江民2009年度中国大陆地区计算机病毒疫情报告
出处:江民 作者:江民 时间:2010-3-12 11:33:42
据江民反病毒中心、江民客户服务中心、江民全球病毒监测预警系统联合统计的数据,截止到2009年12月31日,共截获新增计算机病毒数总计(包括木马、后门、广告程序、间谍木马、脚本病毒、漏洞攻击代码、蠕虫病毒)12711986个,其中新增木马9665551个,新增后门1260018个,新增广告程序389265个,新增漏洞攻击代码121398个,其它病毒1275754个。
2009年度,木马后门病毒在全部计算机病毒总数中仍然高居85.9%的比例,继续高居计算机病毒榜首;而攻击漏洞的恶意代码则呈现上升趋势,较2008年增长了100%。网页挂马数量激增,2009年度,江民恶意网页监测系统监测到的常见挂马网页病毒源网址(非挂马网页本身)地址已经达到1万余个,按平均每个恶意网站挂马1000个正常网页计算,2009年度整个互联网被挂马的次数达到1000万次以上,较2008年度增长10倍。
2009年度计算机病毒疫情区域特征明显,山东、广东计算机病毒感染电脑数量大幅增加,分列病毒疫情区域排行第一、二名,与四川、河南、江苏、浙江、陕西、北京、湖北等八个省市成为年度病毒疫情区域排行前十名。
2009年度十大计算机病毒排行
根据病毒的感染范围、感染计算机病毒台数以及危害程度,江民反病毒中心、江民客户服务中心联合统计公布2009年度十大计算机病毒排行:
2009年度十大计算机病毒点评:
十大病毒中,“U盘寄生虫”成为2009年度“毒王”,表明目前通过U盘等移动存储利用微软“自动播放”功能已经成为绝大部分病毒最基本的传播方式;而得益于“广告联盟”等网络营销推广组织的平台和点击收费模式,“赛门斯”等恶意广告程序大行其道,2009年度一些小型的广告联盟商通过此类恶意广告程序,骗取了众多用户的点击,从而赚取了厂商不少的钱财。“网游窃贼”等专门盗取网络游戏帐号和虚拟装备的病毒仍然呈高发态势,众多网络游戏玩家进一步遭受此类病毒侵扰;而“刻毒虫”病毒在2009年10月不到一个月的时间就出现了426个变种,感染计算机22200余台, “刻毒虫”变种病毒不但会阻止微软操作系统自动更新,还会对目标电脑中的网上邻居进行口令猜解,一旦猜解成功,便会通过MS08-067漏洞向该网上邻居发送一个特定的RPC请求,用于下载kido主程序并安装该蠕虫文件。病毒还会屏蔽大量安全公司网站,同时下载大量恶意程序,用户可能因此遭受信息泄露、远程控制等侵害。2009年度,众多企业级用户网络遭受“刻毒虫”侵害,遭受到不同程度的损失。2009年11月, “无极杀手”变种b(Win32/Piloyd.b)在短短20天的时间内就感染了37万余台计算机,更是跃升到江民月度病毒排行榜的第四位。“无极杀手”试图破坏大量安全软件的相关进程,从网上下载大量的盗号木马病毒,严重威胁电脑用户的各类重要帐号密码安全。作为远程控制最经典的工具,“灰鸽子”已经被所有骇客所熟知,经过改写后的“灰鸽子二代”在技术上更加隐蔽,从而成为众多入门级的骇客最常用的后门工具,众多未安装杀毒软件和防火墙的用户电脑被远程控制,从而成为骇客操纵的“僵尸网络”中的“肉鸡”。
2009年度十大计算机病毒档案:
(1)“U盘寄生虫”及其变种
病毒名称:Checker/Autorun
中 文 名:U盘寄生虫
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
Checker/Autorun“U盘寄生虫”是一个利用U盘等移动存储设备进行自我传播的蠕虫病毒。“U盘寄生虫” 运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存。“U盘寄生虫”会在被感染计算机系统中的所有磁盘根目录下创建“autorun.inf”文件和蠕虫病毒主程序体,来实现用户双击盘符而启动运行“U盘寄生虫”蠕虫病毒主程序体的目的。“U盘寄生虫”还具有利用U盘、移动硬盘等移动存储设备进行自我传播的功能。“U盘寄生虫”运行时,可能会在被感染计算机系统中定时弹出恶意广告网页,或是下载其它恶意程序到被感染计算机系统中并调用安装运行,会被用户带去不同程度的损失。“U盘寄生虫” 会通过在被感染计算机系统注册表中添加启动项的方式,来实现蠕虫开机自启动。
(2)“赛门斯”及其变种
病毒名称:Adware/Cinmus.Gen
中 文 名:“赛门斯”变种
病毒类型:广告程序
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
Adware/Cinmus.Gen“赛门斯”变种是“赛门斯”广告程序家族的最新成员之一,采用VC++ 6.0编写。“赛门斯”变种运行后,会在被感染计算机的后台获取系统网卡的MAC地址,收集被感染计算机系统的配置信息。同时在后台连接骇客指定站点,进行访问量的统计和其它恶意程序下载等操作。病毒还会读取注册表相关键值,检查自身组件是否被禁用,一旦发现被禁用便重新启动病毒文件。同时自我注册为BHO,实现“赛门斯”变种随系统浏览器的启动而加载运行。另外,“赛门斯”变种可能会在被感染计算机系统中定时弹出恶意网页、广告窗口等,干扰用户的正常操作。
(3)“网游窃贼”及其变种
病毒名称:Trojan/PSW.OnLineGames
中 文 名:网游窃贼
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP
描 述:
Trojan/PSW.OnLineGames“网游窃贼”是一个盗取网络游戏帐号的木马程序,会在被感染计算机系统的后台秘密监视用户运行的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料,并在后台将盗取的所有玩家信息资料发送到骇客指定的远程服务器站点上。致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失,会给游戏玩家带去不同程度的损失。“网游窃贼”会通过在被感染计算机系统注册表中添加启动项的方式,来实现木马开机自启动。
(4)“代理木马”及其变种
病毒名称:Trojan/Agent
中 文 名:代理木马
病毒类型:木马
危险级别:★★
影响平台:Win 9x/2000/XP/NT/Me/2003
