更改默认密码阻止查克•诺里斯木马

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　又一次，网络犯罪分子选择使用以查克·诺里斯命名的恶意代码来搜索默认密码。但与以往不同的是，这次他们针对的目标不是计算机。

　　——————————————————————————————————

　　关于更改IT相关硬件默认设置的重要性，无数专家都曾经专门写文章进行过论述。一个最典型的例子就是Psyb0t。仅仅由于没有改变默认密码，这种特殊的恶意程序在短时间内就迅速感染了超过十万台设备。

　　新的竞争者

　　现在关于僵尸网络的研究正日渐成为热门话题，我就发现了一篇刊登在《布拉格每日箴言报》上的文章《捷克专家发现全球规模的病毒网络》。尽管并不是完全符合我正在寻找的内容，但却在最大程度上满足了我的好奇心。

　　文章介绍了为国防部工作的简·维科帕尔经理(捷克马萨里克大学网络安全系主任)是怎么发现一张包含僵尸网关设备的大规模网络的。维科帕尔提到：

　　“由于缺乏足够的保护，调制解调器成为受到攻击的设备。该病毒可以将互联网用户之间的沟通信息转移到他们可以进行窃听的服务器上。”

　　类似的应用

　　我很快就意识到维科帕尔发现的恶意软件非常类似Psyb0t。它们的发作都依赖于下面给出的默认条件的到位：

　　Ø 该设备允许远程登录功能

　　Ø 默认用户名和远程登录密码并没有进行修改。

　　接下来会发生什么事情

　　现在让我们假设恶意软件已经控制了局域网络中的互联网网关。这就意味着攻击者可以进行下面列出的活动了：

　　Ø 恶意软件可以阻止对被感染设备的访问。

　　Ø 本地网络可以扫描其他易受攻击的硬件设备。

　　Ø 被感染的设备可以用来协助分布式拒绝服务攻击。

　　Ø 恶意软件可以在本地计算机上启动密码字典攻击。

　　Ø 攻击者可以改变网关的DNS设置。

　　改变DNS设置，可不是什么好事情。我曾经读过一篇关于偷渡式域欺骗攻击的文章，因此，非常了解恶意软件，它们可以很容易地将网络浏览器重定向到恶意网站和并下载病毒滴管。

　　一条好消息

　　出于某种原因，恶意软件开发者决定通过互联网中继聊天(IRC)，一项容许分析者刺探指挥和控制服务器的技术来进行控制，这在一定程度上限制了僵尸网络发挥作用。此外，恶意软件驻留在设备内存中，所以只有重新启动才能删除恶意代码。

　　预防措施

　　幸运的是，该恶意软件是很容易避免的。下面的步骤应该可以帮助你保护网络中网关设备的安全：

　　Ø 禁用远程访问功能。

　　Ø 更改所有的默认登录设置。

　　Ø 使用强密码。

　　Ø 禁用通用即插即用功能。

　　Ø 重新启动设备。

　　Ø 检查固件更新情况，如果发现损坏就重新安装。

　　为什么叫做查克·诺里斯?

　　我猜测这一特定恶意代码的开发者是查克·诺里斯的一位影迷，因此选择了这个绰号：

　　“该恶意软件在源代码注释中以意大利语提到了查克·诺里斯的名字，原文为‘以查克·诺里斯之名’。”

　　如果所有人都使用这个名字的话，我也不会反对，但可悲的是，这种情况似乎永远都不会发生。我不知道这个查克·诺里斯恶意软件最终将有多少种不同的名称。

　　最后的思考

　　幸运的是，相对而言查克·诺里斯不那么容易成为僵尸网络的一部分。如果你觉得不是看起来这样的话，请在留言中告诉我们。探客网的成员更希望获得帮助。