赛门铁克:蠕虫攻击美韩政府网站恐杀光中毒PC资料

CNET科技资讯网7月14日国际报道 针对美国和韩国网站的阻断服务(DOS)攻击或许已停止，但安全专家警告，在中毒电脑上落脚的蠕虫可能把资料删得一干二净。

赛门铁克(Symantec)安全技术反应部门产品经理Gerry Egan说，目前尚未传出中毒PC文档遭到删除的报告，但不表示未来不会发生这种状况。

Egan指出，这次的网络攻击在全球各地总计只利用到大约5万台僵尸电脑，与Conficker感染数百万台电脑相比，有如小巫见大巫。

新一波分散式DOS攻击在7月4日那个周末展开，矛头对准数十个美国和韩国的政府网站与商业网站，上周又发动至少两波，遭受攻击的网站包括白宫、美国联邦贸易委员会(FTC)、特情局以及华盛顿邮报。

赛门铁克说，中毒的僵尸电脑被植入了文档，其中一个程序被设定删除PC上的文档，包括主启动磁区(master boot record，MBR)，这将造成PC重开机后系统无法运作。Egan说：基本上，如果执行了这个，你的系统就有麻烦了。

华盛顿邮报报道，SecureWorks的僵尸电脑网络专家Joe Stewart说，他对这个能自我毁灭的木马程序作了一番测试后，发现它能够把中毒电脑上的硬盘文档全部杀光，不过这个功能尚未被启动。他怀疑程序代码里含有软件错误(bug)，不然就是被设定在日后某个日期启动此功能。

研究人员发现，发动攻击的僵尸电脑内含数种恶意软件。赛门铁克及其他杀毒软件厂商曾表示，黑客利用MyDoom蠕虫，通过电子邮件在电脑间散播病毒。

根据赛门铁克反应中心博客公告，黑客自中毒电脑收集电子邮件清单，再利用W32.Mytob!gen传送电子邮件至这些电邮地址，附上一个称为W32.Dozer的dropper程序，内含其他元件。如果使用者开启这个附加文档，W32.Dozer就会把Trojan.Dozer和W32.Mydoom.A@mm载入电脑。

赛门铁克指出，Dozer Trojan是后门程序，通过某些通讯接口与一些网络IP连结，让它能时时自我更新，并接收网站传来的攻击指令。至于DOS攻击会不会再发生，目前并不明朗，因为中毒的PC随时可能接收新的指示。

Egan说，黑客用的手法并不新，从黑客锁定高知名度网站攻击可推断，他们只是想引起注意。

韩国官员上周五表示，黑客一共利用分布在16国的86个IP地址发动这几波DOS攻击，攻击来源地包括韩国、美国、日本等国在内，朝鲜并不在其中。