描 述:
Trojan/Agent“代理木马”是一个从被感染计算机上盗取用户账号密码的木马程序。病毒运行后会创建名为boot.sys的病毒副本,在临时文件夹中创建.html文件并利用IE浏览器自动打开。修改注册表,实现病毒程序的开机自启,并降低IE安全级别。同时在随机TCP端口开启代理服务器,将用户计算机变为黑客的代理服务器。可开启后门,允许远程攻击者非授权进入被感染计算机。“代理木马”会盗取被感染计算机用户的密码,并可通过拦截用户输入IE的数据,形成键击日志。将盗取的信息发送给黑客。
(5)“玛格尼亚”及其变种
病毒名称:Trojan/PSW.Magania
中 文 名:代理木马
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
以Trojan/PSW.Magania.bea为例,“玛格尼亚”变种bea是“玛格尼亚”木马家族的最新成员之一,采用高级语言编写,并经过加壳处理。“玛格尼亚”变种bea采用HOOK技术和内存截取技术,运行后在被感染计算机的后台盗取网络游戏玩家的游戏账号、游戏密码、身上装备、背包装备、角色等级、金钱数量、游戏区服、计算机名称等信息,并在被感染计算机的后台将窃取到的玩家游戏账号信息发送到骇客指定的远程服务器站点上,造成玩家的游戏账号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“玛格尼亚”变种bea还会修改注册表,实现木马开机自动运行。
(6)“刻毒虫”及其变种(Worm/Kido)
病毒名称:Worm/Kido
中 文 名:刻毒虫
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
以Worm/Kido.cc为例,“刻毒虫”变种cc是“刻毒虫”家族中的最新成员之一,该蠕虫是由“kido”主程序释放出来的DLL功能组件,经过加壳保护处理。“刻毒虫”变种cc运行后,会移动自身到“%SystemRoot%\system32\”文件夹下,若不成功则进一步尝试移动到“C:\Program Files\Movie Maker\”、“%USERPROFILE%\Application Data\”、“%Temp%”等文件夹下,重新命名为“*.dll”(文件名为随机字符串,不过通常是“bqwzif.dll”)。另外病毒还会释放一个临时的恶意驱动程序。“刻毒虫”变种cc运行后,会将恶意程序插入“svchost.exe”或者“explorer.exe”进程之中隐秘运行。关闭系统自动更新服务(wuauserv)、后台智能传输(BITS)服务以及“WinDefend”等服务,并利用自带的密码表对使用弱口令的网上邻居进行口令猜解。一旦猜解成功,便会通过MS08-067漏洞向该网上邻居发送一个特定的RPC请求,用于下载kido主程序并创建计划任务,从而激活该蠕虫文件。“刻毒虫”变种cc运行时,还会监视系统中打开的窗口,并关闭带有指定字符串(大部分为安全厂商名称)的窗口。同时还会阻止用户连接指定的站点(通常是安全软件或微软的网站),干扰用户通过网络寻求病毒的解决方案。“刻毒虫”变种cc会利用特定算法生成大量的随机域名,同时下载其它的恶意程序,用户可能因此而遭受信息泄露、远程控制、垃圾邮件等侵害。“刻毒虫”变种cc还可通过移动存储设备进行传播,当其发现有新的移动存储设备接入时,便会在其根目录下创建文件夹“RECYCLER\S-*-*-*-*-*-*-*”(*为随机字符串),并在其中生成自身副本“*.vmx”(文件名随机,不过通常是“jwgkvsq.vmx”),同时在根目录下创建“autorun.inf”,设置上述文件及文件夹属性为“系统、只读、隐藏”,以此实现利用系统自动播放功能进行传播的目的。“刻毒虫”变种cc会在被感染系统中新建一个随机名称的系统服务,并通过“svchost.exe”或“services.exe”实现开机自动运行。其还会修改文件和注册表的访问控制对象,致使用户无法删除自身产生的文件和注册表项。
(7)“无极杀手”及其变种(Win32/Piloyd.b)
病毒名称:Win32/Piloyd.b
中 文 名:“无极杀手”变种b
病毒类型:Windows病毒
危险级别:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
Worm/Piloyd.b“无极杀手”变种b是“无极杀手”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“无极杀手”变种b运行后,会替换系统文件“%SystemRoot%\system32\qmgr.dll”(BITS后台智能传输服务所对应的文件),以此实现开机自启。同时通过批处理将自我复制为“%SystemRoot%\system32\dllcache\lsasvc.dll”,然后原病毒程序会将自我删除,从而消除痕迹。“无极杀手”变种b运行时,会试图关闭大量安全软件的相关进程,并利用注册表映像文件劫持干扰这些程序的正常启动运行。如果其发现系统中运行着特定的安全软件,便会释放恶意驱动程序“%SystemRoot%\system32\drivers\LiTdi.sys”,用以结束安全软件的自我保护。通过自带的弱口令列表尝试对网上邻居进行口令猜解,被成功猜解的系统将会被其感染。“无极杀手”变种b会在可移动存储设备的根目录下创建“recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ghost.exe”和“autorun.inf”,以此实现通过移动存储设备进行传播的目的。感染计算机中存储的“exe”、“htm”、“html”、“asp”、“aspx”和“rar”格式文件(在网页格式文件中插入挂马脚本“http://mm.aa8856*.cn/index/mm.js”),致使系统用户面临被多次感染的风险。连接骇客指定的站点“http://bbnn7*.114central.com”,下载大量恶意程序并调用运行,从而给用户造成更多的威胁。另外,其会访问骇客指定的页面“http://nbtj.114anhu*.com/msn/163.htm”,以此进行被感染用户的统计。
(8)“灰鸽子二代”及其变种
病毒名称:Backdoor/Hupigon
