[公告]又来毒你

Bagle源代码扩散　Windows用户面临悲惨夏天

--------------------------------------------------------------------------------

2004年07月11日 17:15  ZDNet China



　　电脑安全专家指出，两种新的Bagle变种病毒，外加原始病毒的组合源代码，已于4日开始在网络上扩散，对全球网络安全构成威胁。

　　Bagle 病毒的作者4 日开始扩散两个新变种和源代码，微软Windows 使用者恐将面临一个悲惨的夏天。


　　今年元月，Bagle病毒首度以邮件附加档的型式出现，在短短几个月内便衍生出25个以上的变种。中毒的电脑会下载一个特洛伊木马程序，使得受害者电脑成了受控制的“殭屍PC”，可被用来扩散垃圾邮件和其他不良程序，以及发动分散式阻断服务攻击(DDoS)。

　　上周末出现的不只是两种新版的Bagle 病毒，和包括病毒的原始源代码。

　　F-Secure的反病毒研究主任MikkoHypponen说，他相信该源代码是真的，但值得忧心的是，病毒完全由组合程序写成，代表该名作者是“有底子”的程序设计师，不是只是初出茅庐的程序小子。Hypponen表示：“大多数的电子邮件蠕虫都是用C，或一部分用C、另一部份用组合程序写成。现在会写组合程序的好手已经不多，因此作者一定是个货真价实的程序设计师。”

　　Hypponen说，虽然组合程序语言较难掌握，修改源代码并创造新的Bagle变种并不一定要专家才做得到，因此视窗的管理员今年夏天不会好过。他表示：“例如修改使用哪一个后门接口，或送出哪一种电子邮件这类事情都是轻而易举的，我确定这将造成Bagle变种的新一波爆发–就像2月和3 月的情况。”

　　电脑安全产业团体ISSA UK 副主席RichardStarnes说，该源代码是“危险的”，但他指出，其中可能含有帮助执法单位追踪作者的线索。

　　Starnes表示，由于源代码内含作者的评注(comments)–这通常是用来帮助其他人了解程序中不同部分的作用–这能帮助当局减少嫌犯的名单。Starnes说：“如果你让10个人撰写某个程序，你会得到10种不同的程序。其中会有类似的地方，但运算方式会不一样–例如他们命名变数的方式、使用语言的方式、评注说明的方式。这有点像程序设计师的指纹。”

　　不过，病毒作者释出源代码的另一个原因可能是想减轻不利于他或她的证据。F-Secure的Hypponen说，另一种理论是作者希望把源代码尽量扩散到更多电脑中，万一他被捕，就不会是唯一拥有源代码的人。

　　作者决定释出源代码，可能是受到上周五(2 日)美、英与澳洲政府宣布联手打击垃圾邮件散播者的影响。

　　今年元月，MyDoom的源代码在微软与SCOGroup宣布共同提供50万美元赏金追捕病毒作者后，不到几天就在网络上扩散。Hypponen说：“这或许是同样的手法，在周五(2日)之前，逮到Bagle 作者的完美证据就是他电脑里的源代码，现在，已经不是如此。”