级别: 初级 Larry Loeb (larryloeb@prodigy.net), 作家, Secure Electronic Transactions
2001 年 10 月 01 日 由于最近病毒到处引起麻烦,开发人员社区长期以来一直谨慎关注着如何应对这些威胁。这一专题的第 1 部分分析了“红色代码(Code Red)”如何设法制造了这么多麻烦。但那仅仅是即将到来的问题 ― SirCam 蠕虫程序 ― 的一个热身。本文是第 2 部分,作者描述了 SirCam 是如何传播它的危害的 ― 以及针对这些威胁应该做些什么,提出了他所采取的措施。
SirCam 根本不是穿着熠熠闪光盔甲的骑士
SirCam 与“红色代码”几乎同时爆发,但是“红色代码”引起的轰动掩盖了 SirCam。大多数用户不知道他们第一次被受传染的电子邮件袭击是在什么时候,以及它是如何传播的。由于存在一个内部错误,W32.Sircam.Worm@mm(它是据此命名的)对于它所攻击的 OS 的不同版本采取不同的行动。SirCam 然后(如果它没有删除您的文件)从硬盘上获取地址并通过电子邮件将随机文档(物理上可能位于存储器的任何地方)及其传播代码一起发给那些地址。
由于这个蠕虫程序完全只攻击这个特殊的商业现货(commercial off-the-shelf (COTS))OS ―“2000”版本正是它最爱的版本 ― 那些运行另一个 OS(或者不受影响的版本)的计算机可以打开任何接收到的文档而不会激活该病毒。当邮箱中显示许多有趣的文档时,这产生了活跃和分布广泛的网络窥探者。甚至 FBI 探员也未能幸免,他的文件也受到了攻击,因为据华尔街日报(请参阅
参考资料)报道,这个蠕虫程序已经将 8 篇 FBI 内部文档发送出去了。这个窥探者还获得了进一步的动力,因为已经开发出了一个称为 Clipsirc 的程序(请参阅
参考资料),可以从邮件附件中剥离出带毒的代码,这样甚至受传染的 OS 用户也会参与进来“享受乐趣”。
SirCam 看起来象什么?
那么,当电子邮件包含 SirCam 时,怎样才知道呢?Symantec Corporation(请参阅
参考资料)对它进行了分析并称它会模仿下列模板之一:
主题:电子邮件的主题将是随机的,但是它与电子邮件附件的文件名相同。
附件:附件中受感染的文件的扩展名是 .bat、.com、.lnk 或 .pif。
消息:消息主体将会有点随机性,但它总是包含下面两行(以英语或西班牙语),分别作为消息的第一句和最后一句。
西班牙语版本:
第一行:“Hola como estas ?”
最后一行:“Nos vemos pronto, gracias.”
英语版本:
第一行:“Hi! How are you?”
最后一行:“See you later. Thanks”
在这两个句子之间,可能出现一些下列文本:
西班牙语版本:
“Te mando este archivo para que me des tu punto de vista”
“Espero me puedas ayudar con el archivo que te mando”
“Espero te guste este archivo que te mando”
“Este es el archivo con la informaci=n que me pediste”
英语版本:
“I send you this file in order to have your advice”
“I hope you can help me with this file that I send”
“I hope you like the file that I sendo you”
“This is the file with the information that you ask for”
完成“复制和注册恶作剧”
当蠕虫程序运行时,它首先创建象 %TEMP%\<filename> 和 C:\Recycled\<filename> 那样的自己的副本,这两个文件都包含随机的文档。然后这个文档就运行了(通过使用已注册的程序来处理特定的文件类型)。因为蠕虫程序使用 Temp 变量,所以它将它本身保存到 Temp 文件夹中。(Temp 文件夹的缺省位置是 C:\Windows\Temp。)
然后它将它本身复制为 C:\Recycled\Sirc32.exe 和 %System%\Scam32.exe,还复制它自己到 System 文件夹(缺省文件夹的位置是 C:\Windows\System)。
要注册新的副本,它将“Driver32=%System%\scam32.exe”添加到下列注册表键中:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices。
然后,创建了插入下列值的称为“HKEY_LOCAL_MACHINE\Software\SirCam”的注册表键:
-
FB1B― 存储蠕虫程序的文件名,它与存储在 Recycled 目录中的名称相同
-
FB1BA― 存储 SMTP IP 地址
-
FB1BB― 存储发件人的电子邮件地址
-
FC0― 存储蠕虫程序已执行的次数
-
FC1― 存储蠕虫程序显示的版本号
-
FD1― 存储已经执行的蠕虫程序的文件名,不带后缀
-
FD3― 存储与蠕虫程序当前状态相对应的值
-
FD7― 存储这个过程的任何中断发生前已发送的邮件数
接下来,将注册表键“HKEY_CLASSES_ROOT\exefile\shell\open\command”的(缺省)值设置成“C:\recycled\sirc32.exe "%1" %*”,只要 .exe 文件运行,就使这个蠕虫程序能够执行它自身。