中 文 名:灰鸽子二代
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
Backdoor/Hupigon“灰鸽子二代”变种病毒是后门家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“灰鸽子二代”变种运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存,文件属性设置为“系统、隐藏、只读、存档”。在系统的指定目录下释放恶意DLL组件文件,并将文件属性设置为“系统、隐藏、只读、存档”。“灰鸽子二代”变种运行时,会将释放出来的恶意DLL组件插入到系统IE浏览器进程“IEXPLORE.EXE”中加载运行(“灰鸽子二代”变种同时将该IE浏览器进程通过HOOK技术设置为隐藏),并在后台执行恶意操作,隐藏自我,防止被查杀。如果被感染的计算机上已安装并启用了防火墙,则该后门会利用防火墙的白名单机制来绕过防火墙的监控,从而达到隐蔽通信的目的。“灰鸽子二代”变种属于反向连接后门程序,会在被感染计算机系统的后台连接骇客指定的远程服务器站点,获取远程控制端真实地址,然后侦听骇客指令,从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能,可以对被感染计算机系统中存储的文件进行任意操作,监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除用户计算机中存放着的机密信息,对用户的信息安全、个人隐私,甚至是商业机密构成了严重的威胁。用户计算机一旦感染了“灰鸽子二代”变种便会变成网络僵尸傀儡主机,骇客利用这些傀儡主机可对指定站点发起DDoS攻击、洪水攻击等。通过在被感染计算机中注册为系统服务的方式来实现后门开机自启动。“灰鸽子二代”变种主安装程序执行完毕后会自我删除,从而达到消除痕迹的目的。
(9)“文件夹寄生虫”及其变种
病毒名称:Checker/HideFolder
中 文 名:文件夹寄生虫
病毒类型:寄生虫病毒
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
该类病毒通常会将硬盘根目录下的正常文件夹隐藏,将自身伪装成文件夹样式图标,并将自身命名为被隐藏文件夹的名称。
Checker/HideFolder “文件夹寄生虫”病毒图标为文件夹图标,采用“Microsoft Visual C++ 6.0”编写。“文件夹寄生虫”病毒运行后,会在被感染计算机系统的“%SystemRoot%\system32\”文件夹下分别释放恶意组件文件“icccy.dll”、“taoba_1.dll”、“cpa_1.exe”。会强行篡改被感染计算机系统中的注册表项,使IE浏览器启动后自动访问骇客指定的站点“http://www.771234.net”。同时会在被感染计算机的后台遍历除系统盘以外的所有盘符,将文件夹的属性都设置为系统、只读、隐藏,并在当前目录下生成(病毒自我复制)一个与被隐藏的文件夹同名的“.exe”病毒程序(该病毒图标为文件夹图标)。通过这样的伪装后,当用户在打开文件夹时,其实上运行的却是病毒程序,随后病毒会再把用户当前要打开的文件夹自动打开,起到欺骗用户的目的。
(10)“恶小子”及其变种
病毒名称:VBS/Fineboy
中 文 名:恶小子
病毒类型:VBS脚本病毒
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
以VBS/Fineboy.a为例,“恶小子”变种a采用“Visual Basic Script”脚本语言编写,并且进行了加密处理。“恶小子”变种a运行后,会自我复制到被感染系统每个分区的根目录下,并根据该分区的序列号重新命名。隐藏该分区根目录下的文件夹,同时生成对应的快捷方式,以此实现在打开文件夹的同时激活恶意脚本。还会生成“autorun.inf”文件,从而利用系统自动播放功能进行自启。“恶小子”变种a会大量修改系统注册表,致使“显示系统隐藏文件及文件夹”功能失效。篡改“txt”、“inf”、“bat”、“chm”等等扩展名的文件关联,当用户打开这些文件的时候,会首先运行恶意脚本。同时其还修改了“IE”、“我的电脑”等的打开方式。“恶小子”变种a会不断监视系统中的进程,并且会试图关闭一些指定的安全软件以实现自我保护。定时检测系统中自身的运行数量,如果小于指定数量便会试图通过“svchost.exe”运行自我,以此实现了自我保护,防止被轻易地查杀。“恶小子”变种a会在月份数字与日期数字相同时反复弹出光驱以及生成并打开网页文件“BFAlert.hta”。另外,如果用户计算机的系统分区类型为“NTFS”,“恶小子”变种a则可以利用一些系统特性实现开机自启。
2009年度计算机病毒疫情特征
2009年计算机病毒疫情总体呈现出如下几个特征:
一、微软0day漏洞及第三方应用软件漏洞被广泛利用
进入2009年以来,频繁爆出的微软0day漏洞与第三方应用软件漏洞已经成为骇客攻击的主要目标,同时也成为网页挂马的最主要途径。据江民反病毒中心统计,木马传播者所利用的微软漏洞与第三方应用软件漏洞,已经基本达到各占一半的比例。
2009年,微软接连报出了多个“零日”漏洞。5月31日,江民反病毒中心监测发现,微软DirectShow漏洞在播放某些经过特殊构造的QuickTime媒体文件时,可能导致远程任意代码执行。 7月8日,微软确认视频处理组件DirectShow存在MPEG零日漏洞,江民反病毒中心监测发现大量网站被黑客攻陷,利用该漏洞进行网页挂马。11月12日,微软Windows 7和Windows Server 2008 R2中再曝零日漏洞,此漏洞为Windows网络文件和打印共享协议Server Message Block(SMB)中存在的拒绝式服务漏洞,可被用来进行远程攻击系统,并导致系统内核崩溃。
除了微软最新漏洞之外,网页挂马者最青睐的漏洞还包括RealPlayer 、Flash 暴风影音这些最常用的播放软件漏洞。RealPlayer从2008年起就成为骇客挂马的最常用漏洞之一,暴风影音在今年4月30日被首次发现零日漏洞,该漏洞存在于暴风影音ActiveX控件中,该控件存在远程缓冲区溢出漏洞,利用该漏洞,黑客可以制作恶意网页,用于完全控制浏览者的计算机或传播恶意软件。江民反病毒中心监测发现数百个恶意网页利用暴风影音零日漏洞挂马,该漏洞还间接导致了一场江苏等六省断网的黑客内斗事件。
