2004年1月26日,一隻被命名為「悲慘命運」MyDoom(W32/MyDoom@MM,又名為「諾瓦病蟲」 W32.Novarg.A@mm或Mimail.R)的電子郵件病毒開始蔓延,短短三天之內就已經在網路上發出超過一億封含有病毒的電子郵件,擴散速度已經超越了去年8月的疾風(Blaster)病毒。所幸病毒爆發時,臺灣適逢春節假期,主機及電腦多處於關機狀態,所以災情並不像歐美那樣慘重。
賽門鐵克技術顧問林育民表示:「雖然防毒軟體的安裝已經很普遍,但是使用者還是必須提高警覺,千萬別打開來路不明的郵件或檔案。更重要的是,一定要養成定期更新病毒碼的習慣,才能幫助電腦辨識出新型病毒並加以阻擋。而這次諾瓦病蟲的出現,也顯現出個人防火牆產品的重要性,防止駭客入侵電腦外,也讓病毒無法對外擴散。」
有效期限到2月12日為止的MyDoom病毒,將郵件主旨偽裝成「Hi」、「Hello」、「Mail Delivery System」、「Test」、「Mail Transaction Failed」、「Status」、「Server Report」、「 Error」等一般常見的信件內容來吸引網友開啟郵件附檔,同時將.exe、.bat、.pif、.cmd以及.scr等病毒檔案包裝成.zip壓縮檔,來躲避企業安全系統檢查。MyDoom還會自動複製病毒檔案到P2P軟體Kazaz的目錄當中,並將檔名改為Winamp 5、RootkitXP、Officecrack以及Nuke 2004等常被下載的程式檔名,誘使網友下載並感染病毒。
除此之外,用戶在開啟附件檔案之後,病毒會在受害者的電腦安裝一個後門(back door)的隱藏程式,自動開啟並監聽TCP通訊埠3127到3198的網路流量,讓駭客可以遠端遙控這臺電腦並竊取資料,同時將系統變成一個網路攻擊的轉接站(proxy server)。有趣的是,MyDoom似乎對學術機構手下留情,不會感染以.edu結尾的電子郵件地址,主要感染的是安裝微軟Windows作業系統的PC家用,Mac及Unix都不受到影響,而企業也因為安全防護機制較為完善,所以受害較淺。
隨後,MyDoom 在2月1日展開對SCO網站發動阻斷式服務(denial-of-service,DoS)攻擊,經由病毒作者的設計,讓已經中毒的電腦在2月1日到2月12日期間發送資料到SCO的網站伺服器上,造成網站流量暴增堵塞,SCO網站快速地被癱瘓,到頭來,SCO的公司網站才是原始MyDoom病毒(MyDoom.A)發動阻斷式攻擊的主要目標。變種病毒MyDoom.B在28日時出現,傳播速度變慢,除了繼續攻擊SCO還將攻擊目標轉向微軟的網站,這個變種病毒還會阻止用戶進入提供修補程式的防毒網站。
至於SCO為何會有如此飛來橫禍?主要是SCO宣稱開放原始碼作業系統Linux中有部分技術是使用SCO擁有的Unix關鍵程式的智財權,去年開始控告多家高科技公司侵權。一旦SCO勝訴,大部分Unix平臺的使用者,不是得支付高額的權利金,就是得吃上官司。2003年SCO的網站開始成為箭靶,曾經遭到阻斷式服務攻擊而多次斷線,由於都不是病毒所引起,當時SCO還指控這些攻擊是Linux陣營所為。
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31