概念驗証病毒:網路風暴預言(上)

| | | | | | 留下回應

    

簡單地說，它是首隻可以跨Pocket PC、PC等不同WinCE裝置的概念驗証病毒。雖然目前並非所有行動裝置都包含合適的 .NET framework 可以讓惡意程式順利運作，但依然有極多裝置的功能必須依賴這項技術，而PocketPC 這類手持裝置現在已十分普遍，因此WORM_CXOVER.A的出現可說相當重要。

概念驗證病毒顧名思義是為了證明某種感染行為是可行的驗證型病毒，不一定會造成傷害。但是其所豎立的不良示範，卻會讓後起之秀們前仆後繼地對照「習作範本」依樣畫葫蘆，終至造就災難性病毒的出現。

第一隻概念驗証( Proof of Concept，PoC )出現距今已十年，本文想要以此為開始，回顧一下幾隻重要的概念驗証病毒，以及概念驗証病毒對資訊安全的意義。

一切都從1995年開始

10年來有幾隻代表性的概念證明病毒 Proof of Concept (PoC )，他們主宰了近10年的病毒史：

-1995 年 Word concept 是文件巨集病毒稱霸 6 年的開山始祖

-2001年 漏洞攻擊祖師爺 CodeRed 揭開駭客史上不需執行程式，還能引發全球連鎖性頻寬壅塞風暴的開端。接著 Nimda 以同個漏洞，同時將電子郵件、IIS 伺服器、網路芳鄰納入多管齊下、大舉侵入的路徑，使得個人電腦用戶，成為大舉殲滅的新目標。

-2004年食人魚（ SYMBOS_CABIR.A）以全球首隻通過藍芽傳播的手機病毒，為行動裝置威脅揭開序幕

文件巨集病毒從心算遊戲到格式化硬碟

1995年全球第一隻文件巨集病毒Word_Concept出現後，此類型的病毒跟著大流行了好幾年，根據國際電腦安全協會（ICSA, International Computer Security Association）「1996電腦病毒趨勢調查 ( Computer Virus Prevalence Survey )」顯示，企業電腦中毒率比1995年高出5-10倍， Word Concept （巨集病毒）當年才出現一年多的時間，即感染了 36% 的受訪公司，而且以頭號病毒之姿，高居感染事件的一半。這類以文件為附著目標的病毒，使得美國某銀行的機密文件，遭受感染並借著電子郵件散播出去，造成該銀行嚴重的恐慌。一直持續至2001年，文件巨集病毒連續6年蟬聯主要感染型態。

1995 年文件巨集病毒 ( Marco Virus) 出現，不僅粉碎了文件檔不會中毒的定律，還在該病毒出現後的短時間內全面改寫了開機型病毒當家稱王的局勢。

經Word Concept 豎立了這類病毒的不良示範後，其他文件巨集病毒作者便紛起效尤，依樣畫葫蘆。1996年2月Taiwan NO.1以Word為下毒目標以來，全台灣的電腦用戶，幾乎無人不知無人不曉，每到13號會有一隻要你算數學，且以開啟20個文件檔當作答錯懲罰的文件巨集病毒。起初它們只是跟你玩玩心算遊戲，然後讓你的記憶體無法承載太多的文件檔案而罷工;之後台灣猜拳、台灣釣魚台竟以刪除檔案證明國中生寫病毒程式的能力;而台灣Super NO.1、B52已經「進化」到血洗硬碟的重新格式化功力。

2001年CodeRed 為漏洞攻擊的短跑競賽鳴槍

2001年7月中旬出現首度出現以漏洞為攻擊目標的電腦蠕蟲-CodeRed以來，揭開了病毒史上前所未有的新型態破壞方式：揭開駭客史上不需執行程式，還能引發全球連鎖性的頻寬壅塞風暴的開端，駭客型病毒來勢洶洶，緊跟著 CodeRed 而來的Nimda以 36.07％ 感染率奪得年度毒王。至此病毒的性格不再單純，特洛依病毒結合電腦蠕蟲、電腦蠕蟲結合傳統病毒的各種排列組合破壞方式，大大的考驗網友和網路安全專家。

2004年 食人魚漫遊藍芽，行動裝置成為垂涎目標

2004年有6月，全球首隻透過藍芽傳播的手機病毒-食人魚(SYMBOS_CABIR.A)現身。這是第一隻透過行動裝置(mobile device)傳播的概念驗證型病毒。 這隻病毒主要影響Symbian60系列行動裝置，病毒檔案以.SIS副檔名的方式傳送到手機，當病毒抵達時會先出現一系列簡訊，若使用者不察而安裝後就會中毒。它同時也會自動搜尋傳輸範圍內具有藍芽功能的設備，再將病毒檔案透過自身的藍芽設備傳播出去。

除了病毒本身會因不斷搜尋附近的藍芽設備而耗費手機電源外，SYMBOS_CABIR.A「食人魚」並不會對手機本身造成其他負擔或損害。但半年之後，情況產生了兩項主要變化：

•1.複合式攻擊：2004年12月1日SYMBOS_SKULLS.B 夾帶6個月前全球第一隻透過藍芽傳播的手機病毒 SYMBOS_CABIR.A「食人魚」危害手機用戶，2005年其變種SYMBOS_SKULLS.N，還會安裝其他 3 隻手機病毒：SYMBOS_SKULLS.I, SYMBOS_CABIR.A,和 SYMBOS_BOOTTON.A。

•2.手機病毒呈現家族化傾向：電腦病毒動輒超過百種的龐大勢力，手機病毒也跟著滋生變種，它們以系列化改良增加火力，如 SYMBOS_SKULLS、SYMBOS_DREVER 、SYMBOS_CABIR系列等等。以 SYMBOS_CABIR 病毒而言，原始的病毒一次只能攻擊一台手機，但新型的變種，卻能攻擊無數個手機。

從過去幾隻概念驗証病毒來看，幾乎沒有不成真，因此，此類病毒的出現某種程度而言也成了資訊安全上自我實現的預言（self fulfilling prophesy）。而更可怕的是，這種預言成真的速度逐漸加快。 (明天待續)