杀与被杀的博弈
2005年11月4 日,当年20岁的加州青年Jeanson James Ancheta在洛杉矶被捕,因为它通过病毒程序建立了一个由400000计算机组成的Bot网络(僵尸网络)供其利用,并出租Bot网络供人散播垃圾邮件或发动DDoS攻击。按照他每次的价码次出租僵尸网络费用是3000元美金,他获得了60000美元现金的收入,自得其乐地购买了全新的BMW和更高性能的计算机环境。
用来探测宇宙中是否存在外星人的计算机网络,也不如他的僵尸网络性能高强。Ancheta可能被判刑50年,因为他对位于加州的美国军事单位US Marine Naval Air Warfare发动DDoS攻击。
病毒编写新玩法
最初的病毒制造者通常以炫技、恶作剧或者仇视破坏为目的;从2000年开始,病毒制造者逐渐开始贪婪,越来越多地以获取经济利益为目的。
而近一两年来,黑客和病毒制造者越来越狡猾,他们正改变以往的病毒编写方式,研究各种网络平台系统和网络应用的流程,甚至杀毒软件的查杀、防御技术,寻找各种漏洞进行攻击。
除了在病毒程序编写上越来越巧妙外,他们更加注重攻击“策略”和传播、入侵流程,通过各种手段躲避杀毒软件的追杀和安全防护措施,达到获取经济利益的目的。
传统杀毒软件是通过对特征码的比对技术,根据用户提交或其他渠道截获的病毒样本提取出相应的病毒库,通过比对病毒特征对病毒进行判断和处理。
从制造病毒技术上说,黑客和病毒制造者大量采用“模块化编写”方法来批量制造新病毒。所谓“模块化编写”,就是黑客把传统功能齐全的病毒,拆分为不同的功能模块,每个模块都成为单独的病毒。
三年前,主动攻击杀毒软件的病毒很少见,而目前电脑病毒针对杀毒软件做攻防,已经成为普遍现象,以新毒王“帕虫”、老毒王“熊猫烧香”为代表的大量病毒都加载了攻击杀毒软件的模块。它们通过修改杀毒软件设置、损伤杀毒软件的配置文件甚至直接关闭杀毒软件,造成电脑的防御系统崩溃,从而为所欲为。
病毒修改杀毒软件设置,默认忽略(不查杀)查出的病毒,病毒修改系统时间让杀毒软件过期,造成该软件无法正常使用,病毒破坏该IM软件自带的木马查杀模块,病毒损坏了某杀毒软件的配置文件。
黑客热衷“病毒免杀”
目前,加壳、免杀等技术已经被开始被病毒编写者大量采用。“加壳”就像给病毒文件穿了“马甲”,对于识别能力不强的杀毒软件就会被这件“马甲”蒙蔽,而放过病毒。而“免杀”是指通过特殊技术处理,修改病毒文件,使已知病毒逃过杀毒软件的查杀。
与此同时,一些自动加壳、免杀机也开始出现,甚至实现了商业化。比如黑客、病毒制作者使用较多的“免疫007”就是一种商业化的自动加壳机。该软件作者会每天对软件进行更新,升级频率甚至超过杀毒软件。以使被其加壳的病毒、木马能够躲过最新版杀毒软件的查杀。该软件作者通过销售这种工具获利。
江民科技进行“2007年黑客行为分析”调查后,看到2007年黑客行为呈明显上升趋势,其中41.86%左右的黑客或准黑客正在研究“免杀病毒”技术,研制“免杀病毒”和在互联网交流“免杀技术”已经成为黑客们最为热衷、追捧的黑客行为。
江民反病毒专家何公道介绍,目前编写“免杀病毒”已经成为一种世界性的黑客热潮,越来越多的病毒炮制者为了避免被杀毒软件查杀,纷纷通过加壳、加花指令、修改文件特征码等技术推出了快速变种的“免杀病毒”,病毒变种速度之快、数量之多都是前所未有的。
面对病毒的频繁变种以及“免杀病毒”的盛行,传统的杀毒软件往往反应相对滞后,如何有效地防杀“免杀病毒”已经成为杀毒软件厂商亟需解决的问题。(下一页)
网友评论