2007年,互联网迅猛发展,网络应用日益广泛与深入,网络炒股、网络游戏、网银用户大幅增长;与此同时病毒的“工业化”入侵以及“流程化”攻击等 特点越发明显,以熊猫烧香、灰鸽子、AV终结者为代表的恶性病毒频繁出现,广大用户对互联网安全问题的关注日益增强。在2008年开始之初,我们一同来回 顾一下2007年中国互联网的安全情况。
2007年中国互联网安全情况整体分析
2007年,计算机病毒/木马仍处于一种高速“出新”的状态。2007年,金山毒霸共截获新病毒/木马283084个,较06年相比增长了 17.88%,病毒/木马增长速度与06年相比有所放缓,但仍处于大幅增长状态,总数量还是非常庞大的。下图为近几年来的新增病毒/木马数量对比(图 1):
图(1)
在新增的病毒/木马中,盗号木马仍然首当其冲,新增数量多达118895个,黑客/后门病毒、木马下载器紧随其后,这三类病毒构成了互联网黑色产业链的中流砥柱。下图是不同类别病毒/木马比例图(图2):
图(2)
2007年,据金山毒霸全球反病毒监测中心统计数据,全国共有49,652,557台计算机感染病毒,与去年同期相比增长了18.15%,互联网用户遭受过病毒攻击的比例占到90.56%。全国各省的计算机病毒感染量如下表(图3):
图(3)
2007年十大病毒/木马(图4)
根据病毒危害程度、病毒感染率以及用户的关注度,计算出综合指数,最终得出以下十大病毒/木马为2007年最危险的病毒/木马。
危害程度:分5级,最高级为5。我们将危害的种类分为:A破坏用户系统,B盗取用户信息,C能进行自我传播 D广告行为 E下载其它木马
5级:具有上述四种及以上行为的病毒/木马
4级:具有述任意三种行为的病毒/木马
3级:具有C行为加任意一种行为的病毒/木马
2级:具有A B C任意一种行为的病毒/木马
1级:具D E任意一种行为的病毒/木马
病毒感染:对于广义的病毒定义来讲,本文所指感染包括病毒感染或木马入侵。
病毒感染率:该病毒感染或入侵的计算机台数占总感染(或入侵)台数的比率,为方便统计,统称为感染率,下同。
用户关注度:我们收集用户对病毒的关注数据,如:论坛讨论热度的评估,新闻及病毒分析报告的点击率或关键字热度,将其分为3级,热门、高度、普通。
(图4)
1、网游盗号木马
这是一类盗取网游账号密码或装备的木马。这些木马具有高度的代码相似性,并且变种繁多,盗取各种网络游戏的帐号密码,这 是木马产业化的一个产物。这类木马会在系统目录下释放一个exe文件和dll文件,后期的变种会在“%windir%Fonts”目录下释放一个dll文 件和一个fon文件,同时关闭常用杀毒软件和windows自动更新。
2、AUTO病毒
该病毒在各磁盘分区根目录中生成AUTO病毒,分别是一个exe文件和autorun.inf辅助文件,它们都具有隐藏属性。当用户鼠标左键双击打开有AUTO毒的盘符时,病毒随即触发。随后病毒就修改注册表,创建服务,达到开机自启动的效果。
当系统重新启动后,病毒便可自动运行起来,很多这类病毒会修改系统时间,使得某些根据系统时间判断软件有效期的杀毒软件停止工作。导致系统安全防护能力丧失,更容易被其它病毒侵入。
随后,该病毒会尝试感染、阻止或干扰已安装的杀毒软件正常运行比如用户使用金山毒霸的反间谍隐蔽软件扫描时,病毒会突然弹出大量关于伪装成与金山毒霸相关的网页。由于这些病毒网页打开的的速度极快、数量繁多,系统资源将会被严重占用,最后甚至会死机。
3、灰鸽子
