近日,国内著名计算机反病毒厂商江民科技发布了2009年上半年计算机病毒疫情特征报告。
2009年上半年,没有爆发较大的计算机病毒疫情。这也与我国病毒主要以木马病毒为主有关,潜伏性、隐蔽性是木马病毒的特征,因此从表现上已很难再发生类似“冲击波”“熊猫烧香”这样的重大计算机病毒疫情。综合江民反病毒中心2009年上半年截获的所有新增病毒,以及监测发现的网页挂马事件和重大系统及应用软件漏洞,2009年上半年计算机病毒疫情呈现出如下特征:
FLASH等第三方软件漏洞成为木马病毒传播新途径
2009年上半年,计算机病毒、木马的传播方式以网页挂马为主。挂马者主要通过微软以及其它应用普遍的第三方软件漏洞为攻击目标。据江民反病毒中心统计,木马传播者所利用的微软漏洞与第三方应用软件漏洞,已经基本达到各占一半的比例。
2009年上半年,微软操作系统接连被发现两个“零日”漏洞。5月31日,江民反病毒中心监测发现,微软DirectShow漏洞在播放某些经过特殊构造的QuickTime媒体文件时,可能导致远程任意代码执行。 7月8日,微软确认视频处理组件DirectShow存在MPEG零日漏洞,江民反病毒中心监测发现大量网站被黑客攻陷,利用该漏洞进行网页挂马。
除了微软最新漏洞之外,网页挂马者最青睐的漏洞还包括RealPlayer 、Flash 暴风影音这些最常用的播放软件漏洞。RealPlayer从2008年起就成为骇客挂马的最常用漏洞之一,暴风影音在今年4月30日被首次发现零日漏洞,该漏洞存在于暴风影音ActiveX控件中,该控件存在远程缓冲区溢出漏洞,利用该漏洞,黑客可以制作恶意网页,用于完全控制浏览者的计算机或传播恶意软件。江民反病毒中心监测发现数百个恶意网页利用暴风影音零日漏洞挂马,该漏洞还间接导致了一场江苏等六省断网的黑客内斗事件。
Flash漏洞由来已久,2008年上半年“Flash蛀虫”病毒曾利用Flash漏洞大肆传播,导致大量未安装杀毒软件或未更新Flash到最新版本的电脑用户受到病毒侵害。而2009年7月23日,ADOBE公司的Flash再次被爆发现零日漏洞,当用户使用浏览器访问受感染网页的时候,这个安全漏洞可能会导致攻击者控制用户的计算机。Adobe证实,Flash Player 10、Flash Player 9、Reader和Acrobat均存在该严重安全漏洞,很容易遭到黑客攻击。7月31日ADOBE公司发布了该漏洞补丁,但江民反病毒专家已经监测到利用该漏洞的恶意网页出现,反病毒专家预测,该漏洞很有可能导致类似于去年的“Flash蛀虫”同样严重情况发生。
灰色产业链日益成熟导致木马病毒激增
灰色产业链的日益成熟,带来了计算机病毒数量的激增。一些道德、法律意识单薄的人意识到,如果涉入灰色产业,付出最少的成本或者零成本、用最少的时间、承担最低的风险,就能获得颇丰的收益。2009年上半年总体来说是比较平静的半年,在这半年里,新型病毒的出现以及新技术的应用较少,而木马生成器产生的变种病毒却有较大幅度的增长。同时,参与制造与传播病毒的人群分工越加明细,之间的技术合作与成果共享也越加频繁。
1.新型病毒出现少、新技术应用少。今年年初截获的“刻毒虫” (Worm/Kido)则是今年少有的几个危害较大、技术手段新颖、查杀难度大、变种频繁的计算机病毒之一。它使用了很多新颖的技术手段,可能是未来计算机病毒广泛学习并采用的对象。大量的线程、管道、修改API等,使得分析与处理都比较困难。国内外都先后出现政府、企业、军队等部门的计算机系统遭到感染并且难以清除的情况。在加壳免杀以及自我保护技术上,病毒也是不断地进行升级和突破,从而更好地增强了自我保护、增加了自身的生存几率。目前应用比较广泛的方法是调用驱动恢复系统服务描述表(SSDT),从而轻易地结束杀毒软件的自我保护。也有通过向程序窗口发送特定的消息代码以关闭进程,或通过命令行停用杀毒软件对应的系统服务。
