Bagle病毒作者釋出組合程式碼
CNET新聞專區:Munir Kotadia  06/07/2004




電腦安全專家指出,兩種新的Bagle變種病毒,外加原始病毒的組合程式碼,已於4日開始在網路上擴散,對全球網路安全構成威脅。

Bagle病毒的作者4日開始散佈兩個新變種和原始碼,微軟Windows使用者恐將面臨一個悲慘的夏天。






今年元月,Bagle病毒首度以郵件附加檔的型式出現,在短短幾個月內便衍生出25個以上的變種。中毒的電腦會下載一個特洛伊木馬程式,使得受害者電腦成了受控制的「殭屍PC」,可被用來散佈垃圾郵件和其他不良程式,以及發動分散式阻斷服務攻擊(DDoS)。

上週末出現的不只是兩種新版的Bagle病毒,和包括病毒的原始程式碼。

F-Secure的反病毒研究主任Mikko Hypponen說,他相信該原始碼是真的,但值得憂心的是,病毒完全由組合程式寫成,代表該名作者是「有底子」的程式設計師,不是只是初出茅廬的程式小子。Hypponen表示:「大多數的電子郵件蠕蟲都是用C,或一部分用C、另一部份用組合程式寫成。現在會寫組合程式的好手已經不多,因此作者一定是個貨真價實的程式設計師。」

Hypponen說,雖然組合程式語言較難掌握,修改原始碼並創造新的Bagle變種並不一定要專家才做得到,因此視窗的管理員今年夏天不會好過。他表示:「例如修改使用哪一個後門接口,或送出哪一種電子郵件這類事情都是輕而易舉的,我確定這將造成Bagle變種的新一波爆發 – 就像2月和3月的情況。」

電腦安全產業團體ISSA UK副主席Richard Starnes說,該原始碼是「危險的」,但他指出,其中可能含有幫助執法單位追蹤作者的線索。

Starnes表示,由於原始碼內含作者的評注(comments) – 這通常是用來幫助其他人瞭解程式中不同部分的作用 – 這能幫助當局減少嫌犯的名單。Starnes說:「如果你讓10個人撰寫某個程式,你會得到10種不同的程式。其中會有類似的地方,但運算方式會不一樣 – 例如他們命名變數的方式、使用語言的方式、評注說明的方式。這有點像程式設計師的指紋。」

不過,病毒作者釋出原始碼的另一個原因可能是想減輕不利於他或她的證據。F-Secure的Hypponen說,另一種理論是作者希望把原始碼盡量散佈到更多電腦中,萬一他被捕,就不會是唯一擁有原始碼的人。

作者決定釋出原始碼,可能是受到上週五(2日)美、英與澳洲政府宣布聯手打擊垃圾郵件散播者的影響。

今年元月,MyDoom的原始碼在微軟與SCO Group宣布共同提供50萬美元賞金追捕病毒作者後,不到幾天就在網路上散佈。Hypponen說:「這或許是同樣的手法,在週五(2日)之前,逮到Bagle作者的完美證據就是他電腦裡的原始碼,現在,已經不是如此。」(陳智文)

http://taiwan.cnet.com/news/software...0090646,00.htm