圖(1)
在新增的病毒/木馬中�,盜號(hào)木馬仍然首當(dāng)其沖,新增數(shù)量多達(dá)118895個(gè),黑客/后門病毒、木馬下載器緊隨其后���,這三類病毒構(gòu)成了互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈的中流砥柱。下圖是不同類別病毒/木馬比例圖(圖2):
圖(2)
2007年����,據(jù)金山毒霸全球反病毒監(jiān)測中心統(tǒng)計(jì)數(shù)據(jù),全國共有49,652,557臺(tái)計(jì)算機(jī)感染病毒�����,與去年同期相比增長了18.15%���,互聯(lián)網(wǎng)用戶遭受過病毒攻擊的比例占到90.56%����。全國各省的計(jì)算機(jī)病毒感染量如下表(圖3):
圖(3)
2007年十大病毒/木馬(圖4)
根據(jù)病毒危害程度����、病毒感染率以及用戶的關(guān)注度,計(jì)算出綜合指數(shù)���,最終得出以下十大病毒/木馬為2007年最危險(xiǎn)的病毒/木馬�。
危害程度:分5級,最高級為5���。我們將危害的種類分為:A破壞用戶系統(tǒng)��;B盜取用戶信息�;C能進(jìn)行自我傳播���;D廣告行為����;E下載其它木馬��。
5級:具有上述四種及以上行為的病毒/木馬
4級:具有述任意三種行為的病毒/木馬
3級:具有C行為加任意一種行為的病毒/木馬
2級:具有A B C任意一種行為的病毒/木馬
1級:具D E任意一種行為的病毒/木馬
病毒感染:對于廣義的病毒定義來講�,本文所指感染包括病毒感染或木馬入侵。
病毒感染率:該病毒感染或入侵的計(jì)算機(jī)臺(tái)數(shù)占總感染(或入侵)臺(tái)數(shù)的比率���,為方便統(tǒng)計(jì)�����,統(tǒng)稱為感染率�,下同�����。
用戶關(guān)注度:我們收集用戶對病毒的關(guān)注數(shù)據(jù),如:論壇討論熱度的評估����,新聞及病毒分析報(bào)告的點(diǎn)擊率或關(guān)鍵字熱度�����,將其分為3級���,熱門�、高度����、普通。
圖(4)
1�����、網(wǎng)游盜號(hào)木馬
這是一類盜取網(wǎng)游賬號(hào)密碼或裝備的木馬�����。這些木馬具有高度的代碼相似性,并且變種繁多����,盜取各種網(wǎng)絡(luò)游戲的帳號(hào)密碼,這是木馬產(chǎn)業(yè)化的一個(gè)產(chǎn)物�。這類木馬會(huì)在系統(tǒng)目錄下釋放一個(gè)exe文件和dll文件,后期的變種會(huì)在"%windir%Fonts"目錄下釋放一個(gè)dll文件和一個(gè)fon文件���,同時(shí)關(guān)閉常用殺毒軟件和windows自動(dòng)更新��。
2��、AUTO病毒
該病毒在各磁盤分區(qū)根目錄中生成AUTO病毒���,分別是一個(gè)exe文件和autorun.inf輔助文件,它們都具有隱藏屬性�����。當(dāng)用戶鼠標(biāo)左鍵雙擊打開有AUTO毒的盤符時(shí)�����,病毒隨即觸發(fā)�����。隨后病毒就修改注冊表,創(chuàng)建服務(wù)�����,達(dá)到開機(jī)自啟動(dòng)的效果����。
當(dāng)系統(tǒng)重新啟動(dòng)后���,病毒便可自動(dòng)運(yùn)行起來�,很多這類病毒會(huì)修改系統(tǒng)時(shí)間����,使得某些根據(jù)系統(tǒng)時(shí)間判斷軟件有效期的殺毒軟件停止工作。導(dǎo)致系統(tǒng)安全防護(hù)能力喪失��,更容易被其它病毒侵入�����。
隨后��,該病毒會(huì)嘗試感染、阻止或干擾已安裝的殺毒軟件正常運(yùn)行比如用戶使用金山毒霸的反間諜隱蔽軟件掃描時(shí)�����,病毒會(huì)突然彈出大量關(guān)于偽裝成與金山毒霸相關(guān)的網(wǎng)頁��。由于這些病毒網(wǎng)頁打開的的速度極快�、數(shù)量繁多,系統(tǒng)資源將會(huì)被嚴(yán)重占用����,最后甚至?xí)罊C(jī)。
3�����、灰鴿子
這個(gè)木馬黑客工具大體于2001年出現(xiàn)在互聯(lián)網(wǎng)上��,當(dāng)時(shí)被判定為高危木馬�����。2004年的感染統(tǒng)計(jì)表現(xiàn)為103483人����,而到2005年數(shù)字攀升到890321人�。該病毒從2004年起連續(xù)三年榮登國內(nèi)10大病毒排行榜���,至今已經(jīng)衍生出超過6萬個(gè)變種�。
灰鴿子病毒的文件名由攻擊者任意定制����,病毒還可以注入正常程序的進(jìn)程隱藏自己, Windows的任務(wù)管理器看不到病毒存在��,需要借助第三方工具軟件查看�����。中灰鴿子病毒后的電腦會(huì)被遠(yuǎn)程攻擊者完全控制��,黑客可以輕易的復(fù)制���、刪除、上傳���、下載保存在你電腦上的文件��,還可以記錄每一個(gè)點(diǎn)擊鍵盤的操作��,用戶的QQ號(hào)�����、網(wǎng)絡(luò)游戲帳號(hào)����、網(wǎng)上銀行帳號(hào),可以被遠(yuǎn)程攻擊者輕松獲得�����。
更有甚者����,遠(yuǎn)程攻擊者可以直接控制攝像頭,遠(yuǎn)程攻擊者在竊取資料后����,還可以遠(yuǎn)程將病毒卸載,達(dá)到銷毀證據(jù)的目的����。灰鴿子自身并不具備傳播性,一般通過捆綁的方式(包括:網(wǎng)頁��、郵件�、IM聊天工具、非法軟件)進(jìn)行傳播��。
4��、熊貓燒香
"熊貓燒香"是由Delphi語言編寫的蠕蟲�,終止大量的反病毒軟件和防火墻軟件進(jìn)程。病毒會(huì)刪除擴(kuò)展名為gho的文件�,使用戶無法使用ghost軟件恢復(fù)操作系統(tǒng)。"熊貓燒香"感染系統(tǒng)的.exe�、.com、.pif�、.src、.html�����、.asp文件�,添加病毒網(wǎng)址�,導(dǎo)致用戶一打開這些網(wǎng)頁文件,IE就會(huì)自動(dòng)連接到指定的病毒網(wǎng)址中下載病毒���。在硬盤各個(gè)分區(qū)下生成文件autorun.inf和setup.exe�,還會(huì)通過QQ最新漏洞、網(wǎng)絡(luò)文件共享�����、默認(rèn)共享��、系統(tǒng)弱口令����、U盤及移動(dòng)硬盤等多種途徑傳播。而局域網(wǎng)中只要有一臺(tái)機(jī)器感染��,就可以短時(shí)間內(nèi)傳遍整個(gè)網(wǎng)絡(luò)��,感染嚴(yán)重時(shí)可以導(dǎo)致網(wǎng)絡(luò)癱瘓或系統(tǒng)崩潰�����。
5��、AV終結(jié)者
AV終結(jié)者集目前最流行的病毒技術(shù)于一身�����,而且破壞過程經(jīng)過了嚴(yán)密的"策劃",普通用戶一旦感染該病毒���,從病毒進(jìn)入電腦����,到實(shí)施破壞��,四步就可導(dǎo)致用戶電腦喪失安全防護(hù)能力��。
1)禁用所有殺毒軟件以相關(guān)安全工具�����,讓用戶電腦失去安全保障�;
2)破壞安全模式,致使用戶根本無法進(jìn)入安全模式清除病毒��;
3)強(qiáng)行關(guān)閉帶有病毒字樣的網(wǎng)頁�,只要在網(wǎng)頁中輸入"病毒"相關(guān)字樣,網(wǎng)頁遂被強(qiáng)行關(guān)閉�����,即使是一些安全論壇也無法登陸�����,用戶無法通過網(wǎng)絡(luò)尋求解決辦法����;
4)在各磁盤根目錄創(chuàng)建可自動(dòng)運(yùn)行的exe程序和autorun.inf文件,一般用戶重裝系統(tǒng)后�����,會(huì)習(xí)慣性的雙擊訪問其他盤符�����,病毒將再次被運(yùn)行�。
摧毀用戶電腦的安全防御體系后,"AV終結(jié)者"自動(dòng)連接到指定的網(wǎng)站��,大量下載各類木馬病毒����,盜號(hào)木馬、廣告木馬��、風(fēng)險(xiǎn)程序接踵而來����,使用戶的網(wǎng)銀����、網(wǎng)游�����、QQ帳號(hào)密碼以及機(jī)密文件都處于極度危險(xiǎn)之中��。
6����、艾妮
艾妮是一個(gè)Win32平臺(tái)下的感染型蠕蟲,可感染本地磁盤�、可移動(dòng)磁盤及共享目錄中大小在10K–10M之間的所有.exe文件,感染擴(kuò)展名為.ASP�����、.JSP��、PHP�、HTM、ASPX�����、HTML的腳本文件���,并可連接網(wǎng)絡(luò)下載其他病毒����。
"艾妮"病毒集熊貓燒香���、維金兩大病毒危害于一身����,傳播性與破壞性極強(qiáng)���,不但能瘋狂感染用戶電腦中的.exe文件�,而且還可導(dǎo)致企業(yè)局域網(wǎng)大面積癱瘓��。更為嚴(yán)重的是���,"艾妮"利用微軟最新發(fā)現(xiàn)的動(dòng)畫指針漏洞進(jìn)行傳播�����,幾乎就在微軟最新的動(dòng)畫光標(biāo)漏洞發(fā)現(xiàn)的同時(shí)����,就開始利用該漏洞進(jìn)行傳播,而且隱蔽性更強(qiáng)��,用戶很難察覺���。
7��、MSN機(jī)器人
這是一個(gè)通過MSN傳播的病毒�����,該病毒有很多變種����。該病毒的主要特點(diǎn)是通過MSN發(fā)送消息+病毒文件給好友���。好友接收運(yùn)行文件后�,就會(huì)感染病毒��。最新截獲的變種為圣誕節(jié)變種���,該變種會(huì)向msn好友隨機(jī)發(fā)送"Christmas photo! :D"���、"xmas photo!: D"等消息�,并同時(shí)發(fā)送"Chirstmas-2007.zip"文件��,解壓后的文件名為img2007-12.JPEG.scr�����,用戶運(yùn)行該文件就會(huì)中毒����。
該病毒會(huì)連接IRC聊天室��,由IRC聊天室接受黑客指令進(jìn)行遠(yuǎn)程控制�����,使用戶文件����、資料、信息等面臨被盜�����;并且用戶主機(jī)可能成為"肉雞"。
8���、維金變種
2006年在互聯(lián)網(wǎng)上瘋狂肆虐的"維金"又出現(xiàn)了新的變種����,危害更加嚴(yán)重�。該病毒運(yùn)行后,會(huì)在電腦系統(tǒng)里釋放WebTime.exe病毒文件���,并把自身注入到IEXPL0RE.EXE,連接到指定站點(diǎn)并搜尋電腦硬盤中的所有擴(kuò)展名為.exe的文件����,進(jìn)行感染��。某些變種還會(huì)在每個(gè)磁盤的根目錄下生成病毒文件���,使當(dāng)用戶點(diǎn)擊磁盤盤符時(shí)��,便可立即激活病毒��。
它還會(huì)把自身注入到用戶電腦的IE進(jìn)程里���,同時(shí)終止多個(gè)殺毒軟件的監(jiān)控進(jìn)程�����,并連接到指定的惡意站點(diǎn)����,下載盜號(hào)木馬或者其他感染型病毒����,進(jìn)一步侵害用戶的電腦系統(tǒng)��,不但導(dǎo)致用戶的系統(tǒng)硬盤的資料和數(shù)據(jù)文件被損壞,而且有可能出現(xiàn)用戶的電腦資料外泄和網(wǎng)絡(luò)虛擬財(cái)產(chǎn)被盜等現(xiàn)象�。
9、瓢蟲病毒
"瓢蟲"病毒與熊貓燒香類似�,感染性極強(qiáng),用戶電腦一旦感染該病毒�,除系統(tǒng)盤外,被感染后的exe文件圖標(biāo)將變成綠色的"小瓢蟲"���;同時(shí)���,用戶電腦內(nèi)的瀏覽器���、任務(wù)管理器、文件夾選項(xiàng)�����、系統(tǒng)時(shí)間等項(xiàng)目都將遭受破壞����。該病毒還會(huì)打開各盤共享,使得計(jì)算機(jī)資源可以被隨意訪問下載�����。最主要的是��,"瓢蟲"病毒使用覆蓋式感染文件��,被感染后的文件將無法被恢復(fù)�����。
10���、網(wǎng)絡(luò)紅娘
網(wǎng)絡(luò)紅娘是一個(gè)遠(yuǎn)程控制的木馬�����,網(wǎng)絡(luò)紅娘可以輕易盜取被入侵者計(jì)算機(jī)上的信息���。如:網(wǎng)游帳號(hào)��,銀行帳號(hào)等���。常被用于網(wǎng)絡(luò)游戲中盜取裝備。首先���,持有病毒服務(wù)端的人會(huì)在網(wǎng)絡(luò)游戲中以女性角色"色誘"玩家,然后通過及時(shí)聊天工具(如QQ等)進(jìn)行視頻聊天�����,等玩家的戒備心理降低時(shí)�,發(fā)送"我的照片"給對方,當(dāng)玩家打開病毒偽裝的"照片"時(shí)�����,病毒開始運(yùn)行。該木馬運(yùn)行后會(huì)監(jiān)視鍵盤和鼠標(biāo)動(dòng)作��,收集客戶端計(jì)算機(jī)的信息�。然后,將這些信息發(fā)送給盜號(hào)者或黑客��。盜號(hào)者可以發(fā)送命令查看他的桌面����、當(dāng)前運(yùn)行的窗口的標(biāo)題、文件的列表��、文件的內(nèi)容以及鍵盤記錄等等�。當(dāng)發(fā)現(xiàn)了有用的信息之后,盜號(hào)者就趁機(jī)盜取���。
2007年其他值得特別關(guān)注的惡性病毒/木馬
"色戒"病毒
"色戒"病毒并不是特指某個(gè)一病毒���。而是借助電影《色戒》熱播進(jìn)行傳播的病毒。病毒在一些網(wǎng)站上以"色戒"或"色戒完整版"的名義供用戶下載�����。當(dāng)用戶下載完雙擊運(yùn)行時(shí)���,則病毒爆發(fā)����,并下載執(zhí)行大量其它病毒,如盜號(hào)木馬等��。
因此�����,用戶在下載電影后���,如果字節(jié)數(shù)很小的話��,往往只有幾K的大小����,則很有可能是病毒�。而電影一般都有幾百兆的大小����。
8749惡意軟件
2007年7月以來,8749的惡意軟件在互聯(lián)網(wǎng)上大肆傳播��,大量用戶的IE瀏覽器首頁被篡改為www.8749.com。由于8749采用了今年上半年的"毒王"AV終結(jié)者最新的病毒攻擊技術(shù)��,故普通用戶很難徹底清除�。
8749不但具備流氓軟件的一些基本特性,而且采用了刪除系統(tǒng)文件�、破壞安全模式等最流行的病毒攻擊手段。與AV終結(jié)者相似����,用戶一旦中招,不但相關(guān)的修復(fù)工具�、殺毒軟件被禁用,而且只要用戶打開帶有"8749病毒"���、"清除8749"字樣的窗口�,窗口即刻被關(guān)閉��。
二��、2007年計(jì)算機(jī)病毒/木馬的特點(diǎn)分析
1���、病毒"工業(yè)化"入侵凸顯病毒經(jīng)濟(jì)
病毒/木馬背后所帶來的巨大的經(jīng)濟(jì)利益催生了病毒"工業(yè)化"入侵的進(jìn)程���。2007年上半年�����,金山對外發(fā)布了病毒木馬產(chǎn)業(yè)鏈的攻擊特征�����,在此階段�����,病毒木馬的攻擊通常是針對單個(gè)計(jì)算機(jī)的攻擊行為��。攻擊的手法�����,一般利用社會(huì)工程欺騙的方式��,發(fā)送經(jīng)過偽裝的木馬以及通過網(wǎng)頁掛馬構(gòu)造大面積的陷阱�����。這種攻擊需要受害者"配合",比如需要用戶去瀏覽相應(yīng)網(wǎng)頁或接收和執(zhí)行相應(yīng)的程序�。
2007年下半年��,一種新的病毒木馬攻擊手法被廣泛利用����。攻擊過程完全由攻擊者一方發(fā)起����,而且能夠獲得很高的成功率。他們利用掃描器發(fā)現(xiàn)開放端口的聯(lián)網(wǎng)主機(jī)��,再使用一種被稱為"種植者"的黑客工具���,攻擊存在這種漏洞的計(jì)算機(jī)��,直接獲取遠(yuǎn)程計(jì)算機(jī)的管理權(quán)限����,命令遠(yuǎn)程主機(jī)下載并執(zhí)行惡意程序�。
然而,還不僅僅如此��,一種"工業(yè)化"的入侵手段已經(jīng)在黑客圈廣為流傳����。攻擊者把上面那些攻擊流程完全自動(dòng)化�����,掃描端口�����、遠(yuǎn)程入侵����、下載木馬完全自動(dòng)化�����,抓取肉雞效率僅取決于用于發(fā)起攻擊的計(jì)算機(jī)性能和網(wǎng)絡(luò)帶寬����。(圖5)
圖(5)
對于攻擊者來說,在互聯(lián)網(wǎng)尋找目標(biāo)并非難事–很容易找到?jīng)]有采取任何保護(hù)措施的盜版XP系統(tǒng)����,大量只關(guān)心使用不關(guān)心安全的電腦使用者。對于這樣的系統(tǒng)��,需要安裝網(wǎng)絡(luò)防火墻來應(yīng)對"工業(yè)化"的病毒攻擊,比如安裝金山網(wǎng)鏢��,可以防止本機(jī)被遠(yuǎn)程攻擊成功�����。這里需要指出的是����,windows防火墻的缺省設(shè)置對此類攻擊完全沒有抵抗能力�����。用戶可以按照金山清理專家打分系統(tǒng)的指導(dǎo)�����,修補(bǔ)系統(tǒng)漏洞����,提升電腦系統(tǒng)的安全性。
2�����、電腦病毒/木馬傳播的WEB2.0化
Web2.0給網(wǎng)民帶來全新的上網(wǎng)體驗(yàn),web2.0的內(nèi)容源不再由少數(shù)專業(yè)人士發(fā)布��,任何人都可以成為內(nèi)容源的發(fā)布者����,這為那些別有用心的攻擊者提供了更多的機(jī)會(huì)–各種惡意代碼以熱門事件為幌子被傳輸?shù)骄W(wǎng)絡(luò)上等待被下載。眾多BLOG���、論壇���、社區(qū)、視頻網(wǎng)站成為病毒泛濫和傳播的溫床���。
Web2.0程序本身存在的威脅也是新的安全課題�,安全廠商注意到myspace蠕蟲和百度空間蠕蟲是新蠕蟲的代表�����?�?缯军c(diǎn)腳本攻擊����,變得越來越普及���,因?yàn)楹诳蛡円呀?jīng)發(fā)現(xiàn)了這類攻擊的作用和好處。攻擊者可以在用戶毫不知情的情況下造成許多危害��,其中包括強(qiáng)迫PC下載非法內(nèi)容�����、侵入其他Web站點(diǎn)或發(fā)送電子郵件等�。利用AJAX�����,在后臺(tái)無聲無息地傳遞數(shù)據(jù)����,很難被發(fā)現(xiàn),為AJAX蠕蟲隱身傳播帶來了絕佳的便利���!其中百度空間蠕蟲源碼已經(jīng)公布�����。
對于普通的電腦用戶來說�,根本無法從眾多內(nèi)容源中區(qū)分威脅。金山毒霸2008和金山清理專家的網(wǎng)頁防掛馬組件�,可成功攔截后臺(tái)"非法"的下載行為,減少用戶因?yàn)g覽網(wǎng)頁而感染病毒的機(jī)會(huì)�。
3、黑客技術(shù)與病毒技術(shù)的廣泛勾結(jié)
2007年ARP病毒廣為人知�����,其實(shí)在更早的時(shí)候����,ARP攻擊行為已經(jīng)令企業(yè)網(wǎng)管頭疼不已。比較常見的是部分"傳奇盜號(hào)木馬"���,當(dāng)局域網(wǎng)中某臺(tái)計(jì)算機(jī)中了這個(gè)木馬�����,會(huì)向局域網(wǎng)發(fā)送大量ARP數(shù)據(jù)包���,該木馬對局域網(wǎng)的影響超出了盜號(hào)造成的破壞,表現(xiàn)為網(wǎng)絡(luò)通信時(shí)斷時(shí)通�����,網(wǎng)速變慢。07年的ARP欺騙��,已經(jīng)不再局限于此�����,通過劫持網(wǎng)絡(luò)會(huì)話�,可以在正常計(jì)算機(jī)上網(wǎng)時(shí),插入特定惡意代碼�,強(qiáng)令未中毒的正常計(jì)算機(jī)瀏覽指定網(wǎng)站或下載病毒木馬。
更為嚴(yán)重的是����,這種攻擊行為已經(jīng)擴(kuò)散到從客戶端到內(nèi)容源服務(wù)器之間的所有環(huán)節(jié)�����。攻擊者利用黑客技術(shù)入侵廣域網(wǎng)路由�����,導(dǎo)致某地區(qū)所有計(jì)算機(jī)訪問網(wǎng)站時(shí)下載木馬或強(qiáng)行彈出廣告��。攻擊者還會(huì)攻擊內(nèi)容源服務(wù)器所在的局域網(wǎng)�����,當(dāng)黑客成功入侵內(nèi)容源服務(wù)器所在網(wǎng)段的某臺(tái)主機(jī)后,再利用ARP欺騙劫持會(huì)話�����,造成所有訪問該內(nèi)容源的客戶機(jī)下載病毒木馬或者彈出廣告�。(圖6)
圖(6)
ARP攻擊利用的是網(wǎng)絡(luò)傳輸協(xié)議的漏洞,只有修改網(wǎng)絡(luò)協(xié)議才能從根本上解決這一問題���,目前情況下只能做到緩解�,其中很多工作要靠網(wǎng)管員來解決���。普通用戶能做的�,是利用現(xiàn)有工具盡可能保護(hù)自身不被攻擊���,或者自己不要感染了ARP病毒去攻擊其它計(jì)算機(jī)�����。金山ARP防火墻提供了簡單的解決方案����,可在一定程度上應(yīng)對ARP攻擊的挑戰(zhàn)。(圖7)
圖(7)
4�、病毒入侵"流程化"
2007年,病毒攻擊手段的流程化跡象日益突出�。大量病毒進(jìn)入用戶電腦后首先終止殺毒軟件的進(jìn)程,導(dǎo)致用戶電腦失去任何安全屏障��;接下來��,病毒將肆無忌憚地下載大量盜號(hào)類木馬到用戶電腦內(nèi)�����;最后駐留在用戶電腦內(nèi)的盜號(hào)木馬伺機(jī)作案����,盜取用戶的網(wǎng)銀��、網(wǎng)游帳號(hào)密碼以及其他個(gè)人機(jī)密文件�����。
以AV終結(jié)者為例����,該病毒進(jìn)入用戶電腦后����,開機(jī)時(shí)可自動(dòng)加載��,并"綁架"安全軟件�����,令大量殺毒軟件�����、系統(tǒng)管理工具��、反間諜軟件不能正常啟動(dòng)���。同時(shí)監(jiān)視活動(dòng)窗口的關(guān)鍵字��,發(fā)現(xiàn)帶"殺毒"等字樣的�,就立即關(guān)閉窗口��。在用戶對其束手無策的情況下���,AV終結(jié)者瘋狂下載木馬����、后門程序,進(jìn)而竊取用戶相關(guān)資料和帳號(hào)信息���。
5�����、病毒傳播突顯"長尾"理論
圖(8)
在2007年度的10大病毒中�,幾乎無一例外�,具有變種多的特征。很多人以為AV終結(jié)者是一個(gè)病毒���,實(shí)際上是一大批具備相似現(xiàn)象的病毒集合����。下半年很多用戶知道Auto病毒�����,不少人認(rèn)為這是一種病毒��,而事實(shí)上�,利用U盤的自動(dòng)運(yùn)行功能傳播的病毒成百上千,這些病毒還具備Av終結(jié)者的特征���。
AV終結(jié)者��、Auto病毒�����、木馬下載器泛濫�,和一兩年前相比����,病毒傳播的趨勢發(fā)生了巨變。現(xiàn)在的情況是��,每個(gè)盜號(hào)團(tuán)伙釋放的木馬�����,只影響或入侵部分網(wǎng)絡(luò)��,而不象以前那樣嘗試入侵所有的網(wǎng)絡(luò)終端���。因?yàn)槭侨藶獒尫诺慕Y(jié)果��,盜號(hào)團(tuán)伙可以很容易的控制木馬更新版本�����,以逃避查殺��。位于這個(gè)"長尾"下被入侵的計(jì)算機(jī)總數(shù)相當(dāng)龐大�����。
這種狀態(tài)下����,對殺毒軟件的挑戰(zhàn)是越來越多的病毒木馬難以被監(jiān)測網(wǎng)捕獲,或者在捕獲這些木馬前���,這些木馬有著較長的生存時(shí)間���。殺毒軟件更快更準(zhǔn)的捕獲這些病毒,將會(huì)給用戶提供更多的安全����。到目前為止,殺毒廠商和制毒販毒者之間貓捉老鼠的游戲��,還遠(yuǎn)未終結(jié)�。
如何打破病毒和殺毒的僵局,金山毒霸的研發(fā)人員在探索全新的反病毒方法�����。首先使用網(wǎng)絡(luò)爬蟲技術(shù)����,自動(dòng)收集互聯(lián)網(wǎng)出現(xiàn)的二進(jìn)制程序;其次����,在金山毒霸2008中,獨(dú)有的三維互聯(lián)網(wǎng)防御體系�����,通過行為攔截技術(shù)�,發(fā)現(xiàn)并上報(bào)危險(xiǎn)程序;通過自動(dòng)化分析與人工分析相結(jié)合��,對收集上來的程序進(jìn)行快速甄別��。利用該技術(shù),縮短了金山毒霸對病毒�����、木馬的響應(yīng)時(shí)間��。
6����、病毒傳播方式多樣化
相互模仿嚴(yán)重 病毒/木馬制作模仿現(xiàn)象嚴(yán)重,一些病毒制作者將現(xiàn)有的病毒制作技術(shù)進(jìn)行重新的搭配��,使其獲得更大的危害程度�����。2007年公布的10大病毒中��,"灰鴿子"對應(yīng)"網(wǎng)絡(luò)紅娘"�,"熊貓燒香"對應(yīng)"瓢蟲",他們只是在出現(xiàn)的時(shí)間不同�����,其傳播和危害的方法都如出一轍�����。
互聯(lián)網(wǎng)的高速發(fā)展帶來病毒制作技術(shù)的不斷翻新,但制作創(chuàng)意更易被病毒作者所接受�����。在熊貓燒香出現(xiàn)時(shí)間和瓢蟲病毒出現(xiàn)時(shí)間之間��,也同樣出現(xiàn)了很多相似的病毒�����,如:"神奇小子"����,這說明"熊貓燒香"的病毒制作創(chuàng)意受到了病毒作者的追捧��,到年底"瓢蟲"這一"改良"后的"熊貓燒香"差一點(diǎn)就成為毒王�。
近年來病毒/木馬泛濫的主要原因是制作門檻的降低,許多的黑客網(wǎng)站提供了相應(yīng)的教學(xué)方法����,讓VXer(病毒作者的簡稱)大量出現(xiàn),而今年這種通過創(chuàng)意模仿并改進(jìn)的病毒的增多更加成為一個(gè)較鮮明的特點(diǎn)���。相比病毒/木馬的傳播和破壞在技術(shù)上的改進(jìn)��,制作病毒的"創(chuàng)意"可能會(huì)成為病毒/木馬界新焦點(diǎn)�����。
增長明顯的三大類病毒
除了上述六大特點(diǎn)外���,2007年�����,各類病毒百花齊放�����,以各種傳播方式不斷進(jìn)攻互聯(lián)網(wǎng)����,其中三大類病毒的數(shù)量明顯增多:
1����、對抗殺毒軟件和破壞系統(tǒng)安全設(shè)置的病毒明顯增多
對抗殺毒軟件和破壞系統(tǒng)安全設(shè)置的病毒以前也有,但07年從AV終結(jié)者病毒爆發(fā)之后����,此類病毒便頻繁出現(xiàn)�����。主要是由于大部分殺毒軟件加大了查殺病毒的力度����,使得病毒為了生存而必須對抗殺毒軟件��。這些病毒使用的方法也多種多樣���,如修改系統(tǒng)時(shí)間、結(jié)束殺毒軟件進(jìn)程���、破壞系統(tǒng)安全模式�、禁用windows自動(dòng)升級等功能���。
2�、利用可移動(dòng)磁盤傳播的病毒明顯增多
隨著可移動(dòng)磁盤技術(shù)的不斷發(fā)展����,以及可移動(dòng)磁盤價(jià)格下降�����,擁有可移動(dòng)磁盤的用戶也大量增加��,病毒也開始趁機(jī)作亂��,除了蠕蟲�����,普通的木馬很多也會(huì)通過可移動(dòng)磁盤進(jìn)行傳播����,主要方式是復(fù)制一個(gè)病毒體和一個(gè)Autorun.inf文件到各盤����。如果用戶插入可移動(dòng)磁盤,可移動(dòng)磁盤將會(huì)被感染���,然后當(dāng)可移動(dòng)磁盤插入另一臺(tái)機(jī)器�����,Autorun.inf發(fā)生作用����,啟動(dòng)病毒感染計(jì)算機(jī)。
3���、感染型病毒持續(xù)增多
感染型病毒曾經(jīng)是Dos時(shí)代病毒的特點(diǎn)��,進(jìn)入windows之后��,感染型病毒的量下降很多����。但隨著2006年的維金和2007年初的熊貓燒香病毒"風(fēng)靡"全國之后���,從金山毒霸病毒監(jiān)測系統(tǒng)顯示,感染型病毒不斷增多�,除了傳統(tǒng)的感染方式,還新增了如瓢蟲�、小浩等覆蓋式感染,這種不負(fù)責(zé)任的感染方式將導(dǎo)致中毒用戶機(jī)器上的被感染文件無法修復(fù)����,帶來毀滅性的損壞。因此建議用戶使用正版殺毒軟件����,并開啟實(shí)時(shí)監(jiān)控�,能夠在病毒運(yùn)行起來之前將其查殺���。
三��、2008年病毒/木馬技術(shù)發(fā)展趨勢預(yù)測
在技術(shù)日新月異的今天�,病毒/木馬與反病毒軟件之間的技術(shù)斗爭愈演愈烈�,金山毒霸全球反病毒監(jiān)測中心預(yù)測2008年病毒/木馬在技術(shù)方面將表現(xiàn)為三大趨勢:
1、病毒/木馬在新平臺(tái)上的嘗試����。病毒/木馬進(jìn)入新經(jīng)濟(jì)時(shí)代后,肯定是無孔不入����。因此在2008年,我們可以預(yù)估Vista的病毒將可能成為病毒作者的新寵�。網(wǎng)絡(luò)的提速讓病毒更加的泛濫,當(dāng)我們的智能手機(jī)進(jìn)入3G時(shí)代后��,手機(jī)平臺(tái)的病毒/木馬活動(dòng)會(huì)上升��。軟件漏洞的無法避免,在新平臺(tái)上的漏洞也會(huì)成為病毒/木馬最主要的傳播手段�����。
2��、反主動(dòng)防御或穿透主動(dòng)防御的新技術(shù)將出現(xiàn)�。在未來的2008年主動(dòng)防御的反病毒技術(shù)必將成為主流。理想狀態(tài)下�����,主動(dòng)防御能處理目前所有的已知病毒�����。但軟件在計(jì)算機(jī)中始終是程序而不是智能生物���,病毒作者必將針對各類主動(dòng)防御技術(shù)研發(fā)出新的穿透技術(shù),就像近兩年來采用加殼技術(shù)來躲避特征法一樣來躲避主動(dòng)防御技術(shù)��。
3���、網(wǎng)絡(luò)欺詐會(huì)越演越烈�����。網(wǎng)絡(luò)欺詐是最不需要技術(shù)含量的����,但其通用性和易用性將成為一些網(wǎng)絡(luò)騙子的利刃。2008奧運(yùn)年��,奧運(yùn)會(huì)必將成為民眾關(guān)注的焦點(diǎn)�,同時(shí)如此高度吸引眼球的社會(huì)事件也將成為網(wǎng)絡(luò)欺詐最好的誘餌。 在未來的2008年中�����,互聯(lián)網(wǎng)可能會(huì)面對上述多種不同的危脅�,安全產(chǎn)商必將而臨更多 的技術(shù)難題和需求。
通過對網(wǎng)絡(luò)安全形勢變化以及趨勢的分析�����,反病毒技術(shù)的發(fā)展也將呈現(xiàn)出三個(gè)明顯的趨勢:
1���、客戶端的防御系統(tǒng)將進(jìn)一步加強(qiáng)與木馬的對抗能力(Rootkit����、商業(yè)木馬等)。隨著操作系統(tǒng)安全性的提高以及互聯(lián)網(wǎng)廠商運(yùn)營能力的提升���,對抗將趨于平衡�����;
2����、 類似"可信認(rèn)證"技術(shù)將進(jìn)一步發(fā)展�����,服務(wù)端判定將逐步取代本地特征碼對木馬的判定��;
3���、 識(shí)別惡意行為的AI計(jì)算�,將逐漸從客戶端轉(zhuǎn)向服務(wù)端����。
