根据 Internet 流量分析所作出的估计显示,震荡波蠕虫病毒及其变种很可能已经感染了500,000 台计算机。
就像天文学家利用宇宙的一小部分来了解整个宇宙一样,安全研究机构利用震荡波蠕虫病毒对其局域网的影响来推断这个蠕虫在 Internet 上的扩散情况。
这种分析 Internet 流量的方法叫做网络望远镜。通过这一方法得出的结论表明,这个蠕虫及其变种在三天之内感染了大约500,000 台计算机,而估计的数量则是从200,000 到1 百万个系统。
尽管这些数字听起来很惊人,但是被感染的计算机还不到连接到 Internet 上的计算机数量的百分之一,落后于冲击波感染计算机的 1 千万台。
“总的来说,这个数字还不是很大,”网络服务提供商 Akamai 的网络分析主任Andy Champagne 说。“这不是个小数字,但是还达不到冲击波的规模。”
Akamai 利用它散布在 Internet 各处的15,000 台网络节点的数据来勾画震荡波蠕虫扩散的图谱。该公司最乐观的估计是有500,000 到 700,000 台计算机受到了恶意程序副本的感染。尽管Akamai 曾经预计冲击波蠕虫病毒感染了大约 300,000 到 1 百万台计算机,但是Champagne 说震荡波没有造成冲击波那么大的破坏效力。
到了星期一的晚些时候,震荡波蠕虫病毒的三个新版本——震荡波 B、C 和 D——已经开始扩散。震荡波程序利用了未安装修补文件的Windows XP 和 Windows 2000 系统里的漏洞。这个蠕虫通过建立到目标计算机的远程连接,安装文件传输协议(FTP)服务器,然后把自己下载到新主机上来感染被攻击的系统。
震荡波蠕虫病毒的原始版本传播得很慢,但是新的版本,尤其是星期六出现的震荡波 B 型变种,感染计算机的速度要快得多。
其它的安全公司估计这些蠕虫已经感染了几十万台计算机。
网络安全保护公司—— Internet 安全系统公司(Internet Security Systems)取得了它自己的数据,并估计有500,000 到 1 百万台计算机受到了感染。该公司利用放在 B 类网络上的传感器来记录数据。B 类网络代表大约65,000 个地址,或者 Internet 所有地址的 20 万分之一。
“我们正在试图找到我们能够做出的最准确估计,”ISS 的事件评估小组的副主席Chris Rouland 说。
星期天的时候,该公司的网络在一个小时之内检测到了几乎400,000 次的峰值刺探。以这个速度计算的话,刚刚连接到 Internet 上的计算机在最开始只有平均 10 分钟的时间不会受到蠕虫病毒的攻击。
赛门铁克(Symantec)更依赖于实际的数据,它确定至少有10,000 台计算机感染了病毒,它通过检查尝试向公司用来检测威胁的网络传感器发送数据的计算机上的文件服务器软件得出的这一结论。但是,该公司也承认无法对位于使用网络地址翻译机制的防火墙后面的大量计算机进行统计。
Internet 不为人知的内容组成了冲击波蠕虫病毒攻击的计算机的大部分。尽管赛门铁克和其他依靠网络望远镜这类分析机制的组织分析认为在冲击波攻击发生之后的几个星期里有500,000 台计算机受到了感染,但是微软通过其 Windows 更新技术确认有几乎 1 千万台计算机受到了感染。
如果有 20 倍的计算机隐藏在企业防火墙之后,那么假如安全公司能够看到10,000 台受到感染的计算机,这就意味着有200,000 台被感染的计算机是看不见的。
蠕虫病毒的持续扩散可能意味着微软会掏5 百万美元奖励 Internet 猎手,并悬赏抓捕那些制造病毒的人。
安全研究人员相信,一个自称为天网反病毒小组(Skynet Antivirus Team)未知的程序员小组很有可能要对Netsky 垃圾邮件计算机病毒的接近 30 个变种负责,他们还可能制造了震荡波蠕虫病毒。
这两个病毒之间的类似之处有力得支持了未知黑客的声明。
