【51CTO.com 綜合消息】 近日，國內(nèi)反病毒廠商江民科技發(fā)布了2009年上半年計(jì)算機(jī)病毒疫情特征報(bào)告。

2009年上半年，沒有爆發(fā)較大的計(jì)算機(jī)病毒疫情。這也與我國病毒主要以木馬病毒為主有關(guān)，潛伏性、隱蔽性是木馬病毒的特征，因此從表現(xiàn)上已很難再發(fā)生類似“沖擊波”“熊貓燒香”這樣的重大計(jì)算機(jī)病毒疫情。綜合江民反病毒中心2009年上半年截獲的所有新增病毒，以及監(jiān)測發(fā)現(xiàn)的網(wǎng)頁掛馬事件和重大系統(tǒng)及應(yīng)用軟件漏洞，2009年上半年計(jì)算機(jī)病毒疫情呈現(xiàn)出如下特征：

FLASH等第三方軟件漏洞成為木馬病毒傳播新途徑

 2009年上半年，計(jì)算機(jī)病毒、木馬的傳播方式以網(wǎng)頁掛馬為主。掛馬者主要通過微軟以及其它應(yīng)用普遍的第三方軟件漏洞為攻擊目標(biāo)。據(jù)江民反病毒中心統(tǒng)計(jì)，木馬傳播者所利用的微軟漏洞與第三方應(yīng)用軟件漏洞，已經(jīng)基本達(dá)到各占一半的比例。   

2009年上半年，微軟操作系統(tǒng)接連被發(fā)現(xiàn)兩個(gè)“零日”漏洞。5月31日，江民反病毒中心監(jiān)測發(fā)現(xiàn)，微軟DirectShow漏洞在播放某些經(jīng)過特殊構(gòu)造的QuickTime媒體文件時(shí)，可能導(dǎo)致遠(yuǎn)程任意代碼執(zhí)行。

7月8日，微軟確認(rèn)視頻處理組件DirectShow存在MPEG零日漏洞，江民反病毒中心監(jiān)測發(fā)現(xiàn)大量網(wǎng)站被黑客攻陷，利用該漏洞進(jìn)行網(wǎng)頁掛馬。  

 除了微軟最新漏洞之外，網(wǎng)頁掛馬者最青睞的漏洞還包括RealPlayer 、Flash 暴風(fēng)影音這些最常用的播放軟件漏洞。RealPlayer從2008年起就成為駭客掛馬的最常用漏洞之一，暴風(fēng)影音在今年4月30日被首次發(fā)現(xiàn)零日漏洞，該漏洞存在于暴風(fēng)影音ActiveX控件中，該控件存在遠(yuǎn)程緩沖區(qū)溢出漏洞，利用該漏洞，黑客可以制作惡意網(wǎng)頁，用于完全控制瀏覽者的計(jì)算機(jī)或傳播惡意軟件。江民反病毒中心監(jiān)測發(fā)現(xiàn)數(shù)百個(gè)惡意網(wǎng)頁利用暴風(fēng)影音零日漏洞掛馬，該漏洞還間接導(dǎo)致了一場江蘇等六省斷網(wǎng)的黑客內(nèi)斗事件。  

Flash漏洞由來已久，2008年上半年“Flash蛀蟲”病毒曾利用Flash漏洞大肆傳播，導(dǎo)致大量未安裝殺毒軟件或未更新Flash到最新版本的電腦用戶受到病毒侵害。而2009年7月23日，ADOBE公司的Flash再次被爆發(fā)現(xiàn)零日漏洞，當(dāng)用戶使用瀏覽器訪問受感染網(wǎng)頁的時(shí)候，這個(gè)安全漏洞可能會導(dǎo)致攻擊者控制用戶的計(jì)算機(jī)。Adobe證實(shí)，F(xiàn)lash Player 10、Flash Player 9、Reader和Acrobat均存在該嚴(yán)重安全漏洞，很容易遭到黑客攻擊。7月31

日ADOBE公司發(fā)布了該漏洞補(bǔ)丁，但江民反病毒專家已經(jīng)監(jiān)測到利用該漏洞的惡意網(wǎng)頁出現(xiàn)，反病毒專家預(yù)測，該漏洞很有可能導(dǎo)致類似于去年的“Flash蛀蟲”同樣嚴(yán)重情況發(fā)生。 

