2002年2月病毒观察

virusview.net

新春将临，云淡风清，在闹腾了整整1年的蠕虫后，国内用户感觉仿佛世界一下清静，其实我们的世界并不安宁。myparty蠕虫从俄罗斯发源，据说在国外大规模传播，但在中国大陆还传播不广，关键在于经过1年的折腾，国内用户已经触变不惊。

不过2月确实相对安宁。

俗话说，防患于未然，这个时候想和大家聊一聊反病毒产品的升级，随着网络成为病毒的主要传播载体，病毒的传播速度大大加快了，过去一个新病毒随着磁盘的传递，几个月时间才能从国外留传到国内，但现在病毒的地缘性已经越来越小了，一些蠕虫病毒更是朝发夕至，几天内留遍全球。

因此很多人把网络的发展看成了安全的敌人，事实上，它同样是安全的朋友，病毒传播很快，但反病毒软件更新的手段则也变得更加方便，更加快捷。大家还记得当年拿着磁盘去联邦copy反病毒升级盘的情景么？恐怕以后再也不需要了。

反病毒软件的升级，也走过了几个发展阶段，而且和反病毒软件结构的进步有关。最初反病毒软件没有明确把引擎和库划分开，所以，一升级就是全部覆盖。之后用户可以单独更新数据定义文件，但随着病毒越来越多，数据定义文件也越来越大，于是就有了增量添加的技术。比如用户在线更新AVP，多半只更新DAILY.avc过去虽然多数国外软件都内置了升级接口，可以直接在软件内部update，包括设置自动升级。但由于国内网络速度慢，而这些升级接口又普遍不支持断点续传，因此很少被利用。用户习惯是用download工具下载安装版的升级文件。但现在国内用户应该可以不需要这样小心翼翼，特别是那些ADSL用户，把自己的反病毒软件设置成，每天定点自动升级一次，又不影响网络，何乐而不为呢。

另外一点想提醒那些宽带用户的是，希望大家好好利用微软提供的windows update功能，这个功能，在IE/工具/WINDOWS UPDATE，这个功能真是非常体贴，免去了你到微软漫天搜补丁的辛苦。特别是安全更新，对用户确实有很大必要。及时安装安全补丁，是防御那些利用漏洞传播的蠕虫的关键。

上月，本站顾问为PCD撰写了一篇专稿，题为《后英雄时代的AVER与VXER》在文中，作者对造毒者和攻击者的技术合流对公众提出了警告，这个趋势再次被一个新病毒验证，一个感染FLASH文件的病毒，就此诞生，与以往病毒不同的是，这是一个触发式的“被动病毒”，长度为926个字节，这种新病毒利用了某个Flash播放器漏洞，当播放器播放一个受感染的文件时，就会产生错误，释放出一个926个字节的v.com，并感染目录下其他flash文件。显然，这是接见了类似buffer overflow的手法，事实上，通过对各种播放器和编辑器的深入分析，都可能找到类似的漏洞。

安全编程的思想不仅对安全软件是重要的，对工具软件同样如此。特别是主流的工具软件，未来很可能被造毒者不断进行新的试探。

在文中，作者还指出当今流行病毒多半是依靠了所谓社交工程的手法，果不其然，I-worm.myparty也用了类似的手法，而且有所“创新”，他把附件命名为www.myparty.yahoo.com，伪装成了一个网址，诱骗用户点击，事实上，.com为扩的文件是可以被直接执行的，而且在微软win32平台下，没有dos下严格的文件名限制，一个pe可执行程序，无论扩展名，为.bat、.exe、.com、.pif、.lnk等都可以直接运行。

I-worm.myparty此招一出，顿时有人效仿，马上蹦出了一个附件名为http.www.sex.com的病毒。可能网民中的SOSEX一族又要吃些苦头了。

因此，virusviw.net在此还要提醒用户，打开附件，一定要提高警惕，不要掉进社交工程的陷阱。