趋势科技特别提醒--亡羊补牢，越快越好
新漏洞被攻击所用时间大幅缩短，威胁日益明显

　　网络安全软件和服务领域的全球领导者----趋势科技（纳斯达克代码：TMIC；东京证交所代码：4704）半月前同时发布了贼头变种病毒「WORM_ZOTOB.D和暴徒病毒「WORM_RBOT.CBQ」两个中度风险警报。这两个病毒在微软的即插即用服务漏洞公布5天后就迅速开始对漏洞进行攻击，给很多企业打了个措手不及。

　　趋势科技(中国)有限公司高级技术顾问齐军认为，两周前的ZOTOB攻击并不完全出人意料，而是恶意程序编写者中一种增长性趋势的集中体现。就信息的普及以及张贴于公共互联网网站上恶意代码的公开可获得性而言，趋势科技的研究人员很久以来就已经注意到从发现新漏洞到对其加以利用之间的时间差在逐渐缩小。

　　趋势科技这两年来一直都在提醒企业和政府的安全官员要注意这个不断缩小的时间差。“2000-2001年期间，MS00-078公布后11个月，可以有效利用该漏洞的尼姆达(NIMDA)才被编写出来，”齐军说道：“到2002年，时间间隔被缩短了一半，从MS02-039的公布到速客一号(SQ SLAMMER)的成功出击只用了185天；仅仅6个月之后，冲击波(BLAST)就在不到1个月的时间里被利用；而去年，我们看到震荡波(SASSER)的出现仅用了17天。”

　　前不就的ZOTOB爆发印证了趋势科技的分析，而且为漏洞利用过程创建了一个令人难以置信的记录——从漏洞发现到成功利用仅用了5天的时间。

图1：漏洞公布和利用之间的时间差记录

资料来源：趋势科技

从漏洞公布到被攻击的简单三步：

　　那么我们如何理解漏洞攻击在漏洞公开宣布之后几天之内即可成功的原因呢？在齐军看来，只需三步即可：

　　1.“微软安全公告”发布，提醒用户IE浏览器存在漏洞，从而使得漏洞利用以处理特定任务或对象的方式开始工作。

　　2.恶意程序编写者利用公告中的详细信息编写可利用最新公布漏洞的代码。

　　3.如利用显示肯定的测试结果，编写者就能够把该代码和已被证明行之有效的、源于可公开获得恶件的已有代码功能相结合。由此创建全新的恶件，对于娴熟的编写者来说，这仅需很少的工作量即可完成。

　　为此类漏洞攻击将会变得更为普及。

　　“厂商承认漏洞所在，并按照固有的程序来提供用以修复安全漏洞的补丁，这是好事，我们对所有让这个世界变得更安全的努力表示赞赏，”齐军说道：“但是，尽管公告对普通大众来说是好事，但其负面影响就是同时也让编写者知道了漏洞。由于安全公告列出了有关漏洞的详细信息，因此有经验的编写者很容易迅速对那些本来意在保护用户的信息加以利用，获得正好相反的结果。”

“僵尸网络”的复苏

　　除了如上所述编写新型恶意程序的简单性之外，星期二的警告在很大程度上也是因为蠕虫可在用户毫不知晓的情况下通过僵尸计算机进行传播。这些网络就是所谓的“僵尸网络”。

　　 “星期二我们发现了四种不同恶意程序的六个变种，它们都利用了相同的利用代码”，齐军说道：“它们都具备了同样的核心功能，但又增加了如群发邮件等新的核心功能，从而导致了某些变种在全球更大范围内的传播。”

　　趋势科技安全专家还补充说，恶意程序编写者经常利用这种技术。编写原始的利用代码并将其公布在公共互联网网站上，然后其他编写者增加其他诸如更高级的创建和传播技术等功能来使恶意程序变得更普及、更先进。

了解如何使自己避免上述以及其他类型的威胁

　　趋势科技安全专家警告说，基于漏洞的攻击可能会更多——而最终用户的警觉仍然是最好的防卫武器，其中包括和最新的微软补丁保持同步、安装目前的防病毒方案以及充分利用判断等方法。

　　以下是针对两大漏洞（MS05-038和MS05-039）的较为具体的建议：

　　尽管有很多方法可以诱使用户访问网站，研究人员认为最普通的方法就是电子邮件，还有就是一些已被证明行之有效的社会工程学。

　　为避免受到此类威胁的攻击，趋势科技的安全专家给出如下建议：

　　1.确保系统采用了最新的微软更新补丁。

　　2.改善浏览器的安全设置。设置越高，攻击者的成功可能性就越小——如果攻击者确实能够进入的话。

　　3.访问互联网时限制用户权限。通过使用这些漏洞，恶意用户一般都能够在拥有与合法用户相同权限的情况下进行工作。因此，如果合法用户只使用标准用户权限登录的话，恶意用户也只能获得相同的权限。相反，如果用户使用管理员权限登录，那么恶意用户可能会完全控制用户的系统。

　　4.改变电子邮件参数：
　　 a.预览信息时不支持自动下载
　　 b.拒绝把图片和其他互联网内容（包括HTML）自动下载到计算机上

　　5.养成安全的电子邮件使用习惯，包括避免点击任何嵌入到电子邮件中的链接

　　6.避免打开源于未知来源的含有图片或其他文件的附件，如果附件比较奇怪，那么即使是熟人的地址也不要打开。若有疑问，在打开任何附件前先向发件人询问他们是否给你发送了什么资料。

　　*趋势科技网络病毒墙（NVW）能够阻止这种蠕虫在网络内传播并感染其他计算机。受NVW保护的网络可以确保在代码造成损失之前立即将其从网络层清除出去。

　　漏洞评估（VA）保护网络中所有未打补丁的计算机免受此漏洞造成的蠕虫攻击。因此可以立即通知系统管理员对这些计算机进行攻击保护，同时采取正确的措施来确保损失不会扩大到网络层面。