这个蠕虫程序是识别网络的,并且携带它自己的 SMTP 引擎。它查看是否有可用的网络资源。如果有,那么它将继续大肆传播:
首先,它将它本身复制到 <Computer>\Recycled\Sirc32.exe,并将“@win \recycled\sirc32.exe”行添加到文件 <Computer>\Autoexec.bat 中。然后它将 <Computer>\Windows\Rundll32.exe 复制到 <Computer>\Windows\Run32.exe。要最终完成,它还要把 <Computer>\Windows\rundll32.exe 用 C:\Recycled\Sirc32.exe 替代。
象“红色代码”一样,SirCam 有与日期相关的操作。在任何一年的 10 月 16 日,有二十分之一的可能性,这个蠕虫程序将递归地删除 C 盘上的所有文件和文件夹。这个有效负载将只对那些使用欧洲日期格式 D/M/Y(相对于美国常见的 M/D/Y 格式)的计算机起作用。还有另一个陷阱:如果附加在这个蠕虫程序上的文件包含序列“FA2”而其后没有紧跟字母“sc”,那么这个破坏性的有效负载立即就激活。如果发生了那样的事情,那么会创建文件 C:\Recycled\Sircam.sys 并用文本(“SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX”或者“SirCam Version 1.0 Copyright 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico,”)重复地填充,直到消耗完磁盘空间为止。
解决网络问题
这个蠕虫程序的 SMTP 引擎通过由注册表键 ―“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache” 和“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal”― 引用的文件夹中搜索“sho*.”、“get*.”、“hot*.”和“*.htm”文件来获取电子邮件地址。然后,它从那些文件中将电子邮件地址复制到文件 %system%\sc?1.dll 中,其中“?”对于每个位置有不同的字母:
- scy1.dll:%cache%\sho*.、hot*.、get* 中的地址
- sch1.dll:%personal%\sho*.、hot*.、get* 中的地址
- sci1.dll:%cache%\*.htm 中的地址
- sct1.dll:%personal%\*.htm 中的地址
另外,这个引擎在 %system% 和所有子文件夹中搜索“*.wab”(它表示所有的 Windows 通讯录)并从中将地址复制到 %system%\scw1.dll 中。
接着,它搜索注册表键“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal”和 “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop”引用的文件夹。在那里,它查找类型为“.doc”、“.xls”和“.zip”的文件,这些文件的名称将存储在 %system%\scd.dll 中。其中的一个文件将附在这个蠕虫程序的原始可执行文件后,并且这个新文件将作为电子邮件附件被发送。
从注册表中获取电子邮件地址和邮件服务器。如果不存在电子邮件帐户,那么当前用户名将被放置在“prodigy.net.mx”前面。然后,这个蠕虫程序将试图从注册表或者从“prodigy.net.mx”、“goeke.net”、“enlace.net”或“dobleclick.com.mx”这一固定列表中连接到邮件服务器。
电子邮件使用的语言取决于发件人的语言选择。如果发件人使用西班牙语,那么邮件将用西班牙语;否则它将用英语。附件是从 %system%\scd.dll 中的文件列表中随机选取的。
以上就是这个蠕虫程序工作的方式。SirCam 的影响很简单:它干了蠕虫程序的所有系统级危害并将您的文档抛到整个网络上,使其他人可以看到 ― 在很大程度上的数据侵害。
宏观角度
Computer Economics 是位于加利福尼亚的一个研究小组,它指出:超过 1 百万台服务器已经感染了“红色代码”(截至 9 月 1 日),并且清除传染的工作所造成的经济损失(加上生产力损失)是 26 亿美元,并且这个数字还在增加。对于不费力的攻击来说,这真是一个巨大的金钱回报。
这些网络攻击可能带有政治目的 ― 即,通过技术手段来达到政治目的。好象已经有一个 CRv1 先驱攻击了 Sandia 国家实验室(它是位于加利福尼亚州的 Livermore 和新墨西哥州的 Albuquerque 的美国能源部的安全研究机构)。根据 PCWorld.com(请参见
参考资料)的报道,这些攻击发生在今年 2 月、3 月和 4 月,而 FBI 和能源部对此没有重视。攻击 Sandia 的蠕虫程序利用了 Microsoft IIS 4 服务器的“.htr”蠕虫程序文件中缓冲区溢出的弱点;而 CRv1 利用了 Microsoft IIS 5 的“.ida”文件中类似的弱点。它们有不同的传染方法,但是 Jim Toole,一位 Sandia 的网络安全管理员声称“很明显,“红色代码”是由编写‘.htr’蠕虫程序的同一个人编写的,因为它攻击的(因特网)地址与‘.htr’蠕虫程序攻击的地址完全相同。”它还试图攻击与 CRv1 所攻击的相同的站点(
www.whitehouse.gov)。假如向白宫抛出电子传染是一个政治行为的话,那么您将会做什么?