Flash漏洞由来已久,2008年上半年“Flash蛀虫”病毒曾利用Flash漏洞大肆传播,导致大量未安装杀毒软件或未更新Flash到最新版本的电脑用户受到病毒侵害。而2009年7月23日,ADOBE公司的Flash再次被爆发现零日漏洞,当用户使用浏览器访问受感染网页的时候,这个安全漏洞可能会导致攻击者控制用户的计算机。Adobe证实,Flash Player 10、Flash Player 9、Reader和Acrobat均存在该严重安全漏洞,很容易遭到黑客攻击。7月31日ADOBE公司发布了该漏洞补丁,但江民反病毒专家已经监测到利用该漏洞的恶意网页出现,反病毒专家预测,该漏洞很有可能导致类似于去年的“Flash蛀虫”同样严重情况发生。
二、钓鱼网站激增 “网页挂马”黑客产业链日益成熟
2009年江民恶意网页监控系统数据显示,网页挂马、钓鱼网站已经成为病毒制造者传播有害程序的最佳途径,同时也成为互联网最为严重的安全威胁。进入2009年以来,病毒制造者的人数大幅上升,也带来了计算机病毒数量的激增。一些道德、法律意识单薄的人意识到,如果涉入灰色产业,付出最少的成本或者零成本、用最少的时间、承担最低的风险,就能获得颇丰的收益。
据中国互联网络信息中心(CNNIC)日前在2009中国反钓鱼网站联盟年会上公布的最新统计数据显示,截至09年11月22日,经CNNIC认定并处理的钓鱼网站域名已累计达8342个。江民全球病毒监控系统、云安全防毒系统的统计数据中显示,每天都可以监测到大量的新的钓鱼网站,这其中以“福彩”“非常6+1”等模仿央视、腾讯等知名单位的中奖网站最为泛滥。这些钓鱼网站主要以中奖为诱饵,通过发布各种虚假的中奖信息,欺骗用户填写个人的身份信息、银行账户等私密信息,从而来骗取网民的钱财。
随着灰色产业链的日益成熟,以获取高额的经济利益为目的,集团化的运作,明确的分工,甚至可以按照需求定制,木马病毒的制造已经形成了流水线式的生产模式。制造与传播病毒的人群分工明确、技术合作与成果共享频繁。计算机病毒的设计者作为少数具有程序编写能力的人,之间也存在明确的分工:有的负责编写盗号木马、有的负责编写木马下载器、有的负责编写反杀毒软件的驱动程序、有的负责分析最新的漏洞、有的负责制作网页木马等等,所以经常可以看到同一驱动程序在不同病毒中出现共用的现象。而最新漏洞的利用代码也可以在网上轻易地获取,从而使得大量尚未来得及修复漏洞的用户掉入骇客布下的陷阱,而病毒的威力也越发强大,破坏性和传播速度远远的超越从前。
三、病毒创新欺骗方式,伪装成文件夹的病毒增多
进入2009年以来,有越来越多的病毒采用了全新的欺骗方式,伪装成IE快捷方式和文件夹已经成为一种新的趋势。
在江民反病毒中心监测到的“BHO劫持者”变种aie和“代理木马”变种cbnq病毒,就采用了这种欺骗方式。“BHO劫持者”变种ai病毒的主程序为深蓝色IE浏览器水晶效果图标,病毒运行后会在用户当前桌面上创建IE快捷方式,用户一旦启动IE浏览器,就会默认自动打开骇客预先设置好的恶意网页,并在后台获取“恶意程序下载地址列表”,然后在被感染计算机上下载该文件中所指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。
“代理木马”变种cbnq病毒会将系统盘以外的所有盘符下的文件夹属性都设置为系统、只读、隐藏,并在当前目录下生成一个与被隐藏的文件夹同名的“.exe”病毒程序,同时显示为文件夹图标。通过这样的伪装后,用户在打开文件夹时,实际上运行的就是病毒程序,然后病毒再把用户当前要打开的文件夹自动打开,从而达到了欺骗用户的目的。与“BHO劫持者”变种病毒一样,该病毒最终也是指向骇客指定的恶意网址,并下载大量恶意程序。
近年来随着用户安全意识的不断提高,病毒为了提高自身的生存几率,也在不断的改变着伪装方式。通常情况下,病毒入侵到用户的电脑后,想让用户去点击运行病毒是很难的,而这就需要病毒做好自身的伪装工作,来诱骗用户点击。伪装成快捷方式,一般不会被用户怀疑,同时中毒后,病毒文件也不易被察觉,提高了病毒的隐蔽性,使用户更易遭受到病毒的侵害。
四、计算机病毒技术特征变化明显
2009年度,计算机病毒技术特征较2008年度相比有明显的变化,首先,病毒的传播方式主要以挂马网页和U盘传播为主,通过感染文件或邮件传播的方式目前已经被大部分病毒作者摒弃。由于目前网页技术和网站内容的丰富,脚本ActiveX控件技术被大量的利用,弹出网页,插入广告都需要使用这一技术。病毒作者利用这一机会,在病毒中大量利用恶意脚本,或诱使用户下载带有漏洞的ActiveX控件,从而达到传播大量的病毒、木马之目的。
为了增加反病毒软件的清除难度,2009年大部分病毒通过注入系统进程中运行,由于其注入到系统进程,使得杀毒软件清除起病毒来难以下手,往往会导致清除病毒后系统进程损坏或应用程序损坏的情况发生。
2009年度,网游盗号病毒仍然为所有木马病毒中的主流,今年木马盗取游戏帐号的方式多数为通过内存截取技术,与往年通过纪录击键技术相比有了大幅提高;此外,受到目前多数主流反病毒软件已经加入了内核级自我保护技术,驱动技术对付主流反病毒软件已经开始落后,因此今年使用驱动的病毒较去年有所降低,病毒、木马开始学会利用漏洞或避开主动防御与杀毒软件在电脑和睦共处,不再是你死我活的斗争方式,这方面在没有安装杀毒软件或安装了未带有内核级主动防御杀毒软件的用户电脑中体现最直接,他们的电脑往往已经成为毒窝,但却并不特别影响正常的电脑操作和应用。
2009年度,由于各种名目的广告联盟出现,受到广告联盟按点击量计费的利益诱惑,各种恶意广告病毒大量涌现,通过病毒方式骗取大量虚假点击,按照点击量向通过广告联盟发布广告的厂商收取费用,已证实国内有多款业内知名软件成为受害者,遭到恶意广告程序欺骗式点击推广。通过病毒方式恶意推广网站的还包括,用特殊处理过的IE图标替换掉桌面上正常的IE图标或在桌面上新增一个特殊IE图标,锁定用户IE首页,使得用户每次打开IE浏览器,首先进入恶意推广者指向的一个或几个网站。恶意推广者还屏蔽掉鼠标右键“删除”选项,使得用户无法删除恶意IE图标,以此来骗取大量的用户点击和IP流量。