2.制造与传播病毒的人群大幅增长,以及各类生成器生成的变种木马占据主流。通过分析发现,大量的盗号木马在内部结构上呈现出惊人的相似性,但其中设定的收信地址则各不相同。由此可以断定,这些盗号类木马是由生成器自动生成,再由攻击者对其稍作处理后放在网上进行传播。例如“玛格尼亚”变种家族,其在最近的两个月内便产生了近300个变种,气焰十分嚣张。木马生成器的出现直接导致了参与盗号、抓肉鸡的人群的增长,技术的门槛大大降低。即便是完全不懂技术的人,也可以通过较低的代价去逾越技术上的壁垒。同时,这也带动了黑客教学、恶意程序销售等灰色产业的“蓬勃发展” ,从而对整个计算机信息安全环境构成了极大的威胁。
制造与传播病毒的人群分工明确、技术合作与成果共享频繁。计算机病毒的设计者作为少数具有程序编写能力的人,之间也存在明确的分工:有的负责编写盗号木马、有的负责编写木马下载器、有的负责编写反杀毒软件的驱动程序、有的负责分析最新的漏洞、有的负责制作网页木马等等,所以经常可以看到同一驱动程序在不同病毒中出现共用的现象。而最新漏洞的利用代码也可以在网上轻易地获取,从而使得大量尚未来得及修复漏洞的用户掉入骇客布下的陷阱。
新型网上窃密手段出现 从盗号到改单
对比半年来流行的盗号类木马,可以发现这样的特点:第一季度以“网游窃贼”(Trojan/PSW.OnLineGames)为主,而第二季度则以“玛格尼亚”(Trojan/PSW.Magania)为主。在日常的分析过程中我们发现,网游窃贼在进程的匹配过程中直接以匹配进程名的方式进行。以盗取“梦幻西游”游戏账号的木马为例,如果当前的进程名为“my.exe” ,则木马便会进行相关的恶意操作。而“玛格尼亚”则是通过匹配进程名字符串的MD5值的方式进行,例如当前进程名的MD5值如果为“292685d9ed93e1336ebe01b60314d8f8”(字符串my.exe的MD5值) ,则会进行相关的恶意操作。除了以上方面的改变,对收信地址进行加密处理从而隐藏不法分子的踪迹也是盗号木马的惯用做法。
另一特点就是手段新颖。有些计算机病毒并没有复杂的程序设计与系统底层调用,但创新的欺骗方式使得用户防不胜防,如上半年出现的“‘网银窃贼’变种ied”(TrojanSpy.Banker.ied)。它会在被感染计算机的后台秘密监视用户打开的所有窗口标题,一旦发现指定标题的窗口,如“广东发展银行网上支付系统” 、“中国工商银行新一代网上银行”等,便会跳转到不同网上银行的汇款单页面,通过修改用户的汇款单汇入帐号来达到窃财的目的,用户未发现异常并完成该笔交易,则用户的资金将被转入骇客指定的账户中。由于骇客不具备数字证书、U盾等身份合法性验证条件,无法直接利用盗取的网银帐号以及密码,因此将盗窃方法改为上述方式。不过由于盗取网银资金涉及实体财产,在目前法律法规的威慑下容易被界定以及量刑,大多数不法之徒为了求得自保很少或不敢轻易地觊觎用户的网银财产,所以针对网银的木马还是相对较少的。
下半年计算机病毒发展趋势预测
在目前的法律法规环境下,通过传播计算机病毒来牟取非法利益有着“低风险、高回报”的特点,故预计下半年各类计算机病毒数量将会进一步的增长。同时,倒卖“肉鸡” 、窃取账号、恶意推广软件或网站、网络钓鱼等任何可以牟利的手段也都会随之呈现出愈演愈烈之势。
有调查显示,目前智能手机只占全球手机总销量的13%。尽管整体上手机市场较为疲软,智能手机却保持良好的增长幅度。据IDC估计,苹果和RIM第一季度的智能手机市场占有率在32%左右。随着智能手机市场的不断扩大,利用手机系统漏洞或软件漏洞实施破坏与窃取用户私密信息的各类手机病毒将会出现。同时,伴随中国3G网络的试商用结束,用户可能会在接收短信、打开蓝牙设备、访问Internet、接收邮件、使用即时聊天工具、下载安装“破解免注册”软件等许多方面遭受手机病毒的侵害。