这个木马黑客工具大体于2001年出现在互联网上,当时被判定为高危木马。2004年的感染统计表现为103483人,而到2005年数字攀升到890321人。该病毒从2004年起连续三年荣登国内10大病毒排行榜,至今已经衍生出超过6万个变种。
灰鸽子病毒的文件名由攻击者任意定制,病毒还可以注入正常程序的进程隐藏自己, Windows的任务管理器看不到病毒存在,需要借助第三方工具软件查看。中灰鸽子病毒后的电脑会被远程攻击者完全控制,黑客可以轻易的复制、删除、上 传、下载保存在你电脑上的文件,还可以记录每一个点击键盘的操作,用户的QQ号、网络游戏帐号、网上银行帐号,可以被远程攻击者轻松获得。更有甚者,远程 攻击者可以直接控制摄像头,远程攻击者在窃取资料后,还可以远程将病毒卸载,达到销毁证据的目的。灰鸽子自身并不具备传播性,一般通过捆绑的方式(包括: 网页、邮件、IM聊天工具、非法软件)进行传播。
4、熊猫烧香
“熊猫烧香”是由Delphi语言编写的蠕虫,终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为gho的文件,使用户无法使用ghost 软件恢复操作系统。“熊猫烧香”感染系统的.exe、.com、.pif、.src、.html、.asp文件,添加病毒网址,导致用户一打开这些网页文 件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,还会通过QQ最新漏洞、网络文 件共享、默认共享、系统弱口令、U盘及移动硬盘等多种途径传播。而局域网中只要有一台机器感染,就可以短时间内传遍整个网络,感染严重时可以导致网络瘫痪 或系统崩溃。
5、AV终结者
AV终结者集目前最流行的病毒技术于一身,而且破坏过程经过了严密的“策划”,普通用户一旦感染该病毒,从病毒进入电脑,到实施破坏,四步就可导致用户电脑丧失安全防护能力。
1)禁用所有杀毒软件以相关安全工具,让用户电脑失去安全保障;
2)破坏安全模式,致使用户根本无法进入安全模式清除病毒;
3)强行关闭带有病毒字样的网页,只要在网页中输入“病毒”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法;
4)在各磁盘根目录创建可自动运行的exe程序和autorun.inf文件,一般用户重装系统后,会习惯性的双击访问其他盘符,病毒将再次被运行。
摧毁用户电脑的安全防御体系后,“AV终结者”自动连接到指定的网站,大量下载各类木马病毒,盗号木马、广告木马、风险程序接踵而来,使用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。
6、艾妮
艾妮是一个Win32平台下的感染型蠕虫,可感染本地磁盘、可移动磁盘及共享目录中大小在10K---10M之间的所有.exe文件,感染扩展名为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件,并可连接网络下载其他病毒。
“艾妮”病毒集熊猫烧香、维金两大病毒危害于一身,传播性与破坏性极强,不但能疯狂感染用户电脑中的.exe文件,而且还可导致企业局域网大面积瘫 痪。更为严重的是,“艾妮”利用微软最新发现的动画指针漏洞进行传播,几乎就在微软最新的动画光标漏洞发现的同时,就开始利用该漏洞进行传播,而且隐蔽性 更强,用户很难察觉。
7、MSN机器人
这是一个通过MSN传播的病毒,该病毒有很多变种。该病毒的主要特点是通过MSN发送消息+病毒文件给好友。好友接收运行文件后,就会感染病毒。最 新截获的变种为圣诞节变种,该变种会向msn好友随机发送“Christmas photo! :D”、“xmas photo!: D”等消息,并同时发送“Chirstmas-2007.zip”文件,解压后的文件名为img2007-12.JPEG.scr,用户运行该文件就会中 毒。
