从2000年12月底到2001年1月11日期间,反病毒软件供应商和IPA(日本的信息处理振兴业务协会)发出了有关电脑病毒“Hybris”的警告。该病毒将自己附在电子邮件的附件之后,擅自发送出去从而扩大感染范围,而且它无法确定发送病毒电子邮件的发信人,且在下载了Plug In后,病毒自身发生变化。所以收到病毒电子邮件的收信人,无法通知发信人受到病毒感染。而感染病毒的发信人将会持续不断地发出附带病毒的电子邮件。同时,用户即使安装了反病毒软件,如果稍微延误了更新数据文件库的时机,就有可能检测不出病毒。
从2000年底开始,在日本国内的被感染受害的案件正在急剧增加,据受理病毒受害报告的机构IPA安全性中心表示,该机构收到的有关该病毒的报告以及咨询数量已经超过了200件。另据MicroTrend表示,截止1月11日下午,收到的咨询次数为127件,而实际受该病毒之害的据说已经达到47件。
●无法追踪发信人
如果发送感染了Hybris病毒的电子邮件发信人的电脑为日语环境,那么发信人的姓名栏将会出现空白,如果为英语环境等则将显示“Hahaha”。无论何种情况,都无法确定发信人的电子邮件地址。因此,"接收到病毒电子邮件的人士无法通知电子邮件发信人感染了病毒。直到发信人自己发现为止,它将会持续不断地发出带病毒的电子邮件"(IPA安全性中心病毒对策室室长补佐木谷文雄)。由于Plug-In功能的作用,自从进入2001年以后,该病毒还出现了在画面上显示“旋涡”的变种。“看来很多用户直到在画面上开始出现旋涡以后,才知道自己感染了病毒。但是在此之前很可能已经发出附带病毒的电子邮件”。
当然,如果检查电子邮件的信封信息,还是可以确定发信人所使用的电子邮件服务器等。但是,仅凭这些信息要想确定发信人并且进行连络并不是一件容易的事情。
●下载插件以后产生变种
除此以外,Hybris病毒令人头痛的是,从因特网上下载插件以后,还会增加病毒的功能。它会擅自下载病毒插件,过去曾经有过被称为“Babylonia”的病毒。不过,那时下载插件的来源为Web网站。由于该Web网站已经被封锁,因此Babylonia无法改变其自身。然而,Hybris则从某一Web网站和新闻组“alt.comp.virus”下载插件。据日本网络协会(Network Associates)的消息,虽然已经于2000年11月20日关闭了该Web网站,但是来自“alt.comp.virus”的下载仍然存在,11月21日又出现了新的插件。
“目前还没有弄清究竟准备了哪些插件等有关详情。不过,对于已经弄清楚的插件,已经采取措施能够检测出来”(MicroTrend)。其它反病毒软件供应商也已经采取措施也能够检测出下载插件以后产生变种的病毒。不过,“过去的病毒数据文件有可能无法检测出由新插件而产生变种病毒”(MicroTrend)。用户应该经常进行更新数据文件,以抗衡新出现的变种病毒。
除此以外,由于病毒文件名是根据多个文件名随机决定的,因此很难根据文件名判断是否为病毒;当病毒篡改WSOCK32.DLL以后,由于原先的病毒文件将会被删除,因此很难发现被感染等特点。(九日)
|