【大紀元3月26日訊】 目前一种新型的病毒正在通過因特网迅速傳播,可能造成嚴重的損失。該病毒攻擊運行BIND DNS 的 Linux 計算机。
該病毒是本周四由一個名為GIAC的追蹤黑客的組織最先發現的。GINC說,該病毒可能是中國黑客編寫的。最近兩天GIAC已經記錄了病毒對該地區BIND服務器的49000次掃描。
病毒被命名為“獅子”(LION),該病毒与Ramen蠕虫類似,Ramen蠕虫是1月發現的病毒,可以感染運行Red Hat 6.2和7.0的計算机。但是GIAC警告說獅子病毒更加危險,必須嚴加防范。獅子病毒的一個特別危險的功能是可以把被感染的計算机的口令和配置文件用EMAIL發送給China.com的一個信箱。
這是獅子病毒比Ramen蠕虫危險的地方,黑客有了口令和配置文件,在對系統進行攻擊的時候就無須使用安全漏洞,這使攻擊更難防范。一般黑客程序如Ramen蠕虫是利用安全漏洞對系統展開攻擊的,這實際上有助于修補漏洞,因為它在攻擊的同時,也暴露了安全漏洞,使网管可以及時修補系統。但是獅子病毒獲得權限后,黑客就能夠發現現有的安全漏洞甚至打開更多的漏洞。因此如果服務器感染了獅子病毒,网絡管理員不會察覺到自己的系統不安全。這就使黑客有更多的時間盜取數据和實施破坏,如格式化硬盤。
獅子病毒可能感染BIND 8.2、8.2-P1、8.2.1、8.2.2-Px和所有的8.2.3 beta版本,該病毒利用了計算机緊急反應協調中心(CERT)公布的TSIG漏洞。
獅子病毒通過名為“randb”的程序傳播,randb掃描B類网的TCP 53端口,一旦發現有TSIG漏洞的計算机,就把服務器端安裝到計算机上。該計算机被控制后,獅子病毒會利用該計算机掃描尋找因特网上更多的計算机并傳播。
專家已經編寫了探測獅子病毒的程序“尋獅”(Lionfind),可以在www.sans.org/y2k/lionfind-0.1.tar.gz下載。“尋獅”目前還不能殺死獅子病毒。
現在感染獅子病毒的計算机要比感染Ramen蠕虫的計算机少,這是因為具備域名服務器的系統較少,但是獅子病毒帶來的損失很大。
相關文章