此外,2009年通过替换系统文件来传播自身的病毒也呈多发态势,病毒通过复制与系统同名的文件,从而逃避用户和杀毒软件清除和查杀,增加自身的存活机率,给电脑用户带来不同程度的损失。
2009年度,木马后门病毒在全部计算机病毒总数中仍然高居85.9%的比例,继续高居计算机病毒榜首;而攻击漏洞的恶意代码则呈现上升趋势,较2008年增长了100%。网页挂马数量激增,2009年度,江民恶意网页监测系统监测到的常见挂马网页病毒源网址(非挂马网页本身)地址已经达到1万余个,按平均每个恶意网站挂马1000个正常网页计算,2009年度整个互联网被挂马的次数达到1000万次以上,较2008年度增长10倍。
2009年度计算机病毒疫情区域特征明显,山东、广东计算机病毒感染电脑数量大幅增加,分列病毒疫情区域排行第一、二名,与四川、河南、江苏、浙江、陕西、北京、湖北等八个省市成为年度病毒疫情区域排行前十名。
2009年度十大计算机病毒排行
根据病毒的感染范围、感染计算机病毒台数以及危害程度,江民反病毒中心、江民客户服务中心联合统计公布2009年度十大计算机病毒排行:
2009年度十大计算机病毒点评:
十大病毒中,“U盘寄生虫”成为2009年度“毒王”,表明目前通过U盘等移动存储利用微软“自动播放”功能已经成为绝大部分病毒最基本的传播方式;而得益于“广告联盟”等网络营销推广组织的平台和点击收费模式,“赛门斯”等恶意广告程序大行其道,2009年度一些小型的广告联盟商通过此类恶意广告程序,骗取了众多用户的点击,从而赚取了厂商不少的钱财。“网游窃贼”等专门盗取网络游戏帐号和虚拟装备的病毒仍然呈高发态势,众多网络游戏玩家进一步遭受此类病毒侵扰;而“刻毒虫”病毒在2009年10月不到一个月的时间就出现了426个变种,感染计算机22200余台, “刻毒虫”变种病毒不但会阻止微软操作系统自动更新,还会对目标电脑中的网上邻居进行口令猜解,一旦猜解成功,便会通过MS08-067漏洞向该网上邻居发送一个特定的RPC请求,用于下载kido主程序并安装该蠕虫文件。病毒还会屏蔽大量安全公司网站,同时下载大量恶意程序,用户可能因此遭受信息泄露、远程控制等侵害。2009年度,众多企业级用户网络遭受“刻毒虫”侵害,遭受到不同程度的损失。2009年11月, “无极杀手”变种b(Win32/Piloyd.b)在短短20天的时间内就感染了37万余台计算机,更是跃升到江民月度病毒排行榜的第四位。“无极杀手”试图破坏大量安全软件的相关进程,从网上下载大量的盗号木马病毒,严重威胁电脑用户的各类重要帐号密码安全。作为远程控制最经典的工具,“灰鸽子”已经被所有骇客所熟知,经过改写后的“灰鸽子二代”在技术上更加隐蔽,从而成为众多入门级的骇客最常用的后门工具,众多未安装杀毒软件和防火墙的用户电脑被远程控制,从而成为骇客操纵的“僵尸网络”中的“肉鸡”。
2009年度十大计算机病毒档案:
(1)“U盘寄生虫”及其变种
病毒名称:Checker/Autorun
中 文 名:U盘寄生虫
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
Checker/Autorun“U盘寄生虫”是一个利用U盘等移动存储设备进行自我传播的蠕虫病毒。“U盘寄生虫” 运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存。“U盘寄生虫”会在被感染计算机系统中的所有磁盘根目录下创建“autorun.inf”文件和蠕虫病毒主程序体,来实现用户双击盘符而启动运行“U盘寄生虫”蠕虫病毒主程序体的目的。“U盘寄生虫”还具有利用U盘、移动硬盘等移动存储设备进行自我传播的功能。“U盘寄生虫”运行时,可能会在被感染计算机系统中定时弹出恶意广告网页,或是下载其它恶意程序到被感染计算机系统中并调用安装运行,会被用户带去不同程度的损失。“U盘寄生虫” 会通过在被感染计算机系统注册表中添加启动项的方式,来实现蠕虫开机自启动。
(2)“赛门斯”及其变种
病毒名称:Adware/Cinmus.Gen
中 文 名:“赛门斯”变种
病毒类型:广告程序
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
Adware/Cinmus.Gen“赛门斯”变种是“赛门斯”广告程序家族的最新成员之一,采用VC++ 6.0编写。“赛门斯”变种运行后,会在被感染计算机的后台获取系统网卡的MAC地址,收集被感染计算机系统的配置信息。同时在后台连接骇客指定站点,进行访问量的统计和其它恶意程序下载等操作。病毒还会读取注册表相关键值,检查自身组件是否被禁用,一旦发现被禁用便重新启动病毒文件。同时自我注册为BHO,实现“赛门斯”变种随系统浏览器的启动而加载运行。另外,“赛门斯”变种可能会在被感染计算机系统中定时弹出恶意网页、广告窗口等,干扰用户的正常操作。
(3)“网游窃贼”及其变种
病毒名称:Trojan/PSW.OnLineGames
中 文 名:网游窃贼
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP
描 述:
Trojan/PSW.OnLineGames“网游窃贼”是一个盗取网络游戏帐号的木马程序,会在被感染计算机系统的后台秘密监视用户运行的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料,并在后台将盗取的所有玩家信息资料发送到骇客指定的远程服务器站点上。致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失,会给游戏玩家带去不同程度的损失。“网游窃贼”会通过在被感染计算机系统注册表中添加启动项的方式,来实现木马开机自启动。
(4)“代理木马”及其变种
病毒名称:Trojan/Agent
中 文 名:代理木马
病毒类型:木马
危险级别:★★
影响平台:Win 9x/2000/XP/NT/Me/2003
描 述:
Trojan/Agent“代理木马”是一个从被感染计算机上盗取用户账号密码的木马程序。病毒运行后会创建名为boot.sys的病毒副本,在临时文件夹中创建.html文件并利用IE浏览器自动打开。修改注册表,实现病毒程序的开机自启,并降低IE安全级别。同时在随机TCP端口开启代理服务器,将用户计算机变为黑客的代理服务器。可开启后门,允许远程攻击者非授权进入被感染计算机。“代理木马”会盗取被感染计算机用户的密码,并可通过拦截用户输入IE的数据,形成键击日志。将盗取的信息发送给黑客。
