电脑病毒已经像感冒一样,成为现代人生活少不了的一部分,而且不断推陈出新,据电脑病毒专家指出,今年可能大流行,并造成严重灾情的Hybris病毒,是一种使用加密附加程序码自我更新的病毒。
汤普逊是资讯安全公司TruSecure电脑病毒研究部门技术主管,他说:“这个病毒并非藉由寄出大量邮件快速传播,它的传播速度不快,但是构造很巧妙。速度慢而步伐稳健的总是后来居上。”
汤普逊说,大部分电脑病毒的扩散方式是快速传播并造成严重灾情,但它们很快就消声匿迹,但出现至今已经三个月的Hybris病毒,似乎不太可在短期间内加以控制。
就像Happy99病毒,Hybris监控电脑是否连上网络收发信件。当它侦测到新邮件时,会将开头部份的电子邮件地址加入一份清单中。接著,Hybris从清单中挑选出一些地址,将病毒的复制寄出去。
资讯安全公司网络合伙公司(Network Associates)的电脑病毒紧急研究小组主管古洛多说,这种病毒还拥有另一种特色。和使用程序语言(scripting language)撰写的Loveletter与Melissa病毒不同,Hybris程序撰写的方法与32位元视窗应用程序相同。
他说:“和其他Win32病毒一样,这种病毒很难加以消灭。所有使用Win32的病毒都能快速地将个人电脑感染。甚至可以在数秒之间感染数以百计的文件。”
Hybris综合缓慢扩散与快速感染的策略似乎已经奏效。根据趋势科技“全球病毒追踪”网页的统计数字,这个病毒在2000年10月被发现后,就一直高居世界电脑病毒排行榜前十名。在上个星期个人电脑感染数量排行中,Hybris高居全美第四位、全球第九位。
电脑病毒专家说,Hybris之所以无法广为扩散,是因为它使用加密附加程序码。和Babylonia、Loveletter及MTX病毒相同,Hybris可以经由互联网取得信息。它从alt.comp.virus这个新闻群组取得信息进行自我修改。
新西兰资讯安全顾问暨电脑病毒研究专家费滋杰罗说,这就是Hybris与众不同之处。他说:“Hybris经由寻找并加入不同的延伸程序码来改变其形态,然后将新版本病毒寄给其他受害者。”
照理来说,对抗电脑病毒社群应该将内含附加程序码的网站关闭。但是由于他们使用新闻群组来公开病毒程序码,关闭新闻群组等于剥夺他们抵抗病毒的能力。
Hybris改变自已破坏方式的能力,使它成为一种非常危险的电脑病毒。根据它所下载的附加程序,它可以变形成突破电脑安全系统的后门程序(backdoor),或变形成毁损资料的恶意破坏程序。Hybris所使用的附加程序码目前已经发现八种之多。
TruSecure的汤普逊说:“在某些时刻,电脑病毒的作者可以轻易地取得大量个人电脑的控制权。”他也说,公司行号大可不必太过担心,因为公司的网络管理员通常都会经常更新病毒定义,把所有Hybris变种病毒都列入监控。
他说,家庭电脑使用者则必须经常更新病毒扫描程序,而且在处理电子邮件附件的时候要特别小心。
|