章

• Vista中硬盘分区合并分割全攻略
• 准备好了吗 微软Vista系统硬件要求大公开
• 用WinBlinds5尽情享受Vista玻璃效果
• Vista Beta2如期发布，支持显卡列表曝光