一种传染能力非常强、恶意利用微软于2001年3月30日公布的Internet Explorer(IE)5.X安全漏洞的电脑病毒有可能现身。独立行政法人日本工业技术综合研究所信息处理研究部门的主任研究员高木浩光验证了IE5.X存在安全性漏洞,并提出报告指出,可以用它制作出传染能力很强的病毒。
只须浏览电子邮件正文就会受到感染
多数以电子邮件为媒介进行传播的病毒,只要用户不执行带有病毒的邮件附件便不会受到感染。不过,如果恶意利用此次发现的安全漏洞的话,就有可能制作出只须阅读电子邮件正文就会受到感染的病毒。与此相关,日本信息处理振兴业务协会(IPA)安全中心反病毒对策室于2001年4月6日修订了“个人电脑用户反病毒措施7条”中,追加了安装WWW浏览器和电子邮件软件的安全漏洞补丁文件这一条款。
此次发现的安全漏洞是通过某种方式,使IE自动执行HTML电子邮件中附件的安全漏洞。当用户使用类似Outlook及Outlook Express这些利用IE功能显示HTML电子邮件的客户端电子邮件时便有可能出现问题。仅仅是访问WWW网站或者打开HTML电子邮件,就有可能执行其中包含的EXE文件以及脚本文件。要想修正该安全性漏洞,需要安装补丁文件或者使用Internet Explorer 5.01 Service Pack 2。
由于多数情况下该安全性漏洞主要做为IE的问题加以说明,因此如果不允许从公司内访问因特网WWW时,就能够避免发生问题。不过,即使在没有访问外部WWW时也有可能以病毒电子邮件的形式侵入从而造成感染。另外,当出现“恶意利用安全性漏洞的网站出现时,如果关闭该网站就可以阻止感染面扩大。不过,如果一旦流行通过电子邮件传播的病毒,那么受害者将会持续增加”(高木),因此与访问WWW网站的危险性相比,病毒电子邮件有可能造成更严重的损失。
自动执行EXE文件
高木在刚刚安装了Windows 98 2nd Edition的状态(Outlook Express版本5.00.2615.200)下进行验证的结果,Outlook Express通过安全漏洞自动执行了电子邮件中的附件。通过安装IE 5.01 Service Pack 1将Outlook Express的版本升级到5.50.4133.2300,结果仍然一样。
高木表示,“如果恶意利用该安全性漏洞的话,有可能制作出能够以前所未有的速度扩散的病毒。而且制作起来非常容易”。从2000年到2001年期间,VBS/LOVELETTER、W32/Hybris以及W32/MTX等曾经横行一时,但只是阅读带有这些病毒的电子邮件并不会受到感染,而只有在用户执行电子邮件中的附件时才会受到病毒感染。不过,如果恶意利用此次发现的安全性漏洞的话,即使不打开附件,只要利用Outlook等阅读该电子邮件就会受到感染,进而也就会出现擅自发送带病毒的电子邮件进行破坏活动的病毒。
“太容易被恶意利用”
以前也曾经被发现过只要阅读电子邮件便会感染的病毒。99年就曾发现了VBS/BubbleBoy及Wscript/KakWorm。其中,BubbeBoy由于只是由病毒作者向各反病毒软件供应商发出警告并没有实际散布到一般公众处,因此几乎没有造成损失。而在日本很少接到感染Wscript/KakWorm的报告,这是因为Wscript/KakWorm在日语环境不会发作的缘故。但是,在欧美该病毒的受害范围很大,据反病毒软件供应商Cimantech(音译)提供的病毒信息,由Wscript/KakWorm所导致的被害程度为“高”。另外,BubbleBoy和KakWorm病毒的主体部分皆为脚本文件,而如果恶意利用此次的安全性漏洞,则可以自动执行附带的EXE文件。因此,可以用来发布单靠脚本文件无法制作的复杂且难以驱除的病毒。“此次发现的安全性漏洞简直是‘太容易’”(高木)被恶意利用了。
日本信息处理振兴业务协会(IPA)安全性中心反病毒室表示,“目前还难以预测是否会真的流行恶意利用该安全漏洞的病毒”(反病毒室室长助理木谷文雄),但是又表示,“不能否定存在这种可能性。用户应该安装最新的安全性补丁软件”。(Nikkei Open Systems)
|