|
||||
近日,國內著名計算機反病毒廠商江民科技發布了2009年上半年計算機病毒疫情特征報告。
2009年上半年,沒有爆發較大的計算機病毒疫情。這也與我國病毒主要以木馬病毒為主有關,潛伏性、隱蔽性是木馬病毒的特征,因此從表現上已很難再發生類似『衝擊波』『熊貓燒香』這樣的重大計算機病毒疫情。綜合江民反病毒中心2009年上半年截獲的所有新增病毒,以及監測發現的網頁掛馬事件和重大系統及應用軟件漏洞,2009年上半年計算機病毒疫情呈現出如下特征:
FLASH等第三方軟件漏洞成為木馬病毒傳播新途徑
2009年上半年,計算機病毒、木馬的傳播方式以網頁掛馬為主。掛馬者主要通過微軟以及其它應用普遍的第三方軟件漏洞為攻擊目標。據江民反病毒中心統計,木馬傳播者所利用的微軟漏洞與第三方應用軟件漏洞,已經基本達到各佔一半的比例。
2009年上半年,微軟操作系統接連被發現兩個『零日』漏洞。5月31日,江民反病毒中心監測發現,微軟DirectShow漏洞在播放某些經過特殊構造的QuickTime媒體文件時,可能導致遠程任意代碼執行。 7月8日,微軟確認視頻處理組件DirectShow存在MPEG零日漏洞,江民反病毒中心監測發現大量網站被黑客攻陷,利用該漏洞進行網頁掛馬。
除了微軟最新漏洞之外,網頁掛馬者最青睞的漏洞還包括RealPlayer 、Flash 暴風影音這些最常用的播放軟件漏洞。RealPlayer從2008年起就成為駭客掛馬的最常用漏洞之一,暴風影音在今年4月30日被首次發現零日漏洞,該漏洞存在於暴風影音ActiveX控件中,該控件存在遠程緩衝區溢出漏洞,利用該漏洞,黑客可以制作惡意網頁,用於完全控制瀏覽者的計算機或傳播惡意軟件。江民反病毒中心監測發現數百個惡意網頁利用暴風影音零日漏洞掛馬,該漏洞還間接導致了一場江蘇等六省斷網的黑客內斗事件。
Flash漏洞由來已久,2008年上半年『Flash蛀蟲』病毒曾利用Flash漏洞大肆傳播,導致大量未安裝殺毒軟件或未更新Flash到最新版本的電腦用戶受到病毒侵害。而2009年7月23日,ADOBE公司的Flash再次被爆發現零日漏洞,當用戶使用瀏覽器訪問受感染網頁的時候,這個安全漏洞可能會導致攻擊者控制用戶的計算機。Adobe證實,Flash Player 10、Flash Player 9、Reader和Acrobat均存在該嚴重安全漏洞,很容易遭到黑客攻擊。7月31日ADOBE公司發布了該漏洞補丁,但江民反病毒專家已經監測到利用該漏洞的惡意網頁出現,反病毒專家預測,該漏洞很有可能導致類似於去年的『Flash蛀蟲』同樣嚴重情況發生。
灰色產業鏈日益成熟導致木馬病毒激增
灰色產業鏈的日益成熟,帶來了計算機病毒數量的激增。一些道德、法律意識單薄的人意識到,如果涉入灰色產業,付出最少的成本或者零成本、用最少的時間、承擔最低的風險,就能獲得頗豐的收益。2009年上半年總體來說是比較平靜的半年,在這半年裡,新型病毒的出現以及新技術的應用較少,而木馬生成器產生的變種病毒卻有較大幅度的增長。同時,參與制造與傳播病毒的人群分工越加明細,之間的技術合作與成果共享也越加頻繁。
1. 新型病毒出現少、新技術應用少。今年年初截獲的『刻毒蟲』 (Worm/Kido)則是今年少有的幾個危害較大、技術手段新穎、查殺難度大、變種頻繁的計算機病毒之一。它使用了很多新穎的技術手段,可能是未來計算機病毒廣泛學習並采用的對象。大量的線程、管道、修改API等,使得分析與處理都比較困難。國內外都先後出現政府、企業、軍隊等部門的計算機系統遭到感染並且難以清除的情況。在加殼免殺以及自我保護技術上,病毒也是不斷地進行昇級和突破,從而更好地增強了自我保護、增加了自身的生存幾率。目前應用比較廣泛的方法是調用驅動恢復系統服務描述表(SSDT),從而輕易地結束殺毒軟件的自我保護。也有通過向程序窗口發送特定的消息代碼以關閉進程,或通過命令行停用殺毒軟件對應的系統服務。
