亲历遭受全球“电脑虫”袭击(黄安年记事本2003.8.12-8.13)
黄安年文黄年的博客/2025年3月27日发布(第36202)
【个人所藏资料-个人日记GRSZZL-GRRJ654】
2003年8月12日(纽约时间),星期二(农历七月十五),阴云,Somers 地区F64°—F85°(19C—30C);来美后第74天,
上午9点20左右在登陆建网站后,上传美国问题评论栏目后发现栏目中出现非法栏目的符号,又大量美国问题栏目的标题全部变成了乱码而不能删除,我检查了全部美国问题评论栏目中的文件,名字几乎全改了,不久机器被关。我重新启动试图启动解决这个问题,但是无效。电脑显示说明Windows系统出现三个错误,需要及时向IBM报告。于是我问Y,Y有事,我问Z,Z看后说问题不大,这点小事不用报告了,并说是否你平时没有按照规定程序关机,你只要关机重新启动就可以,但是按照他的意见,我发现依然被关机。而且我平时并无不按照程序关机的问题。当时我怀疑是否电脑遭受病毒袭击,但是又觉得昨天(11日)中午12点刚刚查过病毒不至于产生问题。
因为问题仍然没有解决,我再次问Y , Y来检查发现我的电脑里有病毒,而且这中种病毒正是IBM内部E-MAIL通报预防的Blaster,这种病毒专门攻击系统文件,造成瘫痪,十分凶险,究竟什么原因,感染了这样的病毒病毒还是是不清楚,但是从我的回忆中可以判断是从网上下载的网页中感染的,因为正是我在建网站上传文件是出现问题的;我最近并未打开任何不明电子邮件,又是8月11日12点刚刚清理过病毒。为了解决这个问题,Y和Z联系研究方案,这我的电脑上难以完成,因为不断的死机,只有用没有被感染的Y的电脑周到解毒软件下载后转到我的电脑中,一步步解决。这件工作,上午一直到1点,晚上由21-24:30,算是告一段落。中午看到凤凰卫士报道消息,这被次袭击是全球性的,许多计算机和服务器都未能幸免。晚上在检查时发线从11日下午三点起起已经遭到攻击,但是我并未能够发现并及时采取措施,这是引以为戒的。
2003年8月13日(纽约时间),星期三(农历七月十六),晴,Somers 地区F64°—F85°(19C—30C);来美后第75天,
白天Y还在研究和解决我的电脑受“疾风”病毒感染问题,中午问题已经基本解决,将病毒删除,但是E—MAIL警告依然没有解决,不过电脑可以不受干扰地使用。这样关闭一天半的电脑已经基本解决。
今天《世界日报》比较详细地报道了在头版要目条报道:《“疾风”电脑虫横扫全球,钻微软视窗漏洞,今达做高峰》:[本报系编译冯克芸综合12日电讯报导]一只钻微软视窗软体安全漏洞的网路电脑虫11日起在欧美及亚洲各地出现,至少已造成十多万电脑系统感染或当机。电脑安全专家说,这波灾情尚未严重影响网路交通,但随着疫情扩散,已形成威胁。预期13日上午,达到扩散高峰。这只名叫“疾风”(MS Blaster、Blaster)、LoveSan或LovSan的电脑虫,利用微软视窗2000及视窗XP中,由远端程序呼叫(Remote Procedure Call)提供让电脑在工作中共享档案的分散式元件物件服务(Distributed Component Object Service)的漏洞,发动攻击。
美国网络安全教育和研究机构SANS Institute网路风暴中心科技主管乌尔里希说,这只电脑虫一旦侵入某台电脑,该程式就会从另一台先前已感染的机器下载程式码,让电脑自动繁殖传播病毒;接着它会扫描网路,寻找其他防护不佳的电脑发动攻击。
乌尔里希说,某些案例中,这只迅速传播开来的电脑虫仅让受害者的电脑当机,并未使其遭受感染。受到影响的只有使用这两三年来微软电脑软体的电脑,其他非微软架购的不受影响。
此外,这只电脑虫会叫受害电脑在8月16日针对微软公司供客户下载修补程式的网站windowupdate.com发动攻击。微软是在7月16日公布视窗作业系统软体的修补程式。
安全服务研究公司TruSecure的库珀说:“从它占用大量频宽的角度来看,这只电脑虫很危机。每台受波及的电脑都继续发动攻击。”
SANS表示,这只病毒的程式码中还附带一句对微软老板盖茨的警告‘“盖茨你为何让此事发生?别捞钱了,把你的软体修好!”这次遭到电脑虫的侵害的电脑,不会造成永久性的伤害,也不会删除档案,只是会不时当机。
这只电脑虫之所以别称LoveSan或LovSan,是因为它会在肆虐后的电脑上留下一句话:“珊,我只想说我爱你。”(I just want to say LOVE YOU SAN)
美国研究人员是在11日下午3时发现这只电脑虫,目前在各大学、企业及家庭已有数以万计的电脑中毒。马里兰州汽车管理局电脑系统因此当机。(相关报导见A3)
(《世界日报》2003年8月13日A1)
(《世界日报》2003年8月13日A3报导《“疾风”来势凶猛,名列第五, 扩散广泛,全球普遍灾情,初步估计至少12.4万台电脑受影响》,[本报综合报道]这次类似病毒的“疾风”电脑虫自11日下午起发作,迅速传播开来,世界各地都传出电脑系统受损程度不一的灾情。
在台湾地区的交通大学已传出至少有六千多台电脑感染,损失还在统计中,主要是因为许多使用者还没有来得及进行保护。
台湾地区清华大学的网路安全防治系统奏效,让电脑灾情降到最低。中华电信数据分公司在11日下午召开紧急会议应变,协助电脑用户多记解决问题。
另据中新网12日报导,中国公安部公共信息网络安全检察局也在11日发出警讯,提供微软公司所提供的软体网站,让用户进行补救。