同时,网页挂马以及U盘等存储设备将会继续成为病毒的主要传播方式。特别是上网本的流行以及上网本的用户群体普遍存在安全意识不高的情况,由此可能导致更多的计算机用户成为计算机病毒的受害者。所以,设置复杂的系统登陆密码、不随意下载并运行来源不明的程序、通过正确方式访问U盘等移动存储设备、及时地修复系统以及应用软件的漏洞等老生常谈的安全防范措施,仍旧需要安全厂商和媒体不厌其烦地灌输给广大的互联网用户,从而帮助他们树立正确的良好的安全意识,避免遭受各类计算机病毒的侵害。
2009年上半年计算机病毒类型所占比例图示
2009年上半年,江民反病毒中心截获的所有病毒中,木马病毒占66%,蠕虫病毒占12%,后门程序占8%,WINDWOS病毒占9%,广告程序以及漏洞攻击代码、脚本病毒、寄生虫病毒占余下的5%。
2009年上半年区域计算机病毒疫情分布情况
江民KV病毒预警系统监测数据显示,2009年上半年病毒疫情比较严重的地区排前十位的分别是:广东、山东、江苏、河南、四川、河北、浙江、陕西、北京和湖北省。与去年同期相比,广东省病毒感染数量占前十名病毒感染总数的百分之十四,从去年的第六名一跃成为今年的“状元”;北京相比去年病毒感染总数有较为明显的下降趋势,从去年的第一退居第九;山东、江苏、河南、四川、河北五省连续两年榜上有名,湖南、江西退出全国排行前十位。
2009年上半年月度计算机病毒疫情曲线
从上半年病毒疫情数量曲线图分析,无论是感染病毒的计算机台数,还是新病毒增加数量,二月、三月为病毒爆发的峰值,四月为各项指数的谷底。从以往的监控数据来看,三月已连续两年成为病毒的高发月份。今年三月份爆发的病毒中,网页蛀虫排名第一,该病毒是一个增加广告流量服务的蠕虫病毒,在短短不到一个月时间内,产生变种50多个,江民反病毒中心第一时间截获,并控制了病毒在互联网上的蔓延,使得四月份病毒感染数量明显下降。
2009年上半年月度新旧病毒发作种类对比
江民KV病毒预警系统监测数据显示,2009年上半年新病毒种类占所有病毒种类总数的21%。具体情况为:一月份新病毒种类占所有病毒种类的17%;二月份为20%;三月份为19%;四月份为22%;五月份为24%;六月份为23%。由此可见,上半年中,新病毒占所有病毒数量百分比逐月大致呈增加趋势。
2009年上半年月度新旧计算机病毒感染计算机台数对比
江民KV病毒预警系统监测数据显示,2009年上半年在所有感染病毒计算机中,被新病毒感染的数量占总数的28%。具体情况为,一月份被新病毒感染的计算机占所有感染计算机病毒总数的20%,二月份为29%,三月份为32%,四月份为26%,五月为28%,六月份为32%,这组数据足以说明新病毒的传播威力,网页挂马是上半年病毒传播的重要途径。
2009年上半年重要病毒事件回顾
“网银窃贼”病毒突破U盾
2009年3月,江民科技第一个发现了能够突破银行U盾的“网银窃贼”最新变种病毒,该病毒在技术上已经远胜昔日的毒王“网银大盗”,不但可以盗窃网上银行用户的账号密码,甚至可以突破银行U盾的防线,进行网上转帐。
“网银窃贼”最新变种病毒是一个专门窃取用户网上银行账号和密码的间谍程序,该病毒会在被感染计算机的后台秘密监视用户打开的所有窗口标题,一旦发现指定标题的窗口,便会通过对页面各个元素的匹配,向用户提供与所打开网上银行相匹配的仿真页面,然后利用鼠标钩子、消息截取等技术将用户输入到假网上银行页面的账号和密码信息截获。在截取到用户的账号密码后,病毒会在被感染计算机上连接黑客指定的服务器站点“http://c.9908*.com/b2cs/”,自动将网页跳转到用户所操作的网上银行转帐页面,此时黑客再根据截获的账号密码尝试向骇客指定的账户转账500到1000元不等的金额。由于病毒是在用户电脑本机中打开的银行汇款单页面,而用户的数字证书也往往都保存在电脑中,这样病毒就可以很轻松的突破数字证书的防护,一旦操作成功实施,严重威胁网上银行用户的资金安全。由于该病毒影响面极大,在社会及银行业界均引起了广泛的关注,网银安全问题也随之成为社会各界关注的焦点。
“刻毒虫”(“杀手老K”)
2009年年初,江民科技率先截获到的“刻毒虫” (Worm/Kido)则是今年少有的几个危害较大、技术手段新颖、查杀难度大、变种频繁的计算机病毒之一。它使用了很多新颖的技术手段,可能是未来计算机病毒广泛学习并采用的对象。大量的线程、管道、修改API等,使得分析与处理都比较困难。国内外都先后出现政府、企业、军队等部门的计算机系统遭到感染并且难以清除的情况。在加壳免杀以及自我保护技术上,病毒也是不断地进行升级和突破,从而更好地增强了自我保护、增加了自身的生存几率。目前应用比较广泛的方法是调用驱动恢复系统服务描述表(SSDT),从而轻易地结束杀毒软件的自我保护。也有通过向程序窗口发送特定的消息代码以关闭进程,或通过命令行停用杀毒软件对应的系统服务。
超级网游大盗 “玛格尼亚”
2009年4月,江民全球病毒监控系统、云安全防毒系统监测到“玛格尼亚”变种病毒数量呈明显上升趋势,仅两个月的时间,该病毒就产生了近300个变种,37万余网游玩家遭受该病毒侵害。
“玛格尼亚”变种病毒是一个专门盗取“巨人Online”、“梦幻西游online”、“大话西游3 Online”、“QQ三国”、“传奇外传”等网络游戏会员账号的木马程序,病毒盗取的网游账号几乎涵盖了所有的主流网络游戏,成为上半年来最流行的盗号类木马病毒。
此类盗号木马是由生成器自动生成,再由攻击者对其稍作处理后放在网上进行传播。木马生成器的出现直接导致了参与盗号、抓肉鸡的人群的增长,技术的门槛大大降低。即便是完全不懂技术的人,也可以通过较低的代价去逾越技术上的壁垒。同时,这也带动了黑客教学、恶意程序销售等灰色产业的“蓬勃发展” ,从而对整个计算机信息安全环境构成了极大的威胁。
2009年上半年重大安全漏洞事件回顾
2009年上半年,计算机病毒、木马的传播方式以网页挂马为主。挂马者主要通过微软以及其它应用普遍的第三方软件漏洞为攻击目标。据江民反病毒中心统计,木马传播者所利用的微软漏洞与第三方应用软件漏洞,已经基本达到各占一半的比例。
微软MS09-002漏洞攻击代码惊现互联网
2009年2月19日,江民反病毒中心监测到,利用微软MS09-002漏洞的完整攻击代码被公布在互联网上,随着攻击代码被完全公布在互联网上,将会被国内的黑客大面积利用,用于广泛的传播各种恶意软件。据了解,该漏洞存在于微软IE7浏览器中,如果用户没有及时修补该漏洞,当用户使用存在漏洞的IE7浏览器浏览网页时,一旦打开了被黑客恶意挂马的网页时,病毒就会利用该漏洞入侵到用户计算机中,给用户带来严重的损失。
MS09-002漏洞补丁下载页面:
http://www.microsoft.com/china/t ... letin/MS09-002.mspx"
Adobe PDF文件格式惊现零日漏洞
2009年2月,江民公司反病毒中心监测到,Adobe公司旗下Adobe Acrobat和Acrobat Reader 8.0和9.0版本软件中,存在一个PDF 0day漏洞。利用该漏洞的恶意代码和详细的技术分析已经在互联网上被公开,并被广泛转载。通过被公开的技术资料,黑客能够轻易利用该漏洞传播各类恶意软件。为了用户在Adobe官方发布补丁程序前的“补丁真空”期间不受此漏洞危害,江民公司紧急研发推出免费第三方漏洞补丁工具。据了解,PDF(Portable Document Format)文件格式是Adobe公司开发的电子文件格式。这种文件格式可以运行在任何操作系统平台上,这一特点使它成为在Internet上进行电子文档发行和数字化信息传播的理想文档格式。越来越多的电子图书、产品说明、公司文告、网络资料、电子邮件开始使用PDF格式文件。
为保护广大电脑用户在“补丁真空”期间不受此漏洞危害,江民公司紧急研发推出免费第三方漏洞补丁工具,请及时下载运行。
下载地址:
http://filedown.jiangmin.com/download/AdobeReaderPatch.exe
黑客网站利用暴风影音零日漏洞传播病毒
2009年4月30日,江民反病毒中心监测发现“暴风影音”存在一个零日漏洞,该漏洞存在于暴风影音ActiveX控件中,该控件存在远程缓冲区溢出漏洞,利用该漏洞,黑客可以制作恶意网页,用于完全控制浏览者的计算机或传播恶意软件。仅5月5日一天之内,江民恶意网页监测系统显示已有数十家黑客网站在使用该漏洞传播病毒,“暴风影音”最新版本出现的零日漏洞已被黑客大范围应用。存在该漏洞的暴风影音用户,一旦点击上述恶意网页,电脑即可能被黑客远程控制成为“肉鸡”或“网络僵尸”。
暴风影音最新版本下载地址:
http://dl.baofeng.com/storm3/Storm2009-0619.exe
微软DirectShow漏洞
2009年5月31日,江民反病毒中心提醒电脑用户,微软于美国时间5月28日发布公告,称其操作系统存在一个DirectShow漏洞,该漏洞可能被黑客大肆利用,传播大量的木马病毒。据了解,微软DirectShow漏洞在播放某些经过特殊构造的QuickTime媒体文件时,可能导致远程任意代码执行。 DirectShow是微软公司提供的一套在Windows平台上进行流媒体处理的开发包,可以支持包括QuickTime在内的多种格式的流媒体文件。该漏洞影响Windows 2000 SP4,Windows XP和Windows 2003。Windows Vista和Windows 2008不受该安全漏洞影响。
关于DirectShow:
DirectShow是微软公司在ActiveMovie和Video for Windows的基础上推出的新一代基于COM的流媒体处理的开发包,与DirectX开发包一起发布。目前,DirectX最新版本为9.0.DirectShow为多媒体流的捕捉和回放提供了强有力的支持。 DirectShow广泛支持各种媒体格式,包括Asf、Mpeg、Avi、Dv、Mp3、Wave等等,使得多媒体数据的回放变得轻而易举。另外,DirectShow还集成了DirectX其它部分(比如DirectDraw、DirectSound)的技术,直接支持DVD的播放,视频的非线性编辑,以及与数字摄像机的数据交换。
微软MPEG零日漏洞
2009年7月5日,江民科技监测发现,微软MPEG—2视频解析模块出现“零日”漏洞,黑客可利用该漏洞进行网页挂马,互联网络中恶意攻击者已开始广泛进行恶意木马的传播。据了解,该漏洞是微软Windows操作系统 BDA Tuning Model MPEG2 Tune Request视频组件的一个零日漏洞,当用户点击相应“挂马网页”时,恶意代码就会自动触发以上MPEG2视频组件的msvidctl.dll模块,用户计算机就会自动下载和运行一系列黑客预先设置好的木马程序,期间会出现恶意代码会强制关闭有大部分安全软件、劫持IE首页、弹出广告页面等各种现象。针对该MPEG零日漏洞,江民反病毒中心紧急研发推出了临时补丁,可以有效阻止恶意代码运行并保留视频组件的正常功能。
微软MPEG漏洞补丁下载地址:
http://www.microsoft.com/china/t ... letin/MS09-028.mspx
