【大纪元3月26日讯】 目前一种新型的病毒正在通过因特网迅速传播,可能造成严重的损失。该病毒攻击运行BIND DNS 的 Linux 计算机。
该病毒是本周四由一个名为GIAC的追踪黑客的组织最先发现的。GINC说,该病毒可能是中国黑客编写的。最近两天GIAC已经记录了病毒对该地区BIND服务器的49000次扫描。
病毒被命名为“狮子”(LION),该病毒与Ramen蠕虫类似,Ramen蠕虫是1月发现的病毒,可以感染运行Red Hat 6.2和7.0的计算机。但是GIAC警告说狮子病毒更加危险,必须严加防范。狮子病毒的一个特别危险的功能是可以把被感染的计算机的口令和配置文件用EMAIL发送给China.com的一个信箱。
这是狮子病毒比Ramen蠕虫危险的地方,黑客有了口令和配置文件,在对系统进行攻击的时候就无须使用安全漏洞,这使攻击更难防范。一般黑客程序如Ramen蠕虫是利用安全漏洞对系统展开攻击的,这实际上有助于修补漏洞,因为它在攻击的同时,也暴露了安全漏洞,使网管可以及时修补系统。但是狮子病毒获得权限后,黑客就能够发现现有的安全漏洞甚至打开更多的漏洞。因此如果服务器感染了狮子病毒,网络管理员不会察觉到自己的系统不安全。这就使黑客有更多的时间盗取数据和实施破坏,如格式化硬盘。
狮子病毒可能感染BIND 8.2、8.2-P1、8.2.1、8.2.2-Px和所有的8.2.3 beta版本,该病毒利用了计算机紧急反应协调中心(CERT)公布的TSIG漏洞。
狮子病毒通过名为“randb”的程序传播,randb扫描B类网的TCP 53端口,一旦发现有TSIG漏洞的计算机,就把服务器端安装到计算机上。该计算机被控制后,狮子病毒会利用该计算机扫描寻找因特网上更多的计算机并传播。
专家已经编写了探测狮子病毒的程序“寻狮”(Lionfind),可以在www.sans.org/y2k/lionfind-0.1.tar.gz下载。“寻狮”目前还不能杀死狮子病毒。
现在感染狮子病毒的计算机要比感染Ramen蠕虫的计算机少,这是因为具备域名服务器的系统较少,但是狮子病毒带来的损失很大。
相关文章
