Next-->page>>回上一页,看更多资料遭遇网络病毒 ——谈Remote Explorer与网络病毒的防治 (《网络与信息》1999年第4期) 1998年12月,几乎就在美、英两国对伊拉克展开大规模空袭的 同时,首例专门政击WindowsNT平台的网络病毒—Remote Explorer 也在美国等地被发现。也许是海湾的硝烟吸引了我们太多的注意力, Remote Explorer短短一个月以来通过Internet在全世界范围内大 肆传播,却丝毫没有引起我们对这个网络病毒本身以及其对反病毒 业界带来的深远影响给予的足够重视…… 病毒简介 Remote Explorer最早发现于去年12月17日,原产地在美国。 与其它许多病毒一样,Remote Explorer也有许多别名,如RICH(S)、 W32-RICHS、RmtExplorer、WinNTRemEx和WNT/RemExp等。该病毒 仅在WindowsNT Server和Windows NT Workstation平台上起作用, 常驻内存,专门感染.EXE文件。Remote Explorer主要破坏作用表 现在:它会加密EXE、TXT和HTML等类型文件,并且能够通过局域网 /广域网实现快速传播。 当具有系统管理员权限的用户运行了被Remote Explorer病毒 感染的文件后,该病毒就会作为一项NT系统服务(NT Service)被自 动加载到当前用户的系统之中,此后如果我们打开系统服务清单, 就会发现多了一项名为Remote Explorer的系统服务,这就是 Remote Explorer病毒名称的来历。这项新增的系统服务对应的文 件是\WinNT\System32\drivers\IE403R.SYS。为增强自己的隐蔽性, 该系统服务会自动修改Remote Explorer在NT系统服务中的优先权, 每周一至周五早上6点至下午3点,Remote Explorer将自己的优先 权设置为最低,而在周末和正常工作日每天下午3点至第2天早上6 点,它将自己的优先权提升一级,以便加速传染过程。 Remote Explorer最显著的特征是它的传播过程与传统单机病 毒截然不同,Remote Explorer的移动/传播均无需一般用户的介入 (交换软盘或电子邮件)。该病毒侵入网络后,直接使用远程管理技 术监视网络,查看域名管理登录情况并且自动搜集远程计算机的数 据(包括超级用户口令),然后再利用所收集数据(如口令)将自身向 LAN网络中的其他计算机进行传播。由于系统管理员能够访问到所 有远程共享资源,所以具备同等权限的Remote Explorer能够感染 网络环境中所有NT服务器和工作站硬盘上的共享文件。 在传染时,Remote Explorer首先在远程NT服务器或工作站上 随机选择一个目录,并试图感染该目录下所有EXE文件。当前版本 的Remote Explorer对文件系统有两方面的破坏作用:一方面,在 感染过程中,令人感到奇怪的是Remote Explorer几乎不检查被感 染对象是否是一个Win32可执行文件,因此一些DOS或16位Windows 应用程序也可能被感染——不过被感染后这些文件就再也不能正常 工作了;另一方面,EXE类型文件被感染后,文件长度大致增长125K, 感染完成后,目标目录中所有其它文件,除DLL和TMP之外均被加密, 像纯文本或Word文档这样的文档文件再也无法被正常打开。 综合以上分折,我们不难得出结论—Remote Explorer是一个 真正的网络病毒,这是因为:一方面它需要通过网络方可实施有效 传播;另一方面。Remote Explorer要想真正攻入网络(无论是局域 网还是广域网),本身必须具备系统管理员(Administrator)权限, 如果不具备系统管理员权限,Remote Explorer只能够对当前被它 感染的机器中的文件和目录起作用。 深远影响 Remote Explorer出现至今,人们一提到它总是冠以“首例专 门感染WindowsNT平台的病毒”的称号。事实上,仅仅给Remote Explorer冠以“首例”的头衔是远远不够的,更重要的是,Remote Explorer不但在编制技巧上有了质的飞跃,而且它是迄今为止头 一个真正实现大规模传播的网络病毒。 首先,Remote Explorer打破了“WindowsNT环境下无病毒” 的安全神话,对Windows NT的安全性提出了有力的挑战。虽然 Windows NT在推出时宣称已达到美军一定级别的安全标准,但 Remote Explorer的出现充分说明:任何安全标准、安全体系或安 全系统,并非牢不可破。前一段时间国内某知名反病毒厂商曾经 提出:Windows NT是一个“封闭的、安全的”操作系统平台,因 此随着主流操作系统自Windows 98后开始向Windows NT的转型, 计算机病毒将“逐步灭绝”,反病毒软件也将在几年之内“走向 消亡”。