(5)“玛格尼亚”及其变种
病毒名称:Trojan/PSW.Magania
中 文 名:代理木马
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
以Trojan/PSW.Magania.bea为例,“玛格尼亚”变种bea是“玛格尼亚”木马家族的最新成员之一,采用高级语言编写,并经过加壳处理。“玛格尼亚”变种bea采用HOOK技术和内存截取技术,运行后在被感染计算机的后台盗取网络游戏玩家的游戏账号、游戏密码、身上装备、背包装备、角色等级、金钱数量、游戏区服、计算机名称等信息,并在被感染计算机的后台将窃取到的玩家游戏账号信息发送到骇客指定的远程服务器站点上,造成玩家的游戏账号、装备物品、金钱等丢失,给游戏玩家带来非常大的损失。另外,“玛格尼亚”变种bea还会修改注册表,实现木马开机自动运行。
(6)“刻毒虫”及其变种(Worm/Kido)
病毒名称:Worm/Kido
中 文 名:刻毒虫
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
以Worm/Kido.cc为例,“刻毒虫”变种cc是“刻毒虫”家族中的最新成员之一,该蠕虫是由“kido”主程序释放出来的DLL功能组件,经过加壳保护处理。“刻毒虫”变种cc运行后,会移动自身到“%SystemRoot%\system32\”文件夹下,若不成功则进一步尝试移动到“C:\Program Files\Movie Maker\”、“%USERPROFILE%\Application Data\”、“%Temp%”等文件夹下,重新命名为“*.dll”(文件名为随机字符串,不过通常是“bqwzif.dll”)。另外病毒还会释放一个临时的恶意驱动程序。“刻毒虫”变种cc运行后,会将恶意程序插入“svchost.exe”或者“explorer.exe”进程之中隐秘运行。关闭系统自动更新服务(wuauserv)、后台智能传输(BITS)服务以及“WinDefend”等服务,并利用自带的密码表对使用弱口令的网上邻居进行口令猜解。一旦猜解成功,便会通过MS08-067漏洞向该网上邻居发送一个特定的RPC请求,用于下载kido主程序并创建计划任务,从而激活该蠕虫文件。“刻毒虫”变种cc运行时,还会监视系统中打开的窗口,并关闭带有指定字符串(大部分为安全厂商名称)的窗口。同时还会阻止用户连接指定的站点(通常是安全软件或微软的网站),干扰用户通过网络寻求病毒的解决方案。“刻毒虫”变种cc会利用特定算法生成大量的随机域名,同时下载其它的恶意程序,用户可能因此而遭受信息泄露、远程控制、垃圾邮件等侵害。“刻毒虫”变种cc还可通过移动存储设备进行传播,当其发现有新的移动存储设备接入时,便会在其根目录下创建文件夹“RECYCLER\S-*-*-*-*-*-*-*”(*为随机字符串),并在其中生成自身副本“*.vmx”(文件名随机,不过通常是“jwgkvsq.vmx”),同时在根目录下创建“autorun.inf”,设置上述文件及文件夹属性为“系统、只读、隐藏”,以此实现利用系统自动播放功能进行传播的目的。“刻毒虫”变种cc会在被感染系统中新建一个随机名称的系统服务,并通过“svchost.exe”或“services.exe”实现开机自动运行。其还会修改文件和注册表的访问控制对象,致使用户无法删除自身产生的文件和注册表项。
(7)“无极杀手”及其变种(Win32/Piloyd.b)
病毒名称:Win32/Piloyd.b
中 文 名:“无极杀手”变种b
病毒类型:Windows病毒
危险级别:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
Worm/Piloyd.b“无极杀手”变种b是“无极杀手”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“无极杀手”变种b运行后,会替换系统文件“%SystemRoot%\system32\qmgr.dll”(BITS后台智能传输服务所对应的文件),以此实现开机自启。同时通过批处理将自我复制为“%SystemRoot%\system32\dllcache\lsasvc.dll”,然后原病毒程序会将自我删除,从而消除痕迹。“无极杀手”变种b运行时,会试图关闭大量安全软件的相关进程,并利用注册表映像文件劫持干扰这些程序的正常启动运行。如果其发现系统中运行着特定的安全软件,便会释放恶意驱动程序“%SystemRoot%\system32\drivers\LiTdi.sys”,用以结束安全软件的自我保护。通过自带的弱口令列表尝试对网上邻居进行口令猜解,被成功猜解的系统将会被其感染。“无极杀手”变种b会在可移动存储设备的根目录下创建“recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ghost.exe”和“autorun.inf”,以此实现通过移动存储设备进行传播的目的。感染计算机中存储的“exe”、“htm”、“html”、“asp”、“aspx”和“rar”格式文件(在网页格式文件中插入挂马脚本“http://mm.aa8856*.cn/index/mm.js”),致使系统用户面临被多次感染的风险。连接骇客指定的站点“http://bbnn7*.114central.com”,下载大量恶意程序并调用运行,从而给用户造成更多的威胁。另外,其会访问骇客指定的页面“http://nbtj.114anhu*.com/msn/163.htm”,以此进行被感染用户的统计。
(8)“灰鸽子二代”及其变种
病毒名称:Backdoor/Hupigon
中 文 名:灰鸽子二代
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
