|
||||
2011年1月28日,國內領先的計算機反病毒廠商江民科技發布2010年度病毒疫情報告。2010年度,計算機病毒呈現七大流行趨勢,其中,為了對抗『雲安全』反病毒技術,許多病毒開始紛紛給自身『增肥』,把病毒文件增大至幾十上百兆,以逃避殺毒軟件『雲查殺』技術。
江民科技2010年度網絡安全報告顯示,2010年度,計算機病毒呈現如下七大流行趨勢。
一、流行木馬的技術蛻變
除了頻繁變種,最高時達到每天出現一百多個變種之外,一些游戲盜號木馬開始在技術上尋找突破。2010年,盜號木馬開始采用一種更加隱蔽也更加保全的做法:篡改一些游戲運行時必須加載的系統DLL文件來實現自身的啟動。這一做法源於Windows程序加載文件的機制不合理問題,即不去驗證加載的程序是否合法,而僅僅按照一定的路徑優先級順序尋找、加載文件名匹配的文件。盜號木馬的母程序通常會篡改系統DLL中的指定函數,或直接在DLL中加入新的節,之後修改入口代碼,從而實現指定惡意代碼的運行。如此一來,即實現了隱秘的自啟動,又不會影響正常的系統功能,可謂『一舉多得』。受此類盜號木馬青睞的系統DLL文件包括『imm32.dll』、『d3d8.dll』、『dsound.dll』、『ksuser.dll』、『comres.dll』等。
二、『刻毒蟲』變種久盛不衰
『刻毒蟲』變種家族在今年也一直保持著流行狀態。該蠕蟲自2008年底開始流行,至今仍舊活躍在各個階段的統計數據當中,甚至其個別變種的傳播勢頭絲毫不遜於新病毒。至今為止,該家族已產生近千個變種,是2003年以來感染面積最大的蠕蟲病毒。『刻毒蟲』變種會通過MS08-067漏洞在局域網內進行主動傳播,如果網內存在未安裝相關系統補丁的聯網計算機則會立即中招。另外,其還可以通過U盤等移動存儲設備進行傳播,如果用戶在使用此類設備前沒有經過查毒操作或習慣於通過雙擊方式打開的話,便會增加感染的風險。正是由於『刻毒蟲』充分地利用了多種傳播方式,從而為其大面積、持久的流行帶來了可能。
三、IE桌面快捷方式遭遇真假李逵
IE瀏覽器是上網衝浪不可或缺的組成部分,它是用戶進入互聯網的接口,是豐富內容得以展現的平臺。首頁是用戶開啟IE之後最先獲取到的內容,其可能對用戶後續的上網行為產生不同程度的影響。在互聯網經濟越發火熱的今天,其更是成為了相關利益群體的必爭之地。特別是對於那些依靠流量、推廣而生存的小型站點而言,如何牢牢地控制住IE首頁更是事關自身存亡的頭等大事。於是,IE首頁綁架便出現在了網民的生活中。
早先綁架IE首頁多是通過修改系統相關注冊表項來實現。這一方法最早可以追溯到上個世紀,其實現方法已經不再是個秘密。大多數具有注冊表監控的軟件可以很好的對其進行監控和防御,因此不法之徒也便不再利用。
後來不法分子們開始隱藏桌面上的IE瀏覽器圖標,並且釋放假冒的IE瀏覽器快捷方式。由於兩者看上去極為相似,最開始不容易引起用戶的懷疑。不過由於其打開IE後會自動訪問某些站點,而用戶又沒有發現注冊表相關鍵值被篡改,因此很容易聯想到是IE快捷方式存在問題。這類偽造的IE快捷方式具有『.lnk』擴展名,同時其右鍵菜單內容也不同於正常快捷方式,因此很快便露出了馬腳。隨之,這種方式的有效性也便失去了。
之後,又一種更加頑固的偽造IE快捷方式的方法出現。不法分子會在注冊表Namespace項下添加相關鍵值,以此仿冒出不可通過右鍵菜單進行刪除的IE快捷方式。由於其不具有擴展名,同時右鍵菜單內容也可以仿冒正常的IE快捷方式,從而更加具有迷惑性。這類快捷方式由於不便刪除,因此表現得較為頑固。但是眾多安全軟件廠商都推出了自己的清理工具,從而再次切斷了不法分子的生財之道。
四、 腳本病毒強大多變
Windows系統強大的功能,使得腳本多樣的應用成為可能。同時,由於腳本語言靈活的表述方式,使得加密變形也顯得十分容易。不法分子正是看到了這些,纔不斷瘋狂地利用腳本病毒進行經濟利益的牟取,方法也可謂無所不用其極。
6月份江民科技曾捕獲到一個腳本病毒。該病毒會將『開始』菜單下所有應用程序、系統功能的快捷方式篡改為隨機擴展名的惡意腳本文件,由於其圖標仍舊保持原來的樣式,因此十分具有迷惑性。這些偽裝成快捷方式的惡意腳本在運行後,會首先判斷所運行的進程是否為幾款常見的網頁瀏覽器。如果是,則會在進程名之後添加駭客指定的URL並且調用運行,從而以此種方式實現首頁的綁架。由於該病毒會在注冊表中生成大量隨機名稱的項目,因此會給手動清除工作造成很大的不便。另外,由於桌面和開始菜單下的所有快捷方式都無一例外的被篡改,病毒清除後需要進行的恢復工作也較為繁雜,否則仍會對用戶的電腦操作造成乾擾。該類病毒由於變種繁多,導致一些清理軟件並不能完全的將被篡改的快捷方式徹底恢復。如果用戶不慎點擊了殘留的惡意快捷方式,仍舊會激活藏身於系統文件夾中的母病毒,致使不斷的被重復感染,令用戶難以擺脫侵害。
五、 惡意快捷方式成為病毒啟動之匙
2010年7月中旬,微軟發布安全公告稱其在Windows Shell中發現了一個可以導致遠程代碼執行的漏洞。利用此漏洞十分容易,只需要精心構造一個指向惡意程序的快捷方式,並且將其與惡意程序放置在同一目錄下即可。當被感染系統用戶使用Windows資源管理器瀏覽包含該快捷方式的目錄時,便會自動觸發該漏洞並導致惡意程序的運行。微軟對這個漏洞發布預警的時間是7月16日,僅僅過了一周的時間,利用該漏洞的惡意程序便被應用在實際的攻擊當中。
2010年9月,一個名為『超級工廠』的蠕蟲病毒借用包括此漏洞在內的多個系統漏洞秘密潛入我國,並迅速引起國家相關部門以及各大反病毒廠商的警惕。該病毒之所以會造成如此大的反響,是因為其會對指定的工業控制軟件進行感染,以此實現對工業生產過程的控制和破壞,從而造成嚴重的乾擾和影響。據說該病毒曾成功地破壞某國的鈾濃縮設備。在相關部門的努力以及各大廠商的配合之下,該病毒並未在我國大面積的流行。但由此可見各種系統漏洞足以成為病毒在世界各地恣意漫游的『通行證』,足以成為喚醒病毒的『還魂草』。
六、 網購木馬初露端倪
網絡購物的興起,為廣大網民帶來便捷和實惠的同時,也讓無孔不入的不法分子嗅到了其中的機會。相比較之前依靠盜取游戲、即時通訊軟件賬號等以『量』取勝,且日漸頹靡的牟利方式而言,網絡購物這塊更為誘人的蛋糕顯然更能吸引他們的注意力。據江民反病毒中心的統計數據顯示,2010年全年新增網銀木馬近400個,較2009年上昇了約6%。仍處於活躍狀態的網銀木馬近600個,較2009年增長了約一倍。
七、 病毒以『胖』為『美』
通常情況下,病毒文件的體積都比較小巧,這樣不僅體現了病毒作者在編程方面的功力,同時也利於病毒的傳播和隱藏。但是2010年病毒的『增肥』風卻漸漸的興起,越來越多的病毒不再一味的追求『骨感』,而是將體積擴大至原先的成百或上千倍之巨。數十兆甚至上百兆的病毒文件聽起來甚是令人感到驚愕,這般體積似乎已經和一些視頻文件相當。當然,病毒作者如此而為之並非無聊之舉或一時興起,他們最主要的目的即是為了對抗越發流行的『雲查殺』。
通常情況下,雲查殺會利用MD5或類似技術對文件進行安全檢測。如果一個文件被標識為惡意或可疑,那麼它只要改變自身的MD5值即可繞過『雲查殺』的檢測。而在程序中填入一些無用的指令或者代碼即可實現MD5的改變。同時,由於填充後的文件體積過於龐大,一些『雲查殺』會自動略過這些文件,致使這些惡意程序不被掃描或收集到,從而增強了其生存幾率。可見,一些針對『雲查殺』性能的優化設計在改善了用戶體驗的同時,也給了病毒以苟且偷生的機會。
據江民反病毒中心的監測顯示,此種體積龐大的病毒在『雲查殺』廣泛流行之前也曾經出現過,但在2010年則表現出增長的勢頭。因此我們可以看出,病毒作者也在時刻關注著反病毒技術的發展,並妄圖求得在夾縫中生存的機會。我們也不難看出,『雲查殺』作為一種新興的技術形式,其尚未達到完全成熟或可以絕對信任的程度,傳統的基於本地的反病毒產品仍然具有不可替代的作用,同時也是一切『雲查殺』的基礎。