圖1

灰色產(chǎn)業(yè)鏈日益成熟導(dǎo)致木馬病毒激增 

灰色產(chǎn)業(yè)鏈的日益成熟，帶來了計(jì)算機(jī)病毒數(shù)量的激增。一些道德、法律意識單薄的人意識到，如果涉入灰色產(chǎn)業(yè)，付出最少的成本或者零成本、用最少的時(shí)間、承擔(dān)最低的風(fēng)險(xiǎn)，就能獲得頗豐的收益。2009年上半年總體來說是比較平靜的半年，在這半年里，新型病毒的出現(xiàn)以及新技術(shù)的應(yīng)用較少，而木馬生成器產(chǎn)生的變種病毒卻有較大幅度的增長。同時(shí)，參與制造與傳播病毒的人群分工越加明細(xì)，之間的技術(shù)合作與成果共享也越加頻繁。

1.新型病毒出現(xiàn)少、新技術(shù)應(yīng)用少。今年年初截獲的“刻毒蟲” （Worm/Kido）則是今年少有的幾個(gè)危害較大、技術(shù)手段新穎、查殺難度大、變種頻繁的計(jì)算機(jī)病毒之一。它使用了很多新穎的技術(shù)手段，可能是未來計(jì)算機(jī)病毒廣泛學(xué)習(xí)并采用的對象。大量的線程、管道、修改API等，使得分析與處理都比較困難。國內(nèi)外都先后出現(xiàn)政府、企業(yè)、軍隊(duì)等部門的計(jì)算機(jī)系統(tǒng)遭到感染并且難以清除的情況。在加殼免殺以及自我保護(hù)技術(shù)上，病毒也是不斷地進(jìn)行升級和突破，從而更好地增強(qiáng)了自我保護(hù)、增加了自身的生存幾率。目前應(yīng)用比較廣泛的方法是調(diào)用驅(qū)動恢復(fù)系統(tǒng)服務(wù)描述表（SSDT），從而輕易地結(jié)束殺毒軟件的自我保護(hù)。也有通過向程序窗口發(fā)送特定的消息代碼以關(guān)閉進(jìn)程，或通過命令行停用殺毒軟件對應(yīng)的系統(tǒng)服務(wù)。

2.制造與傳播病毒的人群大幅增長，以及各類生成器生成的變種木馬占據(jù)主流。通過分析發(fā)現(xiàn)，大量的盜號木馬在內(nèi)部結(jié)構(gòu)上呈現(xiàn)出驚人的相似性，但其中設(shè)定的收信地址則各不相同。由此可以斷定，這些盜號類木馬是由生成器自動生成，再由攻擊者對其稍作處理后放在網(wǎng)上進(jìn)行傳播。例如“瑪格尼亞”變種家族，其在最近的兩個(gè)月內(nèi)便產(chǎn)生了近300個(gè)變種，氣焰十分囂張。木馬生成器的出現(xiàn)直接導(dǎo)致了參與盜號、抓肉雞的人群的增長，技術(shù)的門檻大大降低。即便是完全不懂技術(shù)的人，也可以通過較低的代價(jià)去逾越技術(shù)上的壁壘。同時(shí)，這也帶動了黑客教學(xué)、惡意程序銷售等灰色產(chǎn)業(yè)的“蓬勃發(fā)展” ，從而對整個(gè)計(jì)算機(jī)信息安全環(huán)境構(gòu)成了極大的威脅。

制造與傳播病毒的人群分工明確、技術(shù)合作與成果共享頻繁。計(jì)算機(jī)病毒的設(shè)計(jì)者作為少數(shù)具有程序編寫能力的人，之間也存在明確的分工：有的負(fù)責(zé)編寫盜號木馬、有的負(fù)責(zé)編寫木馬下載器、有的負(fù)責(zé)編寫反殺毒軟件的驅(qū)動程序、有的負(fù)責(zé)分析最新的漏洞、有的負(fù)責(zé)制作網(wǎng)頁木馬等等，所以經(jīng)常可以看到同一驅(qū)動程序在不同病毒中出現(xiàn)共用的現(xiàn)象。而最新漏洞的利用代碼也可以在網(wǎng)上輕易地獲取，從而使得大量尚未來得及修復(fù)漏洞的用戶掉入駭客布下的陷阱。

新型網(wǎng)上竊密手段出現(xiàn) 從盜號到改單

對比半年來流行的盜號類木馬，可以發(fā)現(xiàn)這樣的特點(diǎn)：第一季度以“網(wǎng)游竊賊”（Trojan/PSW.OnLineGames）為主，而第二季度則以“瑪格尼亞”（Trojan/PSW.Magania）為主。在日常的分析過程中我們發(fā)現(xiàn)，網(wǎng)游竊賊在進(jìn)程的匹配過程中直接以匹配進(jìn)程名的方式進(jìn)行。以盜取“夢幻西游”游戲賬號的木馬為例，如果當(dāng)前的進(jìn)程名為“my.exe” ，則木馬便會進(jìn)行相關(guān)的惡意操作。而“瑪格尼亞”則是通過匹配進(jìn)程名字符串的MD5值的方式進(jìn)行，例如當(dāng)前進(jìn)程名的MD5值如果為“292685d9ed93e1336ebe01b60314d8f8”（字符串my.exe的MD5值） ，則會進(jìn)行相關(guān)的惡意操作。除了以上方面的改變，對收信地址進(jìn)行加密處理從而隱藏不法分子的蹤跡也是盜號木馬的慣用做法。

另一特點(diǎn)就是手段新穎。有些計(jì)算機(jī)病毒并沒有復(fù)雜的程序設(shè)計(jì)與系統(tǒng)底層調(diào)用，但創(chuàng)新的欺騙方式使得用戶防不勝防，如上半年出現(xiàn)的“‘網(wǎng)銀竊賊’變種ied”（TrojanSpy.Banker.ied）。它會在被感染計(jì)算機(jī)的后臺秘密監(jiān)視用戶打開的所有窗口標(biāo)題，一旦發(fā)現(xiàn)指定標(biāo)題的窗口，如“廣東發(fā)展銀行網(wǎng)上支付系統(tǒng)” 、“中國工商銀行新一代網(wǎng)上銀行”等，便會跳轉(zhuǎn)到不同網(wǎng)上銀行的匯款單頁面，通過修改用戶的匯款單匯入帳號來達(dá)到竊財(cái)?shù)哪康?，用戶未發(fā)現(xiàn)異常并完成該筆交易，則用戶的資金將被轉(zhuǎn)入駭客指定的賬戶中。由于駭客不具備數(shù)字證書、U盾等身份合法性驗(yàn)證條件，無法直接利用盜取的網(wǎng)銀帳號以及密碼，因此將盜竊方法改為上述方式。不過由于盜取網(wǎng)銀資金涉及實(shí)體財(cái)產(chǎn)，在目前法律法規(guī)的威懾下容易被界定以及量刑，大多數(shù)不法之徒為了求得自保很少或不敢輕易地覬覦用戶的網(wǎng)銀財(cái)產(chǎn)，所以針對網(wǎng)銀的木馬還是相對較少的。

下半年計(jì)算機(jī)病毒發(fā)展趨勢預(yù)測

在目前的法律法規(guī)環(huán)境下，通過傳播計(jì)算機(jī)病毒來牟取非法利益有著“低風(fēng)險(xiǎn)、高回報(bào)”的特點(diǎn)，故預(yù)計(jì)下半年各類計(jì)算機(jī)病毒數(shù)量將會進(jìn)一步的增長。同時(shí)，倒賣“肉雞” 、竊取賬號、惡意推廣軟件或網(wǎng)站、網(wǎng)絡(luò)釣魚等任何可以牟利的手段也都會隨之呈現(xiàn)出愈演愈烈之勢。

有調(diào)查顯示，目前智能手機(jī)只占全球手機(jī)總銷量的13%。盡管整體上手機(jī)市場較為疲軟，智能手機(jī)卻保持良好的增長幅度。據(jù)IDC估計(jì)，蘋果和RIM第一季度的智能手機(jī)市場占有率在32%左右。隨著智能手機(jī)市場的不斷擴(kuò)大，利用手機(jī)系統(tǒng)漏洞或軟件漏洞實(shí)施破壞與竊取用戶私密信息的各類手機(jī)病毒將會出現(xiàn)。同時(shí)，伴隨中國3G網(wǎng)絡(luò)的試商用結(jié)束，用戶可能會在接收短信、打開藍(lán)牙設(shè)備、訪問Internet、接收郵件、使用即時(shí)聊天工具、下載安裝“破解免注冊”軟件等許多方面遭受手機(jī)病毒的侵害。

同時(shí)，網(wǎng)頁掛馬以及U盤等存儲設(shè)備將會繼續(xù)成為病毒的主要傳播方式。特別是上網(wǎng)本的流行以及上網(wǎng)本的用戶群體普遍存在安全意識不高的情況，由此可能導(dǎo)致更多的計(jì)算機(jī)用戶成為計(jì)算機(jī)病毒的受害者。所以，設(shè)置復(fù)雜的系統(tǒng)登陸密碼、不隨意下載并運(yùn)行來源不明的程序、通過正確方式訪問U盤等移動存儲設(shè)備、及時(shí)地修復(fù)系統(tǒng)以及應(yīng)用軟件的漏洞等老生常談的安全防范措施，仍舊需要安全廠商和媒體不厭其煩地灌輸給廣大的互聯(lián)網(wǎng)用戶，從而幫助他們樹立正確的良好的安全意識，避免遭受各類計(jì)算機(jī)病毒的侵害。