该病毒会连接IRC聊天室,由IRC聊天室接受黑客指令进行远程控制,使用户文件、资料、信息等面临被盗;并且用户主机可能成为“肉鸡”。
8、维金变种
2006年在互联网上疯狂肆虐的“维金”又出现了新的变种,危害更加严重。该病毒运行后,会在电脑系统里释放WebTime.exe病毒文件,并把 自身注入到IEXPL0RE.EXE,连接到指定站点并搜寻电脑硬盘中的所有扩展名为.exe的文件,进行感染。某些变种还会在每个磁盘的根目录下生成病 毒文件,使当用户点击磁盘盘符时,便可立即激活病毒。
它还会把自身注入到用户电脑的IE进程里,同时终止多个杀毒软件的监控进程,并连接到指定的恶意站点,下载盗号木马或者其他感染型病毒,进一步侵害 用户的电脑系统,不但导致用户的系统硬盘的资料和数据文件被损坏,而且有可能出现用户的电脑资料外泄和网络虚拟财产被盗等现象。
9、瓢虫病毒
“瓢虫”病毒与熊猫烧香类似,感染性极强,用户电脑一旦感染该病毒,除系统盘外,被感染后的exe文件图标将变成绿色的“小瓢虫”;同时,用户电脑 内的浏览器、任务管理器、文件夹选项、系统时间等项目都将遭受破坏。该病毒还会打开各盘共享,使得计算机资源可以被随意访问下载。最主要的是,“瓢虫”病 毒使用覆盖式感染文件,被感染后的文件将无法被恢复。
10、网络红娘
网络红娘是一个远程控制的木马,网络红娘可以轻易盗取被入侵者计算机上的信息。如:网游帐号,银行帐号等。常被用于网络游戏中盗取装备。首先,持有 病毒服务端的人会在网络游戏中以女性角色“色诱”玩家,然后通过及时聊天工具(如QQ等)进行视频聊天,等玩家的戒备心理降低时,发送“我的照片”给对 方,当玩家打开病毒伪装的“照片”时,病毒开始运行。该木马运行后会监视键盘和鼠标动作,收集客户端计算机的信息。然后,将这些信息发送给盗号者或黑客。 盗号者可以发送命令查看他的桌面、当前运行的窗口的标题、文件的列表、文件的内容以及键盘记录等等。当发现了有用的信息之后,盗号者就趁机盗取。
2007年其他值得特别关注的恶性病毒/木马
“色戒”病毒
“色戒”病毒并不是特指某个一病毒。而是借助电影《色戒》热播进行传播的病毒。病毒在一些网站上以“色戒”或“色戒完整版”的名义供用户下载。当用户下载完双击运行时,则病毒爆发,并下载执行大量其它病毒,如盗号木马等。
因此,用户在下载电影后,如果字节数很小的话,往往只有几K的大小,则很有可能是病毒。而电影一般都有几百兆的大小。
8749恶意软件
2007年7月以来,8749的恶意软件在互联网上大肆传播,大量用户的IE浏览器首页被篡改为www.8749.com。由于8749采用了今年上半年的“毒王”AV终结者最新的病毒攻击技术,故普通用户很难彻底清除。
8749不但具备流氓软件的一些基本特性,而且采用了删除系统文件、破坏安全模式等最流行的病毒攻击手段。与AV终结者相似,用户一旦中招,不但相关的修复工具、杀毒软件被禁用,而且只要用户打开带有“8749病毒”、“清除8749”字样的窗口,窗口即刻被关闭。
二、2007年计算机病毒/木马的特点分析
1、病毒“工业化”入侵凸显病毒经济
病毒/木马背后所带来的巨大的经济利益催生了病毒“工业化”入侵的进程。2007年上半年,金山对外发布了病毒木马产业链的攻击特征,在此阶段,病毒木马 的攻击通常是针对单个计算机的攻击行为。攻击的手法,一般利用社会工程欺骗的方式,发送经过伪装的木马以及通过网页挂马构造大面积的陷阱。这种攻击需要受 害者“配合”,比如需要用户去浏览相应网页或接收和执行相应的程序。