Remote Explorer病毒的出现,对这种观点给予了有力回 击,同时也再次提醒我们,计算机安全从来都是相对而言的,绝 对安全的系统过去不存在,现在不存在,将来也一定不会存在。 Remote Explorer的出现,正迫使着我们去重新审视Windows NT环 境的安全性,重新制定系统安全策略,重新认证Windows NT环境 下的安全产品,重新建立用户的安全概念。 其次,利用高级编程技术和网络技术,提高自身传播的迅速 性和隐蔽性,这是未来若干年病毒技术的根本发展方向。从以上 关于Remote Explorer病毒的分析我们不难看出,Remote Explorer 的编制技术与工作机理与我们以前所见到的传统病毒截然不同, 它以正常NT系统服务形式加载到系统中并通过网络进行传播,从 而避开了传统病毒所使用“截获中断向量”等过于底层的编程技 巧。我们都知道,截取系统低层资源不但会造成系统开销过大、 兼容性差等问题,比较容易被用户发现,同时也不利于病毒本身 通过网络传播。病毒利用Windows NT正常系统服务完成自身加载、 传播等功能的思路,不但充分体现出病毒编制者的良若用心和熟 练的NT编程技巧,而且也极大增强了自身加载和传播的隐蔽性和 通过网络传播的迅速性。95年以来,随着Windows95的推出,先是 以Concept为代表的宏病毒,然后是以CIH为代表的Win32病毒,直 至今天的Remote Explorer,为增强隐蔽性、提高传播速度,所有 这些病毒全部摒弃了传统病毒截取系统底层资源的办法,转而采 用应用程序或操作系统的高级调用来实现所有功能。事实证明, 随着技术——特别是网络技术的进步,利用系统高级功能不但可 以编制出病毒,而且完全可能编制出杀伤力更强、传播更快的病 毒。 第三,当代反病毒观念已不再是传统DOS环境下的单机反病毒 技术,而是真正的网络环境整体反病毒解决方案。Remote Explorer 是一个真正的网络病毒,它之所以同以前我们所见到过的病毒有 很大不同,是因为过去我们所见到的绝大多数病毒都局限在所谓 “单机”病毒之上,这些“单机”病毒在单机上和在网络环境中 的表现是完全一样的,网络对于这些病毒而言和软盘一样仅仅是 一条传播渠道而已。因此,我们过去在处理病毒时,实际上都是 停留在防治单机病毒的水平上,往往忽略了究竟应该如何防治真 正的网络病毒。而很多单机版反病毒产品正是利用这种局限,试 图混淆它们与真正的网络反病毒解决方案的区别,比如很多单机 版反病毒软件都宣称自己能够“杀除网络病毒”,实际上指的是 它们可在工作站上对网络逻辑驱动器进行反病毒检测,杀除其上 的单机病毒,而非真正实现了网络反病毒。以Remote Explorer为 代表的网络病毒出现,给反病毒蒙上了更浓厚的“网络化”、 “实时化”的色彩。 Remote Explorer攻入网络的前提是必须具备系统管理员权限, 仅当此时Remote Explorer方才可能访问到系统管理员所能够访问 到的所有共享资源,这些资源有些是一般用户权限能够访问到的, 有些则仅有系统管理员才能够访问到。我们使用普通单机反病毒 软件,由于不具备网络管理功能,因此在NT环境下只可能访问到 普通用户能够访问到的共享资源,也就是说普通单机反病毒软件 用在网络环境中,只可能清除那些权限特别一般的资源中的Remote Explorer病毒,对于权限较高的资源普通单机版反病毒软件根本 无法访问。因此,采用单机反病毒产品对网络进行反病毒只能算 是“掩耳盗铃”,自欺欺人。而象KILL98 for Windows NT这样的 网络版反病毒软件,在本身安装和日常使用管理过程中,都需要 系统管理 员权限的介入,从而保证了KILL98能够访问到系统管理 员所能够访问到的所有资源,确保清除位于网络环境任意角落里 的Remote Explorer。一般基于单机的反病毒软件,是不可能做到 如此彻底的。 Remote Explorer以NT系统服务形式加载,按一定优先权自始 至终工作在网络环境中,随时随地向它所随机选 中的目标进行传 播。NT系统服务本身就是Windows NT操作系统较深层的资源,使 用普通反病毒软件已很难访问到这一层服务,而NT系统服务又是 工作的,我们使用普通静态的反病毒软件又如何来对抗这种高度 实时化的病毒呢?正是因为Remote Explorer在网络中传播具有很 强的随机性,所以我们需要以具备实时反病毒功能的网络反病毒 软件(如KILL98的实时防毒墙)来对抗这种病毒。 以上,我们对Remote Explorer网络病毒进行了简单描绘,并 概括出了这种网络病毒对今后我们反病毒工作的深运影响。随着 技术的发展,类似Remote Explorer这样使用高级编程技术编制, 并以网络为主要传播、破坏目标的新型病毒肯定还将层出不穷, 更重要的是:这些病毒可能更侧重于破坏或窃取网络资源,因而 与黑客工具不谋而合(如BO)。Remote Explorer的出现,又一次提 醒我们一定要提高警惕,严密防范网络病毒。