Backdoor/Hupigon“灰鸽子二代”变种病毒是后门家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“灰鸽子二代”变种运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存,文件属性设置为“系统、隐藏、只读、存档”。在系统的指定目录下释放恶意DLL组件文件,并将文件属性设置为“系统、隐藏、只读、存档”。“灰鸽子二代”变种运行时,会将释放出来的恶意DLL组件插入到系统IE浏览器进程“IEXPLORE.EXE”中加载运行(“灰鸽子二代”变种同时将该IE浏览器进程通过HOOK技术设置为隐藏),并在后台执行恶意操作,隐藏自我,防止被查杀。如果被感染的计算机上已安装并启用了防火墙,则该后门会利用防火墙的白名单机制来绕过防火墙的监控,从而达到隐蔽通信的目的。“灰鸽子二代”变种属于反向连接后门程序,会在被感染计算机系统的后台连接骇客指定的远程服务器站点,获取远程控制端真实地址,然后侦听骇客指令,从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能,可以对被感染计算机系统中存储的文件进行任意操作,监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等),还可以窃取、修改或删除用户计算机中存放着的机密信息,对用户的信息安全、个人隐私,甚至是商业机密构成了严重的威胁。用户计算机一旦感染了“灰鸽子二代”变种便会变成网络僵尸傀儡主机,骇客利用这些傀儡主机可对指定站点发起DDoS攻击、洪水攻击等。通过在被感染计算机中注册为系统服务的方式来实现后门开机自启动。“灰鸽子二代”变种主安装程序执行完毕后会自我删除,从而达到消除痕迹的目的。
(9)“文件夹寄生虫”及其变种
病毒名称:Checker/HideFolder
中 文 名:文件夹寄生虫
病毒类型:寄生虫病毒
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
该类病毒通常会将硬盘根目录下的正常文件夹隐藏,将自身伪装成文件夹样式图标,并将自身命名为被隐藏文件夹的名称。
Checker/HideFolder “文件夹寄生虫”病毒图标为文件夹图标,采用“Microsoft Visual C++ 6.0”编写。“文件夹寄生虫”病毒运行后,会在被感染计算机系统的“%SystemRoot%\system32\”文件夹下分别释放恶意组件文件“icccy.dll”、“taoba_1.dll”、“cpa_1.exe”。会强行篡改被感染计算机系统中的注册表项,使IE浏览器启动后自动访问骇客指定的站点“http://www.771234.net”。同时会在被感染计算机的后台遍历除系统盘以外的所有盘符,将文件夹的属性都设置为系统、只读、隐藏,并在当前目录下生成(病毒自我复制)一个与被隐藏的文件夹同名的“.exe”病毒程序(该病毒图标为文件夹图标)。通过这样的伪装后,当用户在打开文件夹时,其实上运行的却是病毒程序,随后病毒会再把用户当前要打开的文件夹自动打开,起到欺骗用户的目的。
(10)“恶小子”及其变种
病毒名称:VBS/Fineboy
中 文 名:恶小子
病毒类型:VBS脚本病毒
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
描 述:
以VBS/Fineboy.a为例,“恶小子”变种a采用“Visual Basic Script”脚本语言编写,并且进行了加密处理。“恶小子”变种a运行后,会自我复制到被感染系统每个分区的根目录下,并根据该分区的序列号重新命名。隐藏该分区根目录下的文件夹,同时生成对应的快捷方式,以此实现在打开文件夹的同时激活恶意脚本。还会生成“autorun.inf”文件,从而利用系统自动播放功能进行自启。“恶小子”变种a会大量修改系统注册表,致使“显示系统隐藏文件及文件夹”功能失效。篡改“txt”、“inf”、“bat”、“chm”等等扩展名的文件关联,当用户打开这些文件的时候,会首先运行恶意脚本。同时其还修改了“IE”、“我的电脑”等的打开方式。“恶小子”变种a会不断监视系统中的进程,并且会试图关闭一些指定的安全软件以实现自我保护。定时检测系统中自身的运行数量,如果小于指定数量便会试图通过“svchost.exe”运行自我,以此实现了自我保护,防止被轻易地查杀。“恶小子”变种a会在月份数字与日期数字相同时反复弹出光驱以及生成并打开网页文件“BFAlert.hta”。另外,如果用户计算机的系统分区类型为“NTFS”,“恶小子”变种a则可以利用一些系统特性实现开机自启。
2009年度计算机病毒疫情特征
2009年计算机病毒疫情总体呈现出如下几个特征:
一、微软0day漏洞及第三方应用软件漏洞被广泛利用
进入2009年以来,频繁爆出的微软0day漏洞与第三方应用软件漏洞已经成为骇客攻击的主要目标,同时也成为网页挂马的最主要途径。据江民反病毒中心统计,木马传播者所利用的微软漏洞与第三方应用软件漏洞,已经基本达到各占一半的比例。
2009年,微软接连报出了多个“零日”漏洞。5月31日,江民反病毒中心监测发现,微软DirectShow漏洞在播放某些经过特殊构造的QuickTime媒体文件时,可能导致远程任意代码执行。 7月8日,微软确认视频处理组件DirectShow存在MPEG零日漏洞,江民反病毒中心监测发现大量网站被黑客攻陷,利用该漏洞进行网页挂马。11月12日,微软Windows 7和Windows Server 2008 R2中再曝零日漏洞,此漏洞为Windows网络文件和打印共享协议Server Message Block(SMB)中存在的拒绝式服务漏洞,可被用来进行远程攻击系统,并导致系统内核崩溃。
除了微软最新漏洞之外,网页挂马者最青睐的漏洞还包括RealPlayer 、Flash 暴风影音这些最常用的播放软件漏洞。RealPlayer从2008年起就成为骇客挂马的最常用漏洞之一,暴风影音在今年4月30日被首次发现零日漏洞,该漏洞存在于暴风影音ActiveX控件中,该控件存在远程缓冲区溢出漏洞,利用该漏洞,黑客可以制作恶意网页,用于完全控制浏览者的计算机或传播恶意软件。江民反病毒中心监测发现数百个恶意网页利用暴风影音零日漏洞挂马,该漏洞还间接导致了一场江苏等六省断网的黑客内斗事件。
Flash漏洞由来已久,2008年上半年“Flash蛀虫”病毒曾利用Flash漏洞大肆传播,导致大量未安装杀毒软件或未更新Flash到最新版本的电脑用户受到病毒侵害。而2009年7月23日,ADOBE公司的Flash再次被爆发现零日漏洞,当用户使用浏览器访问受感染网页的时候,这个安全漏洞可能会导致攻击者控制用户的计算机。Adobe证实,Flash Player 10、Flash Player 9、Reader和Acrobat均存在该严重安全漏洞,很容易遭到黑客攻击。7月31日ADOBE公司发布了该漏洞补丁,但江民反病毒专家已经监测到利用该漏洞的恶意网页出现,反病毒专家预测,该漏洞很有可能导致类似于去年的“Flash蛀虫”同样严重情况发生。
二、钓鱼网站激增 “网页挂马”黑客产业链日益成熟
2009年江民恶意网页监控系统数据显示,网页挂马、钓鱼网站已经成为病毒制造者传播有害程序的最佳途径,同时也成为互联网最为严重的安全威胁。进入2009年以来,病毒制造者的人数大幅上升,也带来了计算机病毒数量的激增。一些道德、法律意识单薄的人意识到,如果涉入灰色产业,付出最少的成本或者零成本、用最少的时间、承担最低的风险,就能获得颇丰的收益。
据中国互联网络信息中心(CNNIC)日前在2009中国反钓鱼网站联盟年会上公布的最新统计数据显示,截至09年11月22日,经CNNIC认定并处理的钓鱼网站域名已累计达8342个。江民全球病毒监控系统、云安全防毒系统的统计数据中显示,每天都可以监测到大量的新的钓鱼网站,这其中以“福彩”“非常6+1”等模仿央视、腾讯等知名单位的中奖网站最为泛滥。这些钓鱼网站主要以中奖为诱饵,通过发布各种虚假的中奖信息,欺骗用户填写个人的身份信息、银行账户等私密信息,从而来骗取网民的钱财。
随着灰色产业链的日益成熟,以获取高额的经济利益为目的,集团化的运作,明确的分工,甚至可以按照需求定制,木马病毒的制造已经形成了流水线式的生产模式。制造与传播病毒的人群分工明确、技术合作与成果共享频繁。计算机病毒的设计者作为少数具有程序编写能力的人,之间也存在明确的分工:有的负责编写盗号木马、有的负责编写木马下载器、有的负责编写反杀毒软件的驱动程序、有的负责分析最新的漏洞、有的负责制作网页木马等等,所以经常可以看到同一驱动程序在不同病毒中出现共用的现象。而最新漏洞的利用代码也可以在网上轻易地获取,从而使得大量尚未来得及修复漏洞的用户掉入骇客布下的陷阱,而病毒的威力也越发强大,破坏性和传播速度远远的超越从前。
三、病毒创新欺骗方式,伪装成文件夹的病毒增多
进入2009年以来,有越来越多的病毒采用了全新的欺骗方式,伪装成IE快捷方式和文件夹已经成为一种新的趋势。
在江民反病毒中心监测到的“BHO劫持者”变种aie和“代理木马”变种cbnq病毒,就采用了这种欺骗方式。“BHO劫持者”变种ai病毒的主程序为深蓝色IE浏览器水晶效果图标,病毒运行后会在用户当前桌面上创建IE快捷方式,用户一旦启动IE浏览器,就会默认自动打开骇客预先设置好的恶意网页,并在后台获取“恶意程序下载地址列表”,然后在被感染计算机上下载该文件中所指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。
“代理木马”变种cbnq病毒会将系统盘以外的所有盘符下的文件夹属性都设置为系统、只读、隐藏,并在当前目录下生成一个与被隐藏的文件夹同名的“.exe”病毒程序,同时显示为文件夹图标。通过这样的伪装后,用户在打开文件夹时,实际上运行的就是病毒程序,然后病毒再把用户当前要打开的文件夹自动打开,从而达到了欺骗用户的目的。与“BHO劫持者”变种病毒一样,该病毒最终也是指向骇客指定的恶意网址,并下载大量恶意程序。
近年来随着用户安全意识的不断提高,病毒为了提高自身的生存几率,也在不断的改变着伪装方式。通常情况下,病毒入侵到用户的电脑后,想让用户去点击运行病毒是很难的,而这就需要病毒做好自身的伪装工作,来诱骗用户点击。伪装成快捷方式,一般不会被用户怀疑,同时中毒后,病毒文件也不易被察觉,提高了病毒的隐蔽性,使用户更易遭受到病毒的侵害。
四、计算机病毒技术特征变化明显
2009年度,计算机病毒技术特征较2008年度相比有明显的变化,首先,病毒的传播方式主要以挂马网页和U盘传播为主,通过感染文件或邮件传播的方式目前已经被大部分病毒作者摒弃。由于目前网页技术和网站内容的丰富,脚本ActiveX控件技术被大量的利用,弹出网页,插入广告都需要使用这一技术。病毒作者利用这一机会,在病毒中大量利用恶意脚本,或诱使用户下载带有漏洞的ActiveX控件,从而达到传播大量的病毒、木马之目的。
为了增加反病毒软件的清除难度,2009年大部分病毒通过注入系统进程中运行,由于其注入到系统进程,使得杀毒软件清除起病毒来难以下手,往往会导致清除病毒后系统进程损坏或应用程序损坏的情况发生。
2009年度,网游盗号病毒仍然为所有木马病毒中的主流,今年木马盗取游戏帐号的方式多数为通过内存截取技术,与往年通过纪录击键技术相比有了大幅提高;此外,受到目前多数主流反病毒软件已经加入了内核级自我保护技术,驱动技术对付主流反病毒软件已经开始落后,因此今年使用驱动的病毒较去年有所降低,病毒、木马开始学会利用漏洞或避开主动防御与杀毒软件在电脑和睦共处,不再是你死我活的斗争方式,这方面在没有安装杀毒软件或安装了未带有内核级主动防御杀毒软件的用户电脑中体现最直接,他们的电脑往往已经成为毒窝,但却并不特别影响正常的电脑操作和应用。
2009年度,由于各种名目的广告联盟出现,受到广告联盟按点击量计费的利益诱惑,各种恶意广告病毒大量涌现,通过病毒方式骗取大量虚假点击,按照点击量向通过广告联盟发布广告的厂商收取费用,已证实国内有多款业内知名软件成为受害者,遭到恶意广告程序欺骗式点击推广。通过病毒方式恶意推广网站的还包括,用特殊处理过的IE图标替换掉桌面上正常的IE图标或在桌面上新增一个特殊IE图标,锁定用户IE首页,使得用户每次打开IE浏览器,首先进入恶意推广者指向的一个或几个网站。恶意推广者还屏蔽掉鼠标右键“删除”选项,使得用户无法删除恶意IE图标,以此来骗取大量的用户点击和IP流量。
此外,2009年通过替换系统文件来传播自身的病毒也呈多发态势,病毒通过复制与系统同名的文件,从而逃避用户和杀毒软件清除和查杀,增加自身的存活机率,给电脑用户带来不同程度的损失。
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |