【51CTO.com 綜合消息】 近日，國內(nèi)反病毒廠商江民科技發(fā)布了2009年上半年計算機病毒疫情特征報告。

2009年上半年，沒有爆發(fā)較大的計算機病毒疫情。這也與我國病毒主要以木馬病毒為主有關(guān)，潛伏性、隱蔽性是木馬病毒的特征，因此從表現(xiàn)上已很難再發(fā)生類似“沖擊波”“熊貓燒香”這樣的重大計算機病毒疫情。綜合江民反病毒中心2009年上半年截獲的所有新增病毒，以及監(jiān)測發(fā)現(xiàn)的網(wǎng)頁掛馬事件和重大系統(tǒng)及應(yīng)用軟件漏洞，2009年上半年計算機病毒疫情呈現(xiàn)出如下特征：

FLASH等第三方軟件漏洞成為木馬病毒傳播新途徑

 2009年上半年，計算機病毒、木馬的傳播方式以網(wǎng)頁掛馬為主。掛馬者主要通過微軟以及其它應(yīng)用普遍的第三方軟件漏洞為攻擊目標。據(jù)江民反病毒中心統(tǒng)計，木馬傳播者所利用的微軟漏洞與第三方應(yīng)用軟件漏洞，已經(jīng)基本達到各占一半的比例。   

2009年上半年，微軟操作系統(tǒng)接連被發(fā)現(xiàn)兩個“零日”漏洞。5月31日，江民反病毒中心監(jiān)測發(fā)現(xiàn)，微軟DirectShow漏洞在播放某些經(jīng)過特殊構(gòu)造的QuickTime媒體文件時，可能導(dǎo)致遠程任意代碼執(zhí)行。

7月8日，微軟確認視頻處理組件DirectShow存在MPEG零日漏洞，江民反病毒中心監(jiān)測發(fā)現(xiàn)大量網(wǎng)站被黑客攻陷，利用該漏洞進行網(wǎng)頁掛馬。  

 除了微軟最新漏洞之外，網(wǎng)頁掛馬者最青睞的漏洞還包括RealPlayer 、Flash 暴風(fēng)影音這些最常用的播放軟件漏洞。RealPlayer從2008年起就成為駭客掛馬的最常用漏洞之一，暴風(fēng)影音在今年4月30日被首次發(fā)現(xiàn)零日漏洞，該漏洞存在于暴風(fēng)影音ActiveX控件中，該控件存在遠程緩沖區(qū)溢出漏洞，利用該漏洞，黑客可以制作惡意網(wǎng)頁，用于完全控制瀏覽者的計算機或傳播惡意軟件。江民反病毒中心監(jiān)測發(fā)現(xiàn)數(shù)百個惡意網(wǎng)頁利用暴風(fēng)影音零日漏洞掛馬，該漏洞還間接導(dǎo)致了一場江蘇等六省斷網(wǎng)的黑客內(nèi)斗事件。  

Flash漏洞由來已久，2008年上半年“Flash蛀蟲”病毒曾利用Flash漏洞大肆傳播，導(dǎo)致大量未安裝殺毒軟件或未更新Flash到最新版本的電腦用戶受到病毒侵害。而2009年7月23日，ADOBE公司的Flash再次被爆發(fā)現(xiàn)零日漏洞，當用戶使用瀏覽器訪問受感染網(wǎng)頁的時候，這個安全漏洞可能會導(dǎo)致攻擊者控制用戶的計算機。Adobe證實，F(xiàn)lash Player 10、Flash Player 9、Reader和Acrobat均存在該嚴重安全漏洞，很容易遭到黑客攻擊。7月31

日ADOBE公司發(fā)布了該漏洞補丁，但江民反病毒專家已經(jīng)監(jiān)測到利用該漏洞的惡意網(wǎng)頁出現(xiàn)，反病毒專家預(yù)測，該漏洞很有可能導(dǎo)致類似于去年的“Flash蛀蟲”同樣嚴重情況發(fā)生。 

圖1

灰色產(chǎn)業(yè)鏈日益成熟導(dǎo)致木馬病毒激增 

灰色產(chǎn)業(yè)鏈的日益成熟，帶來了計算機病毒數(shù)量的激增。一些道德、法律意識單薄的人意識到，如果涉入灰色產(chǎn)業(yè)，付出最少的成本或者零成本、用最少的時間、承擔最低的風(fēng)險，就能獲得頗豐的收益。2009年上半年總體來說是比較平靜的半年，在這半年里，新型病毒的出現(xiàn)以及新技術(shù)的應(yīng)用較少，而木馬生成器產(chǎn)生的變種病毒卻有較大幅度的增長。同時，參與制造與傳播病毒的人群分工越加明細，之間的技術(shù)合作與成果共享也越加頻繁。

1.新型病毒出現(xiàn)少、新技術(shù)應(yīng)用少。今年年初截獲的“刻毒蟲” （Worm/Kido）則是今年少有的幾個危害較大、技術(shù)手段新穎、查殺難度大、變種頻繁的計算機病毒之一。它使用了很多新穎的技術(shù)手段，可能是未來計算機病毒廣泛學(xué)習(xí)并采用的對象。大量的線程、管道、修改API等，使得分析與處理都比較困難。國內(nèi)外都先后出現(xiàn)政府、企業(yè)、軍隊等部門的計算機系統(tǒng)遭到感染并且難以清除的情況。在加殼免殺以及自我保護技術(shù)上，病毒也是不斷地進行升級和突破，從而更好地增強了自我保護、增加了自身的生存幾率。目前應(yīng)用比較廣泛的方法是調(diào)用驅(qū)動恢復(fù)系統(tǒng)服務(wù)描述表（SSDT），從而輕易地結(jié)束殺毒軟件的自我保護。也有通過向程序窗口發(fā)送特定的消息代碼以關(guān)閉進程，或通過命令行停用殺毒軟件對應(yīng)的系統(tǒng)服務(wù)。

2.制造與傳播病毒的人群大幅增長，以及各類生成器生成的變種木馬占據(jù)主流。通過分析發(fā)現(xiàn)，大量的盜號木馬在內(nèi)部結(jié)構(gòu)上呈現(xiàn)出驚人的相似性，但其中設(shè)定的收信地址則各不相同。由此可以斷定，這些盜號類木馬是由生成器自動生成，再由攻擊者對其稍作處理后放在網(wǎng)上進行傳播。例如“瑪格尼亞”變種家族，其在最近的兩個月內(nèi)便產(chǎn)生了近300個變種，氣焰十分囂張。木馬生成器的出現(xiàn)直接導(dǎo)致了參與盜號、抓肉雞的人群的增長，技術(shù)的門檻大大降低。即便是完全不懂技術(shù)的人，也可以通過較低的代價去逾越技術(shù)上的壁壘。同時，這也帶動了黑客教學(xué)、惡意程序銷售等灰色產(chǎn)業(yè)的“蓬勃發(fā)展” ，從而對整個計算機信息安全環(huán)境構(gòu)成了極大的威脅。

制造與傳播病毒的人群分工明確、技術(shù)合作與成果共享頻繁。計算機病毒的設(shè)計者作為少數(shù)具有程序編寫能力的人，之間也存在明確的分工：有的負責(zé)編寫盜號木馬、有的負責(zé)編寫木馬下載器、有的負責(zé)編寫反殺毒軟件的驅(qū)動程序、有的負責(zé)分析最新的漏洞、有的負責(zé)制作網(wǎng)頁木馬等等，所以經(jīng)常可以看到同一驅(qū)動程序在不同病毒中出現(xiàn)共用的現(xiàn)象。而最新漏洞的利用代碼也可以在網(wǎng)上輕易地獲取，從而使得大量尚未來得及修復(fù)漏洞的用戶掉入駭客布下的陷阱。

新型網(wǎng)上竊密手段出現(xiàn) 從盜號到改單

對比半年來流行的盜號類木馬，可以發(fā)現(xiàn)這樣的特點：第一季度以“網(wǎng)游竊賊”（Trojan/PSW.OnLineGames）為主，而第二季度則以“瑪格尼亞”（Trojan/PSW.Magania）為主。在日常的分析過程中我們發(fā)現(xiàn)，網(wǎng)游竊賊在進程的匹配過程中直接以匹配進程名的方式進行。以盜取“夢幻西游”游戲賬號的木馬為例，如果當前的進程名為“my.exe” ，則木馬便會進行相關(guān)的惡意操作。而“瑪格尼亞”則是通過匹配進程名字符串的MD5值的方式進行，例如當前進程名的MD5值如果為“292685d9ed93e1336ebe01b60314d8f8”（字符串my.exe的MD5值） ，則會進行相關(guān)的惡意操作。除了以上方面的改變，對收信地址進行加密處理從而隱藏不法分子的蹤跡也是盜號木馬的慣用做法。

另一特點就是手段新穎。有些計算機病毒并沒有復(fù)雜的程序設(shè)計與系統(tǒng)底層調(diào)用，但創(chuàng)新的欺騙方式使得用戶防不勝防，如上半年出現(xiàn)的“‘網(wǎng)銀竊賊’變種ied”（TrojanSpy.Banker.ied）。它會在被感染計算機的后臺秘密監(jiān)視用戶打開的所有窗口標題，一旦發(fā)現(xiàn)指定標題的窗口，如“廣東發(fā)展銀行網(wǎng)上支付系統(tǒng)” 、“中國工商銀行新一代網(wǎng)上銀行”等，便會跳轉(zhuǎn)到不同網(wǎng)上銀行的匯款單頁面，通過修改用戶的匯款單匯入帳號來達到竊財?shù)哪康模脩粑窗l(fā)現(xiàn)異常并完成該筆交易，則用戶的資金將被轉(zhuǎn)入駭客指定的賬戶中。由于駭客不具備數(shù)字證書、U盾等身份合法性驗證條件，無法直接利用盜取的網(wǎng)銀帳號以及密碼，因此將盜竊方法改為上述方式。不過由于盜取網(wǎng)銀資金涉及實體財產(chǎn)，在目前法律法規(guī)的威懾下容易被界定以及量刑，大多數(shù)不法之徒為了求得自保很少或不敢輕易地覬覦用戶的網(wǎng)銀財產(chǎn)，所以針對網(wǎng)銀的木馬還是相對較少的。

下半年計算機病毒發(fā)展趨勢預(yù)測

在目前的法律法規(guī)環(huán)境下，通過傳播計算機病毒來牟取非法利益有著“低風(fēng)險、高回報”的特點，故預(yù)計下半年各類計算機病毒數(shù)量將會進一步的增長。同時，倒賣“肉雞” 、竊取賬號、惡意推廣軟件或網(wǎng)站、網(wǎng)絡(luò)釣魚等任何可以牟利的手段也都會隨之呈現(xiàn)出愈演愈烈之勢。

有調(diào)查顯示，目前智能手機只占全球手機總銷量的13%。盡管整體上手機市場較為疲軟，智能手機卻保持良好的增長幅度。據(jù)IDC估計，蘋果和RIM第一季度的智能手機市場占有率在32%左右。隨著智能手機市場的不斷擴大，利用手機系統(tǒng)漏洞或軟件漏洞實施破壞與竊取用戶私密信息的各類手機病毒將會出現(xiàn)。同時，伴隨中國3G網(wǎng)絡(luò)的試商用結(jié)束，用戶可能會在接收短信、打開藍牙設(shè)備、訪問Internet、接收郵件、使用即時聊天工具、下載安裝“破解免注冊”軟件等許多方面遭受手機病毒的侵害。

同時，網(wǎng)頁掛馬以及U盤等存儲設(shè)備將會繼續(xù)成為病毒的主要傳播方式。特別是上網(wǎng)本的流行以及上網(wǎng)本的用戶群體普遍存在安全意識不高的情況，由此可能導(dǎo)致更多的計算機用戶成為計算機病毒的受害者。所以，設(shè)置復(fù)雜的系統(tǒng)登陸密碼、不隨意下載并運行來源不明的程序、通過正確方式訪問U盤等移動存儲設(shè)備、及時地修復(fù)系統(tǒng)以及應(yīng)用軟件的漏洞等老生常談的安全防范措施，仍舊需要安全廠商和媒體不厭其煩地灌輸給廣大的互聯(lián)網(wǎng)用戶，從而幫助他們樹立正確的良好的安全意識，避免遭受各類計算機病毒的侵害。