江民发布09年上半年病毒疫情特征报告

互联网 | 编辑: 杨剑锋 2009-08-12 00:00:00转载-投稿 一键看全文

灰色产业链日益成熟导致木马病毒激增

灰色产业链日益成熟导致木马病毒激增

灰色产业链的日益成熟,带来了计算机病毒数量的激增。一些道德、法律意识单薄的人意识到,如果涉入灰色产业,付出最少的成本或者零成本、用最少的时间、承担最低的风险,就能获得颇丰的收益。2009年上半年总体来说是比较平静的半年,在这半年里,新型病毒的出现以及新技术的应用较少,而木马生成器产生的变种病毒却有较大幅度的增长。同时,参与制造与传播病毒的人群分工越加明细,之间的技术合作与成果共享也越加频繁。

新型病毒出现少、新技术应用少。今年年初截获的“刻毒虫” (Worm/Kido)则是今年少有的几个危害较大、技术手段新颖、查杀难度大、变种频繁的计算机病毒之一。它使用了很多新颖的技术手段,可能是未来计算机病毒广泛学习并采用的对象。大量的线程、管道、修改API等,使得分析与处理都比较困难。国内外都先后出现政府、企业、军队等部门的计算机系统遭到感染并且难以清除的情况。在加壳免杀以及自我保护技术上,病毒也是不断地进行升级和突破,从而更好地增强了自我保护、增加了自身的生存几率。目前应用比较广泛的方法是调用驱动恢复系统服务描述表(SSDT),从而轻易地结束杀毒软件的自我保护。也有通过向程序窗口发送特定的消息代码以关闭进程,或通过命令行停用杀毒软件对应的系统服务。

制造与传播病毒的人群大幅增长,以及各类生成器生成的变种木马占据主流。通过分析发现,大量的盗号木马在内部结构上呈现出惊人的相似性,但其中设定的收信地址则各不相同。由此可以断定,这些盗号类木马是由生成器自动生成,再由攻击者对其稍作处理后放在网上进行传播。例如“玛格尼亚”变种家族,其在最近的两个月内便产生了近300个变种,气焰十分嚣张。木马生成器的出现直接导致了参与盗号、抓肉鸡的人群的增长,技术的门槛大大降低。即便是完全不懂技术的人,也可以通过较低的代价去逾越技术上的壁垒。同时,这也带动了黑客教学、恶意程序销售等灰色产业的“蓬勃发展” ,从而对整个计算机信息安全环境构成了极大的威胁。

制造与传播病毒的人群分工明确、技术合作与成果共享频繁。计算机病毒的设计者作为少数具有程序编写能力的人,之间也存在明确的分工:有的负责编写盗号木马、有的负责编写木马下载器、有的负责编写反杀毒软件的驱动程序、有的负责分析最新的漏洞、有的负责制作网页木马等等,所以经常可以看到同一驱动程序在不同病毒中出现共用的现象。而最新漏洞的利用代码也可以在网上轻易地获取,从而使得大量尚未来得及修复漏洞的用户掉入骇客布下的陷阱。

新型网上窃密手段出现 从盗号到改单

对比半年来流行的盗号类木马,可以发现这样的特点:第一季度以“网游窃贼”(Trojan/PSW.OnLineGames)为主,而第二季度则以“玛格尼亚”(Trojan/PSW.Magania)为主。在日常的分析过程中我们发现,网游窃贼在进程的匹配过程中直接以匹配进程名的方式进行。以盗取“梦幻西游”游戏账号的木马为例,如果当前的进程名为“my.exe” ,则木马便会进行相关的恶意操作。而“玛格尼亚”则是通过匹配进程名字符串的MD5值的方式进行,例如当前进程名的MD5值如果为“292685d9ed93e1336ebe01b60314d8f8”(字符串my.exe的MD5值) ,则会进行相关的恶意操作。除了以上方面的改变,对收信地址进行加密处理从而隐藏不法分子的踪迹也是盗号木马的惯用做法。

另一特点就是手段新颖。有些计算机病毒并没有复杂的程序设计与系统底层调用,但创新的欺骗方式使得用户防不胜防,如上半年出现的“‘网银窃贼’变种ied”(TrojanSpy.Banker.ied)。它会在被感染计算机的后台秘密监视用户打开的所有窗口标题,一旦发现指定标题的窗口,如“广东发展银行网上支付系统” 、“中国工商银行新一代网上银行”等,便会跳转到不同网上银行的汇款单页面,通过修改用户的汇款单汇入帐号来达到窃财的目的,用户未发现异常并完成该笔交易,则用户的资金将被转入骇客指定的账户中。由于骇客不具备数字证书、U盾等身份合法性验证条件,无法直接利用盗取的网银帐号以及密码,因此将盗窃方法改为上述方式。不过由于盗取网银资金涉及实体财产,在目前法律法规的威慑下容易被界定以及量刑,大多数不法之徒为了求得自保很少或不敢轻易地觊觎用户的网银财产,所以针对网银的木马还是相对较少的。

提示:试试键盘 “← →” 可以实现快速翻页 

一键看全文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