三、病毒在企业网内部的传播过程
目前,互联网已经成为病毒传播最大的来源,电子邮件和网络信息传递为病毒传播打开了高速的通道。企业网络化的发展也有助于病毒的传播速度大大提高,感染的范围也越来越广。可以说,网络化带来了病毒传染的高效率,而病毒传染的高效率也对防病毒产品提出了新的要求。
近一、二年,全球的企业网络经历了网络病毒的不断侵袭。 “爱虫”、“探险者”(Explore)、Matrix病毒可以算是大名鼎鼎了。这些病毒几乎一夜之间让世界为之震惊,唤醒了人们对于网络防毒的重视。我们以Remote Explore、Matri、LOVELETTER三个典型病毒为例,来说明网络病毒如何在通过Internet进入企业网络并在内部快速传播。
① 病毒Remote Explore算是网络病毒的“先驱者”,它于98年爆发,至今是病毒发展历史中的一个重要标志。
Remote Explore病毒通过盗取WINDOWS NT 域管理员的帐号进行传播。如果一个具有管理员身份的用户执行了染毒的程序,该病毒便以服务(Service)的方式驻留内存,取名为“Remote Explore”,并在染毒系统中安装文件\winnt\system32\drivers\ie403r.sys。
这时,另一台NT机器只要用同一管理员帐号登录到染毒的机器中,该病毒就可以感染WIN NT 局域网附加网络驱动器中的文件。当病毒被激活后,它便在共享的网络驱动器上随机选择一个文件夹,感染除.dll 或.tmp扩展名的文件外的所有其他文件,连一些DOS下的EXE文件同样难逃厄运……。
② 病毒Matrix(还有许多别名)在2000年8月发源于德国,在当时它是一个危险级数相当高的病毒。该病毒之所以能够在全球范围内广泛且快速传播,是由于它具有网络蠕虫的特性,即利用INTERNET和局域网进行传播。
该病毒以邮件附件的形式传播。当接收者打开附件,该病毒便在网络系统内安装文件到c:\windows目录下,然后将系统内的WSOCK32.DLL删除,把WSOCK32.MTX更名为WSOCK32.DLL。这样,受感染系统在发送邮件时增加自动发送附件的功能,附件即为蠕虫的副本。此外,病毒还能对网上邻居中的所有可用资源(映像驱动器)进行搜索,以便能够同本机进行文件传输,从而达到感染网络中其它机器的目的。
病毒通过创建wininit.ini文件,在每次系统启动后自动运行。另外,被安装的文件MTX_.EXE还能够将系统连接到指定的站点,并下载新的病毒插件,以完成自身更新。
③ 病毒LOVELETTER于2000年5月发源于菲律宾。“爱虫”病毒可谓家喻户晓,它在全世界制造的恐慌给人们留下了深刻的教训。