2007年下半年,一种新的病毒木马攻击手法被广泛利用。攻击过程完全由攻击者一方发起,而且能够获得很高的成功率。他们利用扫描器发现开放端口的 联网主机,再使用一种被称为“种植者”的黑客工具,攻击存在这种漏洞的计算机,直接获取远程计算机的管理权限,命令远程主机下载并执行恶意程序。
然而,还不仅仅如此,一种“工业化”的入侵手段已经在黑客圈广为流传。攻击者把上面那些攻击流程完全自动化,扫描端口、远程入侵、下载木马完全自动化,抓取肉鸡效率仅取决于用于发起攻击的计算机性能和网络带宽。(图5)
图(5)
对于攻击者来说,在互联网寻找目标并非难事——很容易找到没有采取任何保护措施的盗版XP系统,大量只关心使用不关心安全的电脑使用者。对于这样的 系统,需要安装网络防火墙来应对“工业化”的病毒攻击,比如安装金山网镖,可以防止本机被远程攻击成功。这里需要指出的是,windows防火墙的缺省设 置对此类攻击完全没有抵抗能力。用户可以按照金山清理专家打分系统的指导,修补系统漏洞,提升电脑系统的安全性。
2、电脑病毒/木马传播的WEB2.0化
Web2.0给网民带来全新的上网体验,web2.0的内容源不再由少数专业人士发布,任何人都可以成为内容源的发布者,这为那些别有用心的攻击者提供了 更多的机会——各种恶意代码以热门事件为幌子被传输到网络上等待被下载。众多BLOG、论坛、社区、视频网站成为病毒泛滥和传播的温床。
Web2.0程序本身存在的威胁也是新的安全课题,安全厂商注意到myspace蠕虫和百度空间蠕虫是新蠕虫的代表。跨站点脚本攻击,变得越来越普及,因为黑客们已经发现了这类攻击的作用和好处。
攻击者可以在用户毫不知情的情况下造成许多危害,其中包括强迫PC下载非法内容、侵入其他Web站点或发送电子邮件等。利用AJAX,在后台无声无息地传递数据,很难被发现,为AJAX蠕虫隐身传播带来了绝佳的便利!其中百度空间蠕虫源码已经公布。
对于普通的电脑用户来说,根本无法从众多内容源中区分威胁。金山毒霸2008和金山清理专家的网页防挂马组件,可成功拦截后台“非法”的下载行为,减少用户因浏览网页而感染病毒的机会。
3、黑客技术与病毒技术的广泛协作
2007年ARP病毒广为人知,其实在更早的时候,ARP攻击行为已经令企业网管头疼不已。比较常见的是部分“传奇盗号木马”,当局域网中某台计算机中了 这个木马,会向局域网发送大量ARP数据包,该木马对局域网的影响超出了盗号造成的破坏,表现为网络通信时断时通,网速变慢。07年的ARP欺骗,已经不 再局限于此,通过劫持网络会话,可以在正常计算机上网时,插入特定恶意代码,强令未中毒的正常计算机浏览指定网站或下载病毒木马。
更为严重的是,这种攻击行为已经扩散到从客户端到内容源服务器之间的所有环节。攻击者利用黑客技术入侵广域网路由,导致 某地区所有计算机访问网站时下载木马或强行弹出广告。攻击者还会攻击内容源服务器所在的局域网,当黑客成功入侵内容源服务器所在网段的某台主机后,再利用 ARP欺骗劫持会话,造成所有访问该内容源的客户机下载病毒木马或者弹出广告。(图6)
图(6)
ARP攻击利用的是网络传输协议的漏洞,只有修改网络协议才能从根本上解决这一问题,目前情况下只能做到缓解,其中很多 工作要靠网管员来解决。普通用户能做的,是利用现有工具尽可能保护自身不被攻击,或者自己不要感染了ARP病毒去攻击其它计算机。金山ARP防火墙提供了 简单的解决方案,可在一定程度上应对ARP攻击的挑战。(图7)
图(7)
4、病毒入侵“流程化”
2007年,病毒攻击手段的流程化迹象日益突出。大量病毒进入用户电脑后首先终止杀毒软件的进程,导致用户电脑失去任何安全屏障;接下来,病毒将肆 无忌惮地下载大量盗号类木马到用户电脑内;最后驻留在用户电脑内的盗号木马伺机作案,盗取用户的网银、网游帐号密码以及其他个人机密文件。
以AV终结者为例,该病毒进入用户电脑后,开机时可自动加载,并“绑架”安全软件,令大量杀毒软件、系统管理工具、反间谍软件不能正常启动。同时监视活动 窗口的关键字,发现带“杀毒”等字样的,就立即关闭窗口。在用户对其束手无策的情况下,AV终结者疯狂下载木马、后门程序,进而窃取用户相关资料和帐号信 息。
5、病毒传播突显“长尾”理论
图(8)
在2007年度的10大病毒中,几乎无一例外,具有变种多的特征。很多人以为AV终结者是一个病毒,实际上是一大批具备 相似现象的病毒集合。下半年很多用户知道Auto病毒,不少人认为这是一种病毒,而事实上,利用U盘的自动运行功能传播的病毒成百上千,这些病毒还具备 AV终结者的特征。
AV终结者、Auto病毒、木马下载器泛滥,和一两年前相比,病毒传播的趋势发生了巨变。现在的情况是,每个盗号团伙释放的木马,只影响或入侵部分 网络,而不象以前那样尝试入侵所有的网络终端。因为是人为释放的结果,盗号团伙可以很容易的控制木马更新版本,以逃避查杀。位于这个“长尾”下被入侵的计 算机总数相当庞大。
这种状态下,对杀毒软件的挑战是越来越多的病毒木马难以被监测网捕获,或者在捕获这些木马前,这些木马有着较长的生存时间。杀毒软件更快更准的捕获这些病毒,将会给用户提供更多的安全。到目前为止,杀毒厂商和制毒贩毒者之间猫捉老鼠的游戏,还远未终结。
如何打破病毒和杀毒的僵局,金山毒霸的研发人员在探索全新的反病毒方法。首先使用网络爬虫技术,自动收集互联网出现的二进制程序;其次,在金山毒霸 2008中,独有的三维互联网防御体系,通过行为拦截技术,发现并上报危险程序;通过自动化分析与人工分析相结合,对收集上来的程序进行快速甄别。利用该 技术,缩短了金山毒霸对病毒、木马的响应时间。
6、病毒传播方式多样化 相互模仿严重
病毒/木马制作模仿现象严重,一些病毒制作者将现有的病毒制作技术进行重新的搭配,使其获得更大的危害程度。2007年公布的10大病毒中,“灰鸽子”对应“网络红娘”,“熊猫烧香”对应“瓢虫”,他们只是在出现的时间不同,其传播和危害的方法都如出一辙。
互联网的高速发展带来病毒制作技术的不断翻新,但制作创意更易被病毒作者所接受。在熊猫烧香出现时间和瓢虫病毒出现时间之间,也同样出现了很多相似的病 毒,如:“神奇小子”,这说明“熊猫烧香”的病毒制作创意受到了病毒作者的追捧,到年底“瓢虫”这一“改良”后的“熊猫烧香”差一点就成为毒王。
近年来病毒/木马泛滥的主要原因是制作门槛的降低,许多的黑客网站提供了相应的教学方法,让VXer(病毒作者的简称)大量出现,而今年这种通过创意模 仿并改进的病毒的增多更加成为一个较鲜明的特点。相比病毒/木马的传播和破坏在技术上的改进,制作病毒的“创意”可能会成为病毒/木马界新焦点。
除了上述六大特点外,2007年,各类病毒百花齐放,以各种传播方式不断进攻互联网,其中三大类病毒的数量明显增多:
1、对抗杀毒软件和破坏系统安全设置的病毒明显增多
对抗杀毒软件和破坏系统安全设置的病毒以前也有,但07年从AV终结者病毒爆发之后,此类病毒便频繁出现。主要是由于大部分杀毒软件加大了查杀病毒 的力度,使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样,如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows 自动升级等功能。
2、利用可移动磁盘传播的病毒明显增多
随着可移动磁盘技术的不断发展,以及可移动磁盘价格下降,拥有可移动磁盘的用户也大量增加,病毒也开始趁机作乱,除了蠕虫,普通的木马很多也会通过 可移动磁盘进行传播,主要方式是复制一个病毒体和一个Autorun.inf文件到各盘。如果用户插入可移动磁盘,可移动磁盘将会被感染,然后当可移动磁 盘插入另一台机器,Autorun.inf发生作用,启动病毒感染计算机。
3、感染型病毒持续增多
感染型病毒曾经是Dos时代病毒的特点,进入windows之后,感染型病毒的量下降很多。但随着2006年的维金和2007年初的熊猫烧香病毒 “风靡”全国之后,从金山毒霸病毒监测系统显示,感染型病毒不断增多,除了传统的感染方式,还新增了如瓢虫、小浩等覆盖式感染,这种不负责任的感染方式将 导致中毒用户机器上的被感染文件无法修复,带来毁灭性的损坏。因此建议用户使用正版杀毒软件,并开启实时监控,能够在病毒运行起来之前将其查杀。
三、2008年病毒/木马技术发展趋势预测
在技术日新月异的今天,病毒/木马与反病毒软件之间的技术斗争愈演愈烈,金山毒霸全球反病毒监测中心预测2008年病毒/木马在技术方面将表现为三大趋势:
1、新平台上的尝试。病毒/木马进入新经济时代后,肯定是无孔不入。因此在2008年,我们可以预估Vista的病毒 将可能成为病毒作者的新宠。网络的提速让病毒更加的泛滥,当我们的智能手机进入3G时代后,手机平台的病毒/木马活动会上升。软件漏洞的无法避免,在新平 台上的漏洞也会成为病毒/木马最主要的传播手段。
2、反主动防御或穿透主动防御的新技术将出现。在未来的2008年主动防御的反病毒技术必将成为主流。理想状态下,主动防御能处理目前所有的已知病毒。但软件在计算机中始终是程序而不是智能生物,病毒作者必将针对各类主动防御技术研发出新的穿透技术,就像近两年来采用加壳技术来躲避特征法一样来躲避主动防御技术。
3、网络欺诈会越演越烈。网络欺诈是最不需要技术含量的,但其通用性和易用性将成为一些网络骗子的利刃。2008奥运年,奥运会必将成为民众关注的焦点,同时如此高度吸引眼球的社会事件也将成为网络欺诈最好的诱饵。
在未来的2008年中,互联网可能会面对上述多种不同的危胁,安全产商必将而临更多的技术难题和需求。通过对网络安全形势变化以及趋势的分析,反病毒技术的发展也将呈现出三个明显的趋势:
1、客户端的防御系统将进一步加强与木马的对抗能力(Rootkit、商业木马等)。随着操作系统安全性的提高以及互联网厂商运营能力的提升,对抗将趋于平衡
2、类似“可信认证”技术将进一步发展,服务端判定将逐步取代本地特征码对木马的判定
3、识别恶意行为的AI计算,将逐渐从客户端转向服务端
注:《2007年中国电脑病毒疫情及互联网安全报告》中的数据由金山毒霸全球反病毒监测中心、金山毒霸全球病毒应急处理中心、金山毒霸客户服务中心联合监测得出。本报告的所有结论和所持观点均由金山独家发布,与其它合作公司、部门无关。
同时您及金山均认可病毒、恶意程序等的产生、传播存在不可控制性及不可预见性,因此金山仅保证在其可掌握的数据、技术水平许可范围内及其已掌控病毒 范围内出具本报告,金山不就任何其尚未掌控的病毒、恶意程序等作任何保证,但金山将致力于不断提高技术水平及掌控病毒范围。您已经明确知悉所述情况,并承 诺不因信任或使用本报告而可能出现的任何结果向金山主张权利。