(http://www.epochtimes.com)
【大紀元8月9日訊】 一种名為Sircam的病毒正悄悄在肆虐、感染電腦,并傳送出可能具有高敏感度的檔案。該報道,美國聯邦調查局(FBI)全國基礎設施保護中心的一台電腦上月底感染此种病毒,并以電子郵件方式傳送出FBI部分的私人文件。
多數防毒軟件商都把Sircam列為高度危險病毒。据防毒軟件公司Central Command稱,此病毒7月份名列前茅,當月電腦病毒感染案例中有超過38%由它引起。公眾對Sircam的注意不多,与“代號紅色”不同,但Sircam病毒的危害卻可能更為嚴重。Sircam病毒主要的危害在于重要信息甚至机密文件的泄漏,且它所傳播的郵件地址和主題具有極大的隨机性,使用戶很難判斷所收郵件是否帶有病毒。此外,Sircam能夠刪除C盤所有文件及其目錄;同時,每次机器啟動時,病毒還將自動在硬盤中寫入垃圾文件,直至吞噬硬盤所有可用空間。Sircam病毒比專家預期的更難以對付且存活時間更長,部分原因是該病毒在傳播過程中會不斷改變。
現在,各個防病毒軟件公司已經推出的各种防護和殺除Sircam的病毒升級包,而且,网絡上也列出了手工查殺Sircam的有效方法,可以有效地防止個人用戶的机器受Sircam病毒的危害。但是由于Sircam病毒本身具有很強的隱藏性,許多個人用戶在感染的Sircam病毒以后還是渾然不覺,而由于Sircam傳播的廣泛性,還是有相當大量的個人用戶受到了Sircam病毒的危害,不斷地向外部發出帶有本机硬盤文件的郵件,而在整個發送過程中,用戶是毫不知情的。因此,為了有效地防止Sircam病毒發作所帶來的巨大危害,除了在個人用戶中發布各种查殺手段和軟件外,還需要掐斷Sircam的傳播途徑,Sircam的危害和傳播主要是通過電子郵件來實現的,因此,在郵件服務器上過濾Sircam病毒,便成了掐斷傳播途徑的最有效的方法。
Sircam病毒所發出的電子郵件具有很典型的表現形式,郵件正文是如下的一段英文或西班牙文,中間內容有可能出入,但首尾兩句不變。
英文:Hi! How are you?
I send you this file insgroupsto have your advice(中間一句有可能不是這樣的)
See you later. Thanks
西班牙文:Hola como estas ?
(中間內容有可能是多种情況,首尾不變)
最后一行:Nos vemos pronto, gracias.
Sircam發出的電子郵件具有如此明顯的表現特征,客觀上也為郵件服務器進行有效的過濾提供了解決思路。只要我們在郵件服務器上把含有這些內容特征的郵件過濾掉,Sircam病毒就會失去傳播的媒體介質。
如何在郵件服務器上過濾掉這些含有內容特征的郵件呢?
下面,我們以運行在Linux下的Qmail郵件服務器為例,來具體說明如何在郵件服務器上對Sircam所發出的電子郵件進行過濾。
一、要把郵件過濾程序qmfilt的各個文件取回來,具體地址如下:
cvs.sourceforge.net/cgi-bin/viewcvs.cgi/qmfilt/qmfilt/qmfilt.py(這是郵件過濾主程序)
cvs.sourceforge.net/cgi-bin/viewcvs.cgi/qmfilt/qmfilt/qmfilt?rev=1.3&content-type=text/vnd.viewcvs-markup(這是郵件過濾程序的配置文件)
二、在安裝qmfilt之前,需要先對Qmail的Qmail-queue打個補丁,具體的補丁源程序在地址http://www.qmail.org/qmailqueue-patch下載
三、補丁打好后,就可以開始安裝Qmfilt,先把主程序qmfilt.py拷貝到系統的/var/qmail/bin里,同時把配置文件qmfilt拷貝到/var/qmail/control里,建立一個文件/var/log/qmfilt,來記錄郵件過濾的日志,把這個文件改成是屬于qmaild的,讓qmaild可以有寫入數据的權限。一切准備好以后,可以以測試模式運行一下Qmfilt,“./qmfilt.qy–test”,如果一切正常,就可以開始做配置文件的設置。
四、接下來我們需要設置郵件服務器的過濾程序,我們通過修改/etc/tcp.stmp使郵件服務器啟動mfilt.py來對郵件進行檢查及過濾,具體步驟如下:
修改/etc/tcp.stmp成一下的樣子:127.:allow,RELAYCLIENT=””,QMAILQUEUE=”bin/qmfilt.py”:allow,QMAILQUEUE=”bin/qmfilt.py”然后重新生成cdb庫:/usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp這樣,當有郵件到達郵件服務器的時候,郵件服務器就會啟動qmfilt.py來對郵件進行檢查及過濾。
五、這里我們開始要設置qmfilt過濾程序,需要把要過濾的字符串加入到qmfilt的過濾配置文件中。根据Sircam病毒的特點,我們必須配置好配置文件qmfilt,根据Sircam郵件的表現形式,可以把qmfilt配置成以下形式:
SirCam %%^Hi!How are you%%
SirCam2 %%^I send you this file in order%%
六、重新啟動郵件服務器使剛才我們所進行的過濾設置生效,重啟后查看Qmail的服務進程,如果可以看到以下信息,就表明Qmfilt過濾程度已經正常運作了:`-tcpserver-+-4*[qmail-smtpd]
-3*[qmail-smtpd—qmfilt.py]
七、你可以通過查看log文件/var/log/qmfilt,可以看到,滿足條件的Sircam郵件都已經被郵件服務器過濾掉了:Thu Aug 9 00:28:53 2001 – Matched [SirCam2 ]
Thu Aug 9 00:28:53 2001 – storeInTrap Skiped.
Thu Aug 9 00:28:59 2001 – Matched [SirCam2 ]
Thu Aug 9 00:28:59 2001 – storeInTrap Skiped.
Thu Aug 9 00:29:02 2001 – Matched [SirCam2 ]
Thu Aug 9 00:29:02 2001 – storeInTrap Skiped.
Thu Aug 9 00:29:07 2001 – Matched [SirCam2 ]
Thu Aug 9 00:29:07 2001 – storeInTrap Skiped.
Thu Aug 9 00:29:42 2001 – Matched [SirCam2 ]
Thu Aug 9 00:29:42 2001 – storeInTrap Skiped.
在其他的郵件服務器,也可以采用相類似的辦法,對Sircam郵件進行過濾,只要能有效的把Sircam郵件的傳播途徑消滅掉,再結合對個人電腦進行有效的查殺,很容易就能把Sircam帶來的危害減到最低程度,并可以逐漸消滅掉Sircam病毒。
不光對于Sircam郵件病毒,對所有和Sircam郵件病毒相似的,通過郵件傳遞并且郵件正文帶有明顯字符特征的其它郵件病毒,都可以采取類似方法加以阻止。
(天网安全實驗室)(http://www.dajiyuan.com)
相關文章