2. 制造與傳播病毒的人群大幅增長,以及各類生成器生成的變種木馬佔據主流。通過分析發現,大量的盜號木馬在內部結構上呈現出驚人的相似性,但其中設定的收信地址則各不相同。由此可以斷定,這些盜號類木馬是由生成器自動生成,再由攻擊者對其稍作處理後放在網上進行傳播。例如『瑪格尼亞』變種家族,其在最近的兩個月內便產生了近300個變種,氣焰十分囂張。木馬生成器的出現直接導致了參與盜號、抓肉雞的人群的增長,技術的門檻大大降低。即便是完全不懂技術的人,也可以通過較低的代價去逾越技術上的壁壘。同時,這也帶動了黑客教學、惡意程序銷售等灰色產業的『蓬勃發展』 ,從而對整個計算機信息安全環境構成了極大的威脅。
制造與傳播病毒的人群分工明確、技術合作與成果共享頻繁。計算機病毒的設計者作為少數具有程序編寫能力的人,之間也存在明確的分工:有的負責編寫盜號木馬、有的負責編寫木馬下載器、有的負責編寫反殺毒軟件的驅動程序、有的負責分析最新的漏洞、有的負責制作網頁木馬等等,所以經常可以看到同一驅動程序在不同病毒中出現共用的現象。而最新漏洞的利用代碼也可以在網上輕易地獲取,從而使得大量尚未來得及修復漏洞的用戶掉入駭客布下的陷阱。
新型網上竊密手段出現 從盜號到改單
對比半年來流行的盜號類木馬,可以發現這樣的特點:第一季度以『網游竊賊』(Trojan/PSW.OnLineGames)為主,而第二季度則以『瑪格尼亞』(Trojan/PSW.Magania)為主。在日常的分析過程中我們發現,網游竊賊在進程的匹配過程中直接以匹配進程名的方式進行。以盜取『夢幻西游』游戲賬號的木馬為例,如果當前的進程名為『my.exe』 ,則木馬便會進行相關的惡意操作。而『瑪格尼亞』則是通過匹配進程名字符串的MD5值的方式進行,例如當前進程名的MD5值如果為『292685d9ed93e1336ebe01b60314d8f8』(字符串my.exe的MD5值) ,則會進行相關的惡意操作。除了以上方面的改變,對收信地址進行加密處理從而隱藏不法分子的蹤跡也是盜號木馬的慣用做法。
另一特點就是手段新穎。有些計算機病毒並沒有復雜的程序設計與系統底層調用,但創新的欺騙方式使得用戶防不勝防,如上半年出現的『「網銀竊賊」變種ied』(TrojanSpy.Banker.ied)。它會在被感染計算機的後臺秘密監視用戶打開的所有窗口標題,一旦發現指定標題的窗口,如『廣東發展銀行網上支付系統』 、『中國工商銀行新一代網上銀行』等,便會跳轉到不同網上銀行的匯款單頁面,通過修改用戶的匯款單匯入帳號來達到竊財的目的,用戶未發現異常並完成該筆交易,則用戶的資金將被轉入駭客指定的賬戶中。由於駭客不具備數字證書、U盾等身份合法性驗證條件,無法直接利用盜取的網銀帳號以及密碼,因此將盜竊方法改為上述方式。不過由於盜取網銀資金涉及實體財產,在目前法律法規的威懾下容易被界定以及量刑,大多數不法之徒為了求得自保很少或不敢輕易地覬覦用戶的網銀財產,所以針對網銀的木馬還是相對較少的。
下半年計算機病毒發展趨勢預測
在目前的法律法規環境下,通過傳播計算機病毒來牟取非法利益有著『低風險、高回報』的特點,故預計下半年各類計算機病毒數量將會進一步的增長。同時,倒賣『肉雞』 、竊取賬號、惡意推廣軟件或網站、網絡釣魚等任何可以牟利的手段也都會隨之呈現出愈演愈烈之勢。
有調查顯示,目前智能手機只佔全球手機總銷量的13%。盡管整體上手機市場較為疲軟,智能手機卻保持良好的增長幅度。據IDC估計,苹果和RIM第一季度的智能手機市場佔有率在32%左右。隨著智能手機市場的不斷擴大,利用手機系統漏洞或軟件漏洞實施破壞與竊取用戶私密信息的各類手機病毒將會出現。同時,伴隨中國3G網絡的試商用結束,用戶可能會在接收短信、打開藍牙設備、訪問Internet、接收郵件、使用即時聊天工具、下載安裝『破解免注冊』軟件等許多方面遭受手機病毒的侵害。
同時,網頁掛馬以及U盤等存儲設備將會繼續成為病毒的主要傳播方式。特別是上網本的流行以及上網本的用戶群體普遍存在安全意識不高的情況,由此可能導致更多的計算機用戶成為計算機病毒的受害者。所以,設置復雜的系統登陸密碼、不隨意下載並運行來源不明的程序、通過正確方式訪問U盤等移動存儲設備、及時地修復系統以及應用軟件的漏洞等老生常談的安全防范措施,仍舊需要安全廠商和媒體不厭其煩地灌輸給廣大的互聯網用戶,從而幫助他們樹立正確的良好的安全意識,避免遭受各類計算機病毒的侵害。