「e趨勢」毒賣限時優惠專案信用卡訂閱單

e趨勢季刊

2002年度風雲病毒大曝光

文／陳清芳　趨勢科技中國區行銷部主筆

如同年初網路防毒及內容安全專家趨勢科技（Trend Micro）預測的，以 e-mail、特洛依木馬程式、檔案共用等為散播途徑的混合型病毒將會愈演愈烈。混合型病毒得以大行其道，跟網路聯機脫離不了關係，然而混種病毒超強生命力，卻讓許多專家跌破眼鏡。比如"毒"領風騷的Klez 求職信，不但持續 6 個月高居感染率第一，其毒性並沒有隨時間而轉淡，感染高峰期居然是在 5 個月後才出現--從 4 月病毒發病初期的2萬個案例到截稿為止（ 12月1日）的逾6萬個受害電腦。

"求職信"毒領風騷　

2002年 4 月求職信 Klez.G這一隻被譽為與思坎 Sircam、壞透了BadTrans 等劇毒不相上下的新病毒，為何可借著一而再、再而三的變種，暗中在企業區域網中挖地道、破壞網路安全呢？根據趨勢科技「TrendLabs 全球防病毒暨技術支援中心」表示，該病毒變種 Klez..H 高居「趨勢科技全球病毒監控中心」http://www.trendmicro.com.tw/corporate/security/wmap.html排行榜5-10月冠軍。求職信通過「資源分享」及「郵件預覽」兩個管道造成企業網路資源耗盡，已不是新鮮事。2001 年 9月Nimda 首創藉由網路芳鄰檔案分享及 e-mail 自動大量發送信件造成大規模感染;2001年11月 BadTrans- 壞透了，正是利用一般使用者習慣的「預覽郵件」功能，讓使用者即便滑動滑鼠，也難逃毒害。然而 4 月造成全球（尤其是亞洲）毒氣熏天的求職信變種 Klez.G，利用已知的病毒行徑，舊瓶裝新酒的改造變身，使得企業網管人員疲於奔命的於網路中消毒，可真如它的直接譯名「可累死（ Klez）了」。

熊熊蟲逼退求職信

Bugbear以新的感染手法，10月讓連續半年穩居毒王寶座的 Klez 求職信病毒退位。這只具有關閉防火牆與防毒軟體功能的病毒，對網路發動密集攻勢！熊熊蟲通過病毒本身的SMTP (Simple Mail Transfer Protocol) 引擎，大量發送病毒電子郵件；使用網路芳鄰的共用資料夾複製病毒程式;鑽 IE 漏洞，自動開啟e-mail 附件；更讓網路安全專家憂心的是，它有可能利用側錄軟體（Keylogger），竊取高度敏感資料。根據趨勢科技全球病毒即時監控中心（ Trend World Wide Virus Tracking Center）分析資料指出，創下歐洲、南美、紐澳、俄羅斯等地單日感染率第一的病毒。

如果發現自己果真被熊熊蟲咬了，千萬別急著找發信給你的人興師問罪，因為他們是無辜的。與 Klez 類似的是， Bugbear 也利用了"障眼法"，自中毒者的 e-mail通訊錄中，隨機找名單，冒充大量散發 e-mail 的始作俑者。於是這些被冒充者的系統的自動回信功能，會讓根本沒中毒的企業員工收到大量的 "中毒通知 "或是因為濫發已經失效的帳號，導致" undeliverable "的退件通知不斷湧入。這些烏龍資訊，不但讓網管人員白忙一場，還會使得真正中毒的電腦有充裕的時間，暗地裏感染更多的電腦。

另外，熊熊蟲不只是製造垃圾郵件阻塞交通而已，它不但可能經由網路共用資料夾，並兼有鍵盤側錄軟體（Keylogger）的特性，可竊取高度敏感資料，如密碼、帳號…等等，並將其傳送給指定電腦，另外，被感染的電腦還會遭其遠端控制。如果你上網進行電子交易，鍵入了你的信用卡帳號、密碼等，鍵盤測錄程式就會把他測錄下來，傳到某個TCP/IP埠，接下來就可以利用你的個人私密資料為所欲為了。

惡作劇信件，手法變身得逞

你用眼睛偵測病毒，還是用防毒軟體？你的檔案被刪除，一定是病毒搞得鬼嗎？說不定是你自己。這不是腦筋急轉彎之類的笑話，而是真實發生的案例，許多使用者因為一封幾可亂真的警告信，不但自己親手殺了系統重要檔案，而且還鼓勵他的親友一起動手。小心未經證實的病毒警報通知，讓您誤刪重要的程式。