Toole 和他的助手告知了 DOE 的计算机事故顾问能力组织(Computer Incident Advisory Capability)和 FBI 的国家基础结构保护中心(National Infrastructure Protection Center (NIPC)),向他们提供了这个蠕虫程序活动的完整日志记录以及该恶意代码的副本。Toole 和他的助手说尽管他们掌握了这个蠕虫程序,但他们从未听到来自这两个组织的任何反馈。
NIPC 对此的响应是提出了这样一个事实:在 1999 年 6 月就首次发现“.htr”的弱点并且卡内基梅隆大学的计算机紧急响应小组(Computer Emergency Response Team (CERT))的顾问已经对此做了处理。Bob Gerber 是 NIPC 的首席分析和预警专家,指出“既然 CERT 在 4 月之前的三个不同场合已经‘警告’了‘.htr’的弱点,那么 [我们] 认为 NIPC 不会发出另一个警告。”
唉,所有这些都破坏了 FBI 作为警报发出者的声誉。根据华尔街日报的报道,布什的白宫已经开始组织新的早期预警网络来应对因特网的威胁。与当前的系统不同的是,五角大楼,而不是 FBI,将与之协调。这个机构的任务是向所有美国的军事和民间机构发出有关网络威胁的警告,它将称为“网络-警告”和“信息网络”或者“c-win”。预计 c-win 在十月份开始运作。到那时,任何有关可能问题的警告将来自军事机构,而不是民间机构。军事机构已悄悄地将它本身移到了因特网的竞技舞台上,他们已经占据了高地。
该做什么?究竟该做什么?
几个月来我一直在思考这个问题的答案。对问题的纯粹描述,不管如何有用,只是解决方案的一个步骤。我不确定我有了完整的答案,但是我确定已经得到了一个观点(如果我被指定为网络的终身主宰者,那么它将只是实现的问题 ― 但是它仍旧是个观点)。
第一件事情 ― 作为反托拉斯试验惩罚阶段的一部分,我坚持要做 ― 是使微软修改它的旧代码从而使缓冲区过载不再起作用,坚持对所有输入的健康检查,并将媒体上的代码发送到 1986 年以来的全部顾客手中。不收费。是的,是有补丁程序;但是您不能设想每个人都获得代码或者甚至知道如何使用它们。把房子烧掉然后重建(或者那是 XP 吗?)。制造业中有缺陷的轿车可以召回。为什么软件就不可以呢?
第二件事情,如果您很严肃地对待您的网络问题,那么是放弃一个观念的时候了,即您可以在一个壁橱中装满“比萨盒”并使它具有业界中有巨大影响力的性能。现在,如果您进行小规模安装,不运行已知的不安全 COTS OS 的塞满东西的壁橱可能仍旧可以工作,因为有人将微调这个系统并最有可能常规性地修补它使之免于极薄的自卫。
但是如果是使用网络进行实际业务的公司(假定是 200-300 个用户)(如果按照上网操作的要求进行可靠性和备份工作,那么传统企业上网后可以很好地工作。),那么您需要更多东西。您需要大型管道从您的机器通到网络来实现冗余战略。您需要硬件上的可靠性和为那个硬件提供的服务。您需要永不停止的数据卡车。
有一种机器,(对于我来说)它在这个领域中的绝对可靠性方面与其它机器相比是非常突出的。它是 IBM 的 AS/400。不,他们没有告诉我那样说。真的。400 已经出现了很长时间足以拥有可靠的跟踪记录。它真的是专业级的工具,并且那是我预期在短期内日益加剧的网络敌对环境中生存(并发展)我以为必要的。它有自己的 OS,相当安全,并且 IBM 的工作人员定期更新它。集中到该硬件的一个副作用是,您还获得了更容易监视的网络连接。这意味着您可以将您的护城河挖得甚至更深。此外,它造出来的样子象一辆卡车。
结束语
在自由和开放的因特网上,不断增加的网络威胁(例如“红色代码”和 Sircam)造成了“慢动作事故”的逐步上升。冲突双方已经使用并将继续使用网络来宣泄他们的不平,而忽略了对旁观者的影响。需要进化 ― 并且始终如此 ― 来响应发生的变化。迁移到一个可以排除噪声和增强信号的新级别的专业级工具(硬件和软件),看来是必要的。
参考资料
关于作者  |
| | Larry Loeb 为上个世纪主要的现可称为“废品”的计算机杂志写了很多文章,另外,他还是 BYTE 杂志的顾问编辑和发起 WebWeek 的资深编辑。作为 BIX 上的 Macintosh Exchange 和 VARBusiness Exchange 的编辑,他从 uucp 用“!”寻址的时代(相对 !decvax 而存在的世界)就开始上网了。他还写了一本关于安全性电子交易因特网协议的书。他的第一台 Mac 有 128K 内存。他的第一台 1130 有 4K 内存,和他的第一台 1401 一样。可以通过
larryloeb@prodigy.net与他联系。
|
对本文的评价
| 
