Friday, January 30

Downadup病毒之以逸待劳

这个新病毒又名Conficker,感染了几百万电脑。它利用了08年10月发现的一个微软漏洞,只要你执行了Microsoft Update就可以避免。问题是:许多电脑用户,特别是使用盗版的中国用户,都把自动更新关闭了。

这不是我想要说的重点。重点是:这个病毒感染电脑之后,会自动上网下载一个文件并执行。因此下一个版本的病毒很容易就被发布到已经感染的电脑中。
这个病毒不是第一个尝试这样做的病毒。但是以前这样做的病毒,被分析出来之后,它所访问的那个联结就被砍断了。因为文件总是在一个服务器上,FBI只要给这个服务器打个电话,就可以删掉这个文件。
这个Downadup病毒最奇特的就在这里:它每天所尝试连接的文件联结都不一样。今天连接abcde.com/a.exe ,明天联结dskfsdf.net/a.exe,后天联结skeialja.org/a.exe。它根据每天日期算出今天应该联哪个域名:大多数域名甚至还没有注册。
也就是说,病毒作者预测10天之后,那些病毒将会访问qwqqqq.com,那么她写好新病毒,在9天之后注册这个域名,把新病毒放上去;半天功夫,新病毒又传遍全世界了。

FBI不可能把所有的可能的域名都关闭,或者禁止注册。上面的描述里我简化了技术细节。其实,它每天会尝试访问250个域名。

最糟糕的是:Downadup的病毒作者可以这样做,其实,天底下所有的病毒作者都可以这样利用这个方式来发布自己的病毒,只要破解了它的域名生成算法...可参看病毒的生态环境。计算机病毒之间相互竞争、相互协作,世界真是越来越有趣了。

安全专家必须每天监视250个域名,而病毒作者只要任一天的其中一个就可以发布新病毒。所以这应该是三十六计之:以逸待劳。

Labels: