您现在的位置是:首页 > IT基础架构 > 网络与安全 >
2008年上半年病毒、木马分析
2008-09-16 21:38:00作者:小光来源:
摘要2008年上半年计算机病毒、木马的特点分析。...
1、下载器病毒首次成互联网最大威胁
下载器病毒是近年来新出现的一种病毒类型。该类型病毒与木马不同,一般本身并不具备盗取用户信息等行为,而是通过破坏杀毒软件,然后再从指定的地址下载大量其他病毒、木马进入用户电脑,进而通过其他病毒木马实现其非法目的。
据金山毒霸全球反病毒监测中心统计,2008年上半年发现的新病毒中下载器病毒增长最为迅猛,已经成为木马的主要源头之一。
从上半年的10大病毒列表可以看出“机器狗”、“磁碟机”、“AV终结者”等病毒,其程序的主要功能是破坏电脑“保安”系统,利用各种手段破坏杀毒软件,然后启用另一个主要功能:疯狂下载多种多样的木马,由攻击发起者定制下载列表,可随时更新所下载木马的版本和数量。下载器和盗号木马的区别在工作重点不同,前者是手段,后者去实现入侵的目的。
下载器病毒可以说是病毒流程化入侵的第一步。一旦用户电脑遭遇下载器病毒入侵,通常电脑内将会发现几种甚至几十种木马,而且这些木马将几乎涉及市面上所有流行的在线游戏的盗号木马,危害非常严重。
2、第三方软件漏洞成病毒攻击热点
第三方软件,通俗讲既非系统本身自带的软件(含操作系统本身和自带的应用程序),其他包含应用类软件均可称为第三方软件;例如:QQ、Adobe Reader等。
第三方软件漏洞是指一些第三方软件,由于自身软件设计的原因,在他们提供给IE的组件上,存在一些漏洞,而这些漏洞会被黑客以及恶意网站利用;在用户浏览网页过程中,通过漏洞下载木马病毒入侵用户系统;进行远程控制、盗窃用户的帐号和密码等,从而使用户遭受到损失。
随着微软操作系统的安全性的日益加强以及用户对系统漏洞警惕性的提升,病毒已经很难再利用系统漏洞大施拳脚,而第三方流行软件的漏洞越来越多地被病毒利用。以Adobe Flash Player漏洞为例,Adobe Flash Player 9 .0.115 在播放恶意构造的swf时,会自动下载一个可执行文件并执行,而swf文件可能会自动下载一个病毒下载器并运行,然后再由这个病毒下载器下载其他预先指定的木马程序,危险指数非常高。
3、病毒与安全软件之间的对抗日益加剧
纵观08年上半年的一些流行病毒,如机器狗、磁碟机、AV终结者等等,无一例外均为对抗型病毒。而且一些病毒制作者也曾扬言“饿死杀毒软件”。对抗杀毒软件和破坏系统安全设置的病毒以前也有,但08年上半年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀病毒的力度,使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样,如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。
08年上半年,病毒与杀毒软件对抗特征主要表现为对抗频率变快,周期变短,各个病毒的新版本更新非常快,一两天甚至几个小时更新一次来对抗杀毒软件。
自07年以来,病毒流程化攻击的特点越发明显,而流程化攻击的重要一步就是对抗安全软件。病毒进入用户电脑后,首先终止安全软件的运行,使杀毒软件无法正常运行,进而下载大量其他病毒到用户电脑中,给用户的个人网络财产安全带来严重威胁。
4、 “老”病毒泛滥 “明星”病毒减少
近年来,类似魔鬼波、熊猫烧香、灰鸽子等重大恶性病毒,凭借其传播广泛、破坏性强等特点,迅速成为病毒“明星”,为广大电脑用户所“熟知”。然而随之而来的各大安全厂商的追杀,广大用户的喊打,很快这些“明星”病毒就会被打压下去,病毒作者也会面临身陷囹圄的危险。因此一些重大的恶性病毒出现的机会在逐步减少。而与此相对应的,单个病毒、木马只入侵几千台电脑,甚至只入侵指定的某个IP地址段内的电脑,虽然这类病毒的攻击范围很小,但针对性更强,而且由于同类病毒的总量庞大,因此破坏性也是不容忽视的。
下载器病毒的泛滥导致了一些“老”病毒枯木逢春。2008年上半年,病毒下载器数量猛增,这些下载器一旦成功进入用户电脑,大量的木马将蜂拥而至。在这些木马中,有很多是早在几年前就能被杀毒软件清除掉的老木马。但由于下载器在下载木马之前已经将电脑内的安全软件屏蔽掉,因此即使这些能够被杀毒软件查杀的老木马也能够很“安全”的完成盗取用户信息的目的,这也从另一个方面促使黑色产业链的从业者加强了以破坏杀毒软件为目的的程序开发。
制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱,常规的病毒黑色产业链在2008年上半年开始正在发生新的变化。伴随着病毒制作技术的进步,病毒产业链也随之发生变化,新型产业链在技术上也呈现出分工明细的趋势,例如专门对抗杀软的病毒,专门下载其它病毒的downloader类别的病毒,专门的盗号功能等。
制作网马——入侵众多中小企业网站,篡改网页内容,植入各种网马——部分提供电影下载、软件下载、聊天交友、图片视频等网站出售流量——有人会在各种社区、论坛、博客、贴吧发布访问此类网站的广告链接,以吸引更多的访客去下载这些网马——盗号木马程序设计者,这些人专职开发针对各种网络游戏的盗号木马、网银木马——各种带有远程控制功能的木马设计者,此类程序可实现远程控制中毒的电脑,利用中毒电脑发起拒绝服务攻击。
随着病毒产业链的日趋完善,病毒产业链的最末端——洗钱的平台也在逐步多元化。众多12590业务的非法经营者,可通过盗来的QQ号等信息大量发送垃圾消息,总有众多不明真相的网民被骗;采用非正当手段进行网络商业活动,比如购买DDoS服务攻击竞争对手;雇佣DDoS攻击的工作室对目标客户发起攻击,再上门推销所谓的反DDoS产品。广泛存在的网游虚拟财富交易市场,市场里的众多买方本身也曾是黑色产业链的受害者。
网马,通常是故意利用浏览器漏洞或浏览器插件漏洞入侵,通常是木马下载器,一般是先中网马,然后由这个木马下载器下载更多的其它木马。
出售流量是指病毒制造者为快速传播木马,需要找流量大的网站进行挂马,如果病毒制作者自己做一个网站,想达到高流量,不是一件容易的事,最简单的方法是花钱买流量。随着黑色产业链的深化,流量也在逐步集中到某些实力雄厚的人手中,这些人可以用比别人更高的价格收购流量,进而在利用病毒进行牟利。
6、社会工程学的攻击手段成病毒入侵的重要途径
(1)利用热点事件
当用户上网搜索一些当下比较流行的信息或电影的时候,如“艳照门”、“色戒”等,搜索到的网页中很多都是带毒的,这是不法分子利用人的心理而设的圈套。
(2)利用用户对好友的信任通过即时聊天工具传播
随着聊天工具的安全防范措施,这类攻击已经不是主流,但还存在,有些病毒会通过QQ、msn等聊天工具自动向好友发送带毒信息或病毒文件。
(3)钓鱼网站
钓鱼网站也是一种常用的攻击手段,如www.jx2dbt.com是一个外挂的官方网站,而www.jx2dbtwg.com是钓鱼网站,但钓鱼网站做得跟官方网站一模一样,使得不少用户浏览了钓鱼网站或者下载了钓鱼网站的文件,导致中毒。另外一种方式不需要带毒,如银行的钓鱼网页,用户在登录的过程中,他会先记录下帐号和密码,然后再进行登录到正确的网站,而此时你并不知道你的帐号密码等信息已经失窃。
(4)捆绑软件
一些病毒会感染或者修改正常共享软件的安装包,使得用户在网站下载安装这些软件时感染病毒。另外一些病毒则直接替换掉下载链接的文件。
(5)高流量带毒链接
流量高的网站是可以用来卖钱挂病毒的,因此很多流量高的网页会被用来挂病毒。这类网站以黄色网站居多。
(6)江湖骗术
一些网络社区、聊天群里出现的骗子,往往会花言巧语诱使你接受打开对方发送的文件,以照片(其实是病毒文件)为典型。
(本文不涉密)
责任编辑:
上一篇:2008年下半年病毒、木马预测
下一篇:08安全:投入增多依然不安全