Helkern

Helkern是376位的病毒，對運行Microsoft SQL Server 2000的計算機產生影響，造成了很多地區的網路癱瘓。安天實驗室於當日捕獲了病毒傳輸包，進行了分析，並提供如下解決方案

由於這個蠕蟲是無檔案載體的記憶體蠕蟲，也不在系統留下任何後門，因此只要重新啟動，蠕蟲就會被清除，只是由於全球有大量機器被感染後在不停的掃描，所以可能開機後立即就被感染。而被感染後，由於資源迅速耗盡，可能進入假死狀態，影響用戶配置和補丁操作。

同時，由於全球用戶都在通過微軟下載，微軟的網站將會很慢，有可能難以下載升級不定。用戶可以按照如下次序處理

最新流行病毒"Helkern"發生後來自Kaspersky Labs權威分析'Helkern'流行病毒之所以產生如此巨大的影響，不僅僅表現在遭受該病毒感染的伺服器的數量之大（大約80，000台）、感染病毒區域之廣以及病毒傳播速度之快這幾個方面，而且由於網路感染病毒造成了整個網際網路的癱瘓，嚴重影響了網際網路的通訊功能。在此之前，還沒有那種惡意破壞程式能夠把世界範圍內的網際網路和區域間的信息溝通剎那間變的如此支離破碎。

'Helkern'病毒已經造成了美國、韓國、澳大利亞和紐西蘭等國家的網際網路系統陷入癱瘓狀態，而且一度被迫中斷網際網路服務。Kaspersky Labs的專家估算，在2003年1月25日'Helkern'病毒攻擊網際網路的高峰時期，網路訪問量下降了25%，也就是說，在每四台網路伺服器中要么有一個不能訪問，要么有一個陷入癱瘓狀態。類似的情況也發生在其它套用網路服務的伺服器上，諸如email伺服器、FTP伺服器、網際網路通訊伺服器等等。

'Helkern'病毒事件僅僅是一個單純的病毒感染事件呢，還是一場未經預謀的黑客攻擊？由於該病毒爆發暴露了網路缺陷，會不會是計算機恐怖分子利用這一機會為下一次製造網際網路崩潰而進行的一次模擬演練？此次蠕蟲病毒的爆發流行對未來網際網路的發展會產生什麼樣的影響呢？ 上述問題的提出同時表明了'Helkern'病毒事件使人們對網際網路的關心程度也隨之升溫。

首先我們對'Helkern'病毒的危害性作一個基本的了解。'Helkern'病毒只攻擊網路伺服器，不會對終端計算機產生危害，因此大多數網際網路用戶相對比較安全，這就好像用戶根本感覺不到網路伺服器存在Microsoft SQL Server 資料庫管理系統漏洞一樣。然而，大面積的'Helkern'病毒傳播、網路流量異常巨增恰恰可以導致網路癱瘓。所以從這一意義上說所有的網際網路用戶最起碼是間接的受害者。

不僅僅只有'Helkern'病毒會對未來的網際網路帶來危險，各種新技術的廣泛套用同樣也會引起短時間的網速趨於緩慢，而且很可能在不久的將來，當網站或者一些計算機病毒研究組織公開了該病毒的原始碼以後，某些計算機地下組織還會克隆'Helkern'病毒，對它進行偽裝使新病毒有別於'Helkern'病毒，甚至使新病毒具有更強大的傳播感染能力和破壞性。實際上，'Helkern'病毒事件所產生的負面影響以及潛在的破壞力對世界經濟造成的損失已經是不可估量的。

'Helkern'病毒事件同時也暴露了網際網路的脆弱性。該病毒是利用了微軟的程式漏洞，破壞了網路安全系統，不費吹灰之力就暢通無阻地進入了計算機並不斷攻擊網路伺服器從而造成伺服器停機。毫不誇張的說，很難再找到一個能夠像'Helkern'病毒所造成的危害如此嚴重的病毒案例。

眾所周知，目前世界上並不存在100%的安全軟體。據估算，專家們每天都可以發現無數的作業系統和應用程式中大約有超過10種的程式漏洞，所以這些程式的發明者會立即發布漏洞補丁。最常見的例子就是儘管作業系統核心的脆弱性是人為因素的結果，而情況更糟的是許多系統管理員又疏於安裝系統補丁，當面對突然的新的惡意程式攻擊時，自己的網路伺服器就"手無縛雞"之力了，只能任惡意程式"宰割"。'Helkern'病毒事件的經歷已經證明了正是這些網路管理當中的缺陷助長了病毒的快速繁殖增長。事實上更可怕的威脅是，我們根本沒有任何措施可以阻止病毒製作者不去製造以攻擊軟體漏洞為目的的網路蠕蟲病毒。潘多拉之盒已經打開了，就沒有什麼可以阻止邪惡的破壞力。從另外一個角度來說，目前已經存在的軟體漏洞數量足夠這幾年當中的每一天都公布一次類似'Helkern'的蠕蟲病毒了。如此發展下去，網際網路作為商務交流、溝通娛樂信息或信息查找的重要手段，可能會因為這些病毒的泛濫猖獗而被人類淘汰。

早在幾年前，當第一次'stealth'('BubbleBoy' and 'KakWorm')蠕蟲病毒利用安全系統漏洞攻擊計算機時，Kaspersky Labs的專家們就已經預見性地提出了濫用軟體漏洞勢必會產生嚴重危害性的結論，直至此次'Helkern'蠕蟲病毒發作之前這一結論一直保留在一個很小的專家範圍內沒有公開，專家們之所以沒有公之於眾是擔心公開這種結論會招致媒體危言聳聽的評論。然而，2001年8月，伯克利大學的Nicholas Weaver教授發表了一篇有關製作'Warhol' (a.k.a. 'Flash-worm')蠕蟲病毒技術的調查分析論文，介紹該種病毒在15分鐘以內就可以迅速傳播到整個世界。因為這個特點，Andy Warhol把該病毒以'Warhol'命名並宣稱"將來世界上的每一個人都會擁有15分鐘的輝煌"。時至今日，'Helkern'病毒事件證實了Andy Warhol的預言，我們也看到了病毒製造者是如?quot;言必行，行必果"的。

'Helkern'病毒事件使人們也產生了猜疑，人們覺得'Helkern'病毒製造者是不是在利用'Helkern'來測試網路的不堪一擊發現網路的弱點，為其今後發起更大規模的網路攻擊進行的 "練武"。但是我們畢竟對陰謀一無所知，很可能也許只是一些普通的計算機流氓的所作所為。看到此次病毒感染所產生的嚴重後果，相比計算機流氓的慣用伎倆，'Helkern'病毒事件絕不亞於計算機恐怖主義分子所為。通常，人們會根據利用病毒進行的計算機攻擊行為所產生後果的嚴重程度區分上述兩種類型。而本次病毒事件中這種有備而來的網路攻擊，對全球網際網路通信系統的蓄意侵犯，顯而易見是出自計算機恐怖分子之手。我們認為，在短時間如果不能出台有效的預防方法和措施，這種病毒事件很有可能會泛濫失控，甚至會讓我們對網際網路是否還有存在的必要產生疑問。

但是根據目前的狀況，提前預警病毒並採取應急保護措施幾乎是不可能的。一套安全、有效的系統是應該對流行病毒具有有效的偵測和保護能力的，不能依賴於目前鑑定網際網路用戶系統的標準，因為這些標準基本上都是沒有實際意義的。當類似的流行病毒事件爆發時，這種標準所鑑定的系統根本無法探查出病毒來源，當然如果病毒製造者大意暴露了自己也可能會是個例外。在此次大面積的病毒攻擊中，為了避免病毒繼續傳播，系統管理員只好停止整個區域的網際網路服務並中斷網路連線。其實這種做法也是毫無意義的，你可以在安全系統中安裝漏洞補丁，但是卻不能阻止進一步的攻擊。目前我們所做的基本上都是在"亡羊補牢"而疏於查找原因，其實當隱患在初始萌芽狀態時，我們完全可以萌芽狀態就採取一些價格低廉、快速並且行之有效的辦法，杜絕嚴重後果的發生，做到"防患於未然"。

就像早已提出的說法一樣，我們無法避免針對網際網路的混亂狀態而進行的病毒攻擊。對於病毒製造者來說，當他們確定自己不被跟蹤定位的安全性非常有保障時，濫用網路進行病毒傳播是具有非常大的誘惑力的。從另一方面來講，改革網際網路，改善網際網路管理混亂（引入個人IDS機制）這一問題似乎是沒有什麼可能，因為在世界範圍內實施這個進程需要面臨許多政治和經濟上的問題。唯一可行而且現實的解決方案是，如果作為現代經濟的"火車頭"代表的一些大型的跨國公司、機構組織能夠發展與現行網際網路並行的，完全集中套用於進行商務交流的一套網路架構，而且限定該網路架構與網際網路的接觸，如此一來，新的網路標準會迅速應運而生同時也會減少網路缺陷的產生。

總而言之，值得我們注意的是，類似'Helkern'病毒事件規模的流行病毒還會捲土重來，而且爆發機率也會逐漸頻繁。用戶在病毒和黑客的恣意攻擊下而經常斷線，故障頻頻的網際網路中上網，到最後用戶很可能會覺得套用網際網路變成了一種負擔，不得不採用其它手段來進行信息溝通。當然，慢似蝸牛的郵遞書信和電話溝通不可能像網際網路那樣便捷、快速。所以，發展與現行網際網路並行的，安全的，可靠的一套網路，是目前網際網路今後的發展所要面臨的首要任務。