微软OFFICE曝严重安全漏洞
北京时间2009年7月13日晚,微软发布了安全通告。通告描述了Office网页组件存在安全漏洞,利用这个漏洞,攻击者可以制作恶意网页,用户一旦访问就可能感染计算机病毒。根据微软公布的信息,这个漏洞会影响Office XP, Office 2003用户,和部分Office 2007用户。据了解,该漏洞存在于Office网页组件动态链接库文件(文件名为:OCW10.dll)中。一旦恶意攻击者以特定序列代码利用该漏洞组件来调用浏览器IE程序窗口,就会触发Office内存,使之遭到破坏,进而导致恶意攻击者能够远程执行任意指令代码。江民反病毒中心监测发现,该漏洞已经被国内黑客大肆利用,反病毒中心已经截获到大量使用该漏洞的黑客网站。
2009年上半年行业重大事件回顾
江民成首批微软MAPP成员
2009年6月,微软在其官方网站公布了MAPP计划安全合作伙伴名单。国内安全厂商中,江民等三家安全厂商名列其中,成为国内首批微软MAPP计划合作伙伴。
微软MAPP(The Microsoft Active Protections Program)计划,所有参加该计划的安全合作伙伴,可以在微软发布漏洞补丁之前,提前得到详细的漏洞技术资料,参与相关漏洞被病毒攻击情况调查。微软启动该计划目的在于漏洞补丁发布之前,评估该漏洞的安全风险情况,以便为操作系统用户提供更好的安全服务。
据了解,MAPP计划正式部署实施后,江民杀毒软件KV系列版本将会在微软的许可授权下,提前对最新安全漏洞采取安全措施,所有江民KV系列杀毒软件用户电脑将提前得到安全保护,有效防范各种利用系统漏洞的病毒侵害。
江民杀毒软件与微软WINDOWS7技术合作全面完成
2009年上半年,江民科技与微软在就江民杀毒软件与WINDOWS7兼容性进行了充分的底层技术合作与开发,于6月底全面完成了技术合作并通过微软方面的检测验证。
江民科技研发部总经理黄晓润介绍,合作主要集中在两个方面:
一是原来产品的兼容性改进。在微软的支持下,对基于Windows 操作系统的主要产品,如江民杀毒软件KV2009、防火墙等产品进行了兼容性测试,并测试情况对产品的部分代码进行改进,做到在用户使用Windows 7操作系统时已经有个与之完全兼容的杀毒软件可以使用。这部分已经完成,我们的主要产品都可以100%与当前的Windows 7版本相兼容。
二是新产品开发。Windows 7在操作习惯及用户体验上改进很大,让用户使用更方便,为了充分利用这些特性,我们针对Windows 7量身定做一款专用杀毒软件。这款杀毒软件基于.Net Framework 3.5,采用C#语言开发界面部分,充分使用WPF等技术来改善用户界面。同时,还充分利用了Windows 7新增的Taskbar、JumpList、Windows Touch等特性,以达到更好的用户操作效果。现在,该产品在微软的支持下已经基本完成界面设计,同时我们在技术上也已经进行了各种技术试验,验证了其可行性。
江民科技、联想网御携手成立联合实验室
2009年7月16日,联想网御与江民科技在京成立“黑客攻击与网络病毒研究联合实验室”,并签订了补充合作协议。根据协议,双方在继续保持上一阶段“网络病毒特征库”合作的同时,将逐步开展在产品应用解决方案和技术研发层面的深度合作。
据双方相关负责人透露,联想网御早在几年前就与江民科技开始了在网络病毒特征库方面的合作,通过技术合作、优势互补,针对多安全功能整合、并行处理等方面进行软件体系结构的改进和优化,开发出了一系列自主知识产权的百兆、千兆以及万兆级多功能安全网关产品。 |
|
发表于 2009-8-16 12:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
