新年蠕虫大战将爆发 专家分析Sober新变种

专家观点：一场攻击正偷偷袭来，我们完全可以把它杀死在摇篮中，但由于电子邮件用户对此漫不经心，一般情况下，这种电子邮件蠕虫还是会保持持续传播。

你并不常常收到有关恶意软件即将爆发的警告，更不用说是提前一个月就通知了。但是，据来自iDefense（译者注：Verisign旗下一家安全咨询公司）的消息称，在2006年的1月5日，将会爆发一场真正的Sober蠕虫大战。

作者写稿时正是个星期五，也许你正在筹划一个每秒的周末。而他，可能正在孜孜笔耕于这个问题。

还记得11月22日那场Sober大爆发吗？至今这些病毒还没有被赶尽杀绝，刚刚过去的这些日子里，实际上，我本人的邮件中收到这种蠕虫的拷贝的数量呈日趋上升的状态。Postini说了，那个Sober的编钟是历史上最为成功的电子邮件蠕虫。

iDefense在分析了那场蠕虫大爆发的代码之后说，已感染的系统在元月5日会自动下载新的病毒代码并运行。以前有过好多次这样的情况，在很早的时候，就对一个蠕虫进行分析，但是接下来爆发的规模却更大。这让我想起了Mydoom蠕虫，这种蠕虫将会对微软网站和sco.com进行DDOS攻击，但结果是，微软有能力有效地保护了自己，而SCO就不这么幸运了，不过，过了一段时间，这场攻击所带来的威胁也就过去了。

至于这次的蠕虫保护会有多么严重，我还真是犹豫再三而下不了定论。一方面，看起来好像是存在有许许多多感染了Sober的系统，并且它们完全有能力传播病毒。另一方面，我们 还有一个多月的时间才会开始反击它。

首要的最便宜的反击方式就是识别蠕虫将会下载新代码的那些站点，对之采取有效措施。正如iDefense和许许多多其它公司所分析的那样，所有关于这些站点的信息都应该包含在代码中。

这可能会在整个攻击爆发之前完成，虽然我对此还没有足够的自信。看来Sober的制作者是犯了个错误，居然在首次爆发和更新之间留出了一个半月的时间。

病毒作者为什么会在程序中留出这么长的一段时间呢？答案有点搞笑。你可能会想起以前一些Sober变种传播过极端的日尔曼民族主意的宣传内容，它们的爆发日期定在了欧洲二战结束日。