|
日前,美国FBI郑重警告因特网用户提防的新因特网蠕虫病毒X.C.如今已经被彻底消灭。但是安全专家却表示,X.C.病毒很可能只是攻击Unix系统安全漏洞的一系列蠕虫病毒的先行者之一,很快地,将会有更多的针对Unix系统的蠕虫病毒问世。
9月6日,“安全聚焦”的源代码分析人士证实,X.C.病毒的源代码主要来自于波兰某服务器上的一个文件,该文件如今已经被移除。但是,那些已经感染了X.C.该病毒的系统仍将继续试图冲破其它防卫薄弱的主机,并感染这些主机。另外,X.C.还很可能在波兰服务器的操作人员清除病毒代码之前在其它因特网服务器上成功地安装“后门”程序。
携带原始病毒代码的服务器地址为http://mri.am.lublin.pl,是波兰X射线医师协会的站点,该站点属于波兰Lublin市的波兰医药科学学会。
X.C.病毒是美国FBI国家基础组织保护中心8月30日警告书中的重要主题。该中心并没有提供X.C.蠕虫病毒的详细资料,只是表示该病毒利用了新近发现的Telnet服务的漏洞实施传播和攻击。Telnet服务目前在许多Unix系统中都经常使用。后来“安全焦点”通过对该病毒源代码的分析表示,X.C.蠕虫可以自动向有安全漏洞的Unix系统传播,并在被传染的系统中建立“后门”,供匿名访问者通过145端口直接访问系统。
当成功地对某一IP地址进行Telnet连接以后,该蠕虫就尝试利用不久前“Teso安全”黑客组织公布的“Telnet缓冲器溢出漏洞”入侵目标系统。如果目标服务器确实存在此漏洞,蠕虫程序会自动从波兰某服务器(即波兰X射线医师协会站点服务器)上复制该程序的源代码---一个名为“X.C.”的文件,并在目标系统中编译生成蠕虫病毒程序。
波兰X射线医师协会站点的操作员并没有立即对此发表评论,但波兰LSD安全研究小组的一名成员表示,该医学组织的服务器防卫极为薄弱,很可能已经被某攻击者所远程操纵。
从8月31日起,“安全焦点”公司的ARIS入侵报告服务小组跟踪监测了每天在因特网上对服务器145端口进行的上百次扫描。该安全信息和顾问公司相信这些扫描源来自德国的某拨号网络帐户,那很可能是该蠕虫病毒的作者在检查已经感染了病毒的服务器。按照“安全焦点”公司的说法,感染了“X.C.”蠕虫病毒的Unix系统,“很容易受到任何人的攻击”。
因为X.C.蠕虫病毒使用的Telnet进程只在基于BSD代码上的Unix上才能发挥作用,而此类系统数量比较有限,因此X.C.蠕虫病毒造成的危害并不很大。但在不久的将来,利用Unix系统的Telnet缓冲器溢出漏洞进行传播和攻击的新病毒将可能很快出现。FBI要求人们提高对Telnet安全漏洞的警惕性的做法是非常明智的,这将使人们了解到已经有人开始利用该漏洞进行破坏活动,使他们提高警惕,防患于未然。
| 