电脑虫“疾风”也横扫欧洲许多商业、英国Sophos PLC公司资深科技顾问库雷说,该公司开始从澳洲、再从欧洲获得感染的报告。
瑞典的网路服务公司Telia Sonera表示,该公司处理网路流量的40台伺服器中毒后,造成跃二万名客户被电脑虫感染。
Telia Sonera公司的服务于12日上午恢复。
丹麦官方的病毒监督机关DK CERT 首长安德森说,丹麦最初的灾情报导有限,但“灾情正升高,我们接获更多的中毒报告。”
德国被电脑虫疾风攻击的公司,包括BMW汽车厂在内。该车厂发言人范内克说,电脑虫的问题并未影响到生产线。
美国宾州的卡内基美隆大学的电脑安全反应小组专家林德纳说,疾风电脑虫已扩散,许多宽频上网使用者和家庭用户遭到损害。
据马里兰州的电脑安全训练公司SANS Institute初步调查,全球受疾风电脑虫影响的电脑至少有12万4000台,疾风已成为扩散颇为广泛的电脑虫。
SANS Institute的网路安全监督首席技术员乌瑞奇说,疾风电脑虫的影响虽未达2001年7月“红色代号”(Red Code)的规模,但它已名列有史以来最凶猛的五大电脑病毒。
全球各地的电脑反毒专家专家公司,11日晚忙着发布新病毒的警讯和因应之道。这些警告在12日上午时似乎发挥了一些影响。
修补漏洞 微软提供除毒程式(《世界日报》2003年8月13日A3)
[本报综合报导]专家指出这次电脑虫攻击主要是针对装有“微软”视窗系统的电脑。这是因为这套系统有弱点,被这种新型骇客电脑虫(WORM-MSBLASR.A)透过视窗(Windows)系统漏洞,猛烈攻击。16日还会有一次相关病毒攻击,现在还可做预防。
根据电脑专家指出,这次攻击已有所预警,一般大型公司可能多事先做了防范,但一般中小型公司及家庭个人用户可能最易受到伤害。如果用户现在能打开使用,则表示尚未中毒或是中毒后尚未爆发,这时要马上使用微软提供的程式进行侦测,如果发现中毒,则可马上进行移除。移除之后,就要再马上使用微软在网上提供的程式软体进行修补漏洞,以确保“疾风”再也不能攻击。
凡是装有下列微软软件的电脑都有可能遭到攻击:Microsoft Windows NT4.0, NT4.0 Terminal Services Edition, Microsoft Windows 2000, Microsoft Windows XP;及Microsoft Windows Server 2003.
根据在台北地区的“趋势科技”(www.trendmicro.com.tw)表示,受到攻击的电脑会造成电脑无法正常作业或当机停摆及网路臃塞,同时病毒再透过69与444连结埠去攻击感染更多的电脑。此外,此病毒有特定的攻击时间,在1-8月的16日至31日,以及9-12月每日都会针对Windows Update Server发动攻击。当这只病毒透过网路四处流窜时,不但会攻击其他更多的电脑,也会大量消耗网路资源,降低效能,对企业电脑用户会造成极大的影响。
解决方法:
1,下载趋势科技最新清除程式TSC(Trend Micro System Cleaner)以便清除此病毒。http://www.trendmicor.com/ftp/products/tsc.zip。
2, 至微软网站下载更新Security Patch才能有效根除,(Microsoft Security Bulletin MS03-026) http://www.microsoft.com/technhtrity/bulletin/MS03-026.asp。
相关资讯还可到CERT, Computer Associates, Internet-Security System, Symantec Corp. 等网站参考。
2003年8月14日(纽约时间),星期四(农历七月十七),晴,Somers 地区F69°—F85°(21C—32C);来美后第76天,
上午开始电脑操作,7点开始自动检查病毒Filoes Scanned 55693; viruses found 0; Bapsed time 23.56mn
2003年8月15日(纽约时间),星期五(农历七月十八),晴,Somers 地区F69°—F88°(21C—33C);来美后第77天,
上午发现又有一个病毒,但是已经被隔离:Scan type: Scheduled Scan
Event: Virus found 1
Virus name: w32 klez.H.@mm
File: C:\windows\temp\qef153tmp Location: Quarantine
Computer: BNUHAN
User: annian
Action taken: Clean Failed: Quarantine Succeeded
Date found: Fri Aug 15 07:30,34 2003-8-15
今天扫描文件56757个,发现病毒1个W32.klez.H.@mm。下午Y帮助杀毒并下载了专门杀除这类病毒的软件。结果在56896个文件中没有发现一个病毒,也就是将这个病毒杀死了。(25:15分),但是备份文件不能删除,依然留下后患,此外MS的E——MAIL警告也未能删除。
转载本文请联系原作者获取授权,同时请注明本文来自黄安年科学网博客。
链接地址:https://wap.sciencenet.cn/blog-415-1479533.html?mobile=1
收藏
