8月警报：到底谁制造了冲击波病毒

（文 / 尚进）

8月12日早上，大多数人正准备查看电子邮件的时候，屏幕上突然跳出一个1分钟倒计时的窗口，倒计时结束的同时计算机将自动关机。只要是使用Win-dows2000以上版本操作系统，且拨号上网的计算机，即便是装有防火墙和杀毒软件，也大都没能逃脱被病毒袭击的厄运。实际上大约在12小时以前，美国互联网已经遭受了这个病毒的洗礼。

“这只被病毒作者命名为MSBlast的蠕虫病毒传播速度很快。”网际网络风暴中心(ISC)技术官约翰尼斯针对这场突发事件率先做出反映。国际最大的反病毒软件厂商赛门铁克检测显示第一时间就有7000多台计算机被感染。来自《金融时报》的统计显示，病毒发作当天就感染了超过12万台计算机。国内至少超过2300个公司局域网、数百家网吧悉数瘫痪，ADSL等直接拨号上网用户，不得不直接面对来自中文被命名为冲击波病毒的威胁。很多人在出现中毒症状时也没有意识到自己中毒了，更多的人误以为是操作系统出了不稳定问题，因为Windows系统出现一些操作上的小问题是经常的事情。

赛门铁克资深总监阿尔弗雷德在技术分析后表示：“要不是病毒作者程序写得太差，它的攻击威力会更大，稍有不慎就很有可能变成类似去年‘红色警戒’病毒那样的全球危机。”有趣的是在蠕虫病毒的代码原文中，病毒制造者还给微软留了条口信，“Billy Gates why do you make this possible？ Stop making money and fix your soft ware”。翻译成中文就会发现其中充满了对微软的讽刺，“比尔·盖茨，你为什么要暴露这样的漏洞？别光顾着挣钱了，好好修正你的软件吧”。

之所以病毒制造者会如此肆无忌惮地留言，还在于冲击波病毒是利用微软Windows操作系统的漏洞来进行攻击的。微软长久以来一直靠打补丁的方式为操作系统进行技术维护，尤其体现在Windows XP等自动下载补丁的版本。微软曾经在7月16日公布了一个名为RPC接口中的缓冲区溢出的漏洞补丁，但大多数用户并没有频繁打补丁的习惯。该漏洞存在于RPC中处理

通过TCP/IP的消息交换部分，攻击者通过TCP 135端口，向远程计算机发送特殊形式请求，允许攻击者在目标机器上获得完全的权限，并且可以执行任意代码。国内的著名安全焦点网曾经在7月25日发布了一套针对此漏洞的侵入程序，NEWS.COM特别以中国黑客为题进行过报道，此后又有黑客对此漏洞侵入程序进行改进。8月3日，另一名黑客则公布了攻击程序代码，冲击波病毒的病毒制造者就抓住这一机会，首先制作出了利用此漏洞的蠕虫病毒。

正因为冲击波病毒发作是利用微软操作系统漏洞，所以包括诺顿、熊猫在内的国际杀毒软件大厂都不能彻底限制病毒作祟。国内杀毒软件品牌瑞星市场总监马刚针对利用微软程序漏洞问题分析说：“黑客攻击往往是主动的，只能攻击有限目标，而病毒则在整个网络流窜，这玩意就像杀人犯和恶性传染病的区别那样，杀人犯能杀几个人，而瘟疫就不一样了。”号称拥有最强网络宽带的韩国，面对冲击波病毒甚至采取强制措施，政府有关部分统一组织修补漏洞，同时在主干网络上关闭任何可能成为RPC漏洞的计算机端口。即便如临大敌般的重视，冲击波病毒还是在8月14日出现了Worm.Blaster.B和Worm.Blaster.C两个病毒变种。赛门铁克资深总监阿尔弗雷德认为：“利用这个漏洞的病毒很有可能被修改卷土重来，即使躲过今天，也躲不过本周。”实际上冲击波病毒代码中已经设定要在8月16日统一向微软补丁下载服务器发起人海战术类的攻击。

目前在程序员中更多在探讨，到底是谁制造了冲击波病毒，微软长久以来补丁修正模式被视为提供制造病毒机会的元凶。NetScrenn经理布赖恩·伯恩斯认为：“许多公司都知道有软件漏洞，也知道应该进行修正，但却不一定有时间这么做。”佛罗里达州立大学网络安全工程师乔丹维文抱怨说：“目前微软提供的修正安全漏洞的方式太过耗费时间，如果为校园数百台计算机安装补丁程序，可能还没来得及安装10台计算机，剩下的90台都已经被病毒占领了。”甚至软件圈开始质疑微软过早公布漏洞的动机，程序员张欣欣告诉记者：“如果在公布漏洞几周前就发布补丁，也许能给更多的人以时间安装补丁，但是这次冲击波病毒似乎跟微软演了次双簧，公布漏洞与病毒来袭中间的时间差，成为我们措手不及的根本原因。”