惡作劇信件行之有年，通常假借某些知名企業發佈病毒資訊，唯恐天下不亂。不過，大多只是虛驚一場，不過 2002 年惡作劇信件，顯然有了新花招。

勿刪 sulfnbk.exe ，那是正常系統檔案
1月出現一封惡作劇電子郵件，大意是說，找找看電腦裏是否有sulfnbk.exe這個檔案，如果找到，請刪除，還要你趕緊通知通訊錄裏的朋友。如果你依計行事，你的親友們會因此而受害。由於該信聲稱防毒軟體掃不出來，使得許多已經裝了防毒軟體的使用者，含真誤解了防毒軟體的清白。因為，Sulfnbk.exe是微軟作業系統Windows98裏的系統程式，防毒軟體怎麼會將正常的系統程式，勿栽贓為病毒呢！
.誤刪sulfnbk.exe，別讓後門程式登堂入室
如果你不小心依照指示刪除了Sulfnbk.exe這個正常檔案，又發現自己上當了，別病急亂投醫，索取來路不明的Sulfnbk.exe。因為，有人趁火打劫故意將一個暗藏後門程式的Sulfnbk.exe "大方"地送給求助者，如果你沒裝防毒軟體，這時候你那被偷偷開了後門的電腦，就面臨更恐怖的危機了，因為駭客可以隨意進出你的電腦，甚至指使它攻擊別人。
「我親手殺了jdbgmgr.exe系統檔案？」又是惡作劇警告信惹的禍！
5月許多使用者收到一個病毒警告訊息，大意是指要使用者搜尋硬碟看是否有 jdbgmgr.exe 這個檔案, 如果有要立即將它刪除。而事實上該檔案是 Microsoft 內建的 Java 除錯程式，如果將其刪除將導致 Java 程式無法正常運作。這是繼 sulfnbk.exe 之後，另一個類似的惡作劇病毒警告。追究其大量散播的原因為：
1.使用者在半信半疑之際，開始搜尋硬碟，當果真發現該檔案時，不但親手將其刪除，還會在轉寄之前，加一段自己也中毒之類的文字，在無意間替這個信件的真實度"背書"了。
2. 這個檔案以泰迪熊為Icon，很多使用者根據使用經驗，直覺反應是：「太可愛了，果然是駭客放的。」

這封惡作劇信件不需要向其他變種病毒大費周章的修改病毒原始碼，只需要修改幾行文字，就可以讓使用者自己動手刪除檔案。而且經過設計的聳動文字，讓這些受害者，基於善意出發點，將警告信大量散播給周遭親友，卻無意間成了檔案劊子手。

混合型病毒特性：疫情持續發燒達半年以上　

2002年病毒呈現一個趨勢是，短期間造成猛爆型感染的病毒，雖然在發病初期即創下驚悚的感染資料，但後續的持續性有相當長。如發現日期超過一年的 Nimda ，在發病之初即創下逾11萬的電腦染毒，一年多來雖未曾突破這項感染資料，但其仍未在 1 0大病毒榜單之內除名。2002年第一季感染數位曾降至 1萬個以下，但其高峰期，則有近 9 萬個受害案例；2002年第二季曾降至 5000個以下的感染案例，但最高感染數位逾4萬件；第三季依然呈現分別在 7 月與 9 月達到 9 萬個感染案例；第四季截至截稿為止，也創下8 萬的高峰期。根據趨勢科技全球病毒即時監控中心（ Trend World Wide Virus Tracking Center）目前Nimda累計的感染數字為177413 個。

2002年重大病毒事件列表

一月

1. sulfnbk.exe惡作劇信件，系統檔案紛紛被誤刪
2. My Party提供的網址，沒有精彩圖片，只有後門程式
3. 主旨"Happy New Year"，附件 "CHRISTMAS.EXE"，了無新意，依然得逞

二月

1. 木馬程式也流行偷窺，你的鍵盤指法，駭客了若指掌
2. 免費軟體和病毒，盯緊縮減 IT 預算的企業

三月

1. 駭客冒用 eBay 帳戶，拍賣 Intel 晶片
2. 駭客跳板鎖定亞洲伺服器：韓國與中國各占 17 ％和 15％

四月

1. 年度風雲病毒"求職信"現身
2. "梅莉莎"作者入監，處 20 個月的監禁和 5000 美金罰款

五月

1. 「我親手殺了jdbgmgr.exe系統檔案？」又是惡作劇警告信惹的禍！
2. 首只攻擊 SQL 伺服器蠕蟲 SQLSPIDA.B現身
3. 點對點交換程式 Kazaa 遭下毒
4. " Edonkey Update"其實是病毒在搗蛋
5. Media Player 成為Script 病毒的新目標?

六月

1. 病毒「VBS_Chick.F小雞」也愛看世足賽
2. 微軟與GameSpy Arcade，相繼因感染 Nimda 向客戶致歉

七月

1. LIAC.A 紫丁香偽裝 AVI多媒體檔案綻放病毒
2. 趨勢科技首度推出 EPS企業安全保護戰略 EPS（Enterprise Protection Strategy），開創沒有病毒碼，也可主動防範的新紀元

八月

1. VBS_ROKOL.A 以" 我今天生病了 "苦肉計得逞，更改首頁、強迫關機
2. 「生活是美好的.pps」有病毒？又是惡作劇

九月

1. Slapper與Mighty蠕蟲嘗新口味， Linux 頻頻遭下毒
2. Opasoft 遠端更新惡性程式，秘密傳輸受害者資訊

十月

1. 熊熊蟲側錄鍵盤，叼走網路交易機密
2. MSN Messenger 遭WORM_RODOK.A染指
3. FRIENDGRT.A 電子賀卡下載同意書，竟成散播病毒同意書！

十一月

1. 老病毒變身反撲-「BRID.A」仿造求職信手法，夾帶「FunLove」直撲亞洲
2. 駭客以電腦安全做籌碼，反對美對伊開戰

[ Top ]