2006上半年度,中国大陆地区电脑病毒疫情和互联网安全状况主要呈现六大新特点:一、新病毒数量成爆炸式增长;二、商业公司大肆“流氓推广”、“流氓软件”问题仍严重;三、病毒“偷、骗、抢”等行为愈演愈烈,勒索木马开始流行;四、病毒传播手段多元化,网站、U盘等成为新渠道;五、应用软件漏洞受黑客亲睐;六、概念型病毒呈现跨平台趋势。
一、新病毒数量成爆炸式增长
据瑞星全球反病毒监测网统计数据显示,新病毒的数量正在逐年递增,并且增长速度越来越快。
2004年上半年,瑞星截获新病毒11835个,2005年同期,新病毒数为26927个,而今年上半年,新截获的病毒数量飙升到了119402个,相当于过去几年截获病毒数量的总和。在今年病毒较为泛滥的时期,一天内截获的新病毒比2005年一个月截获的病毒还要多。
尽管新截获的病毒数量呈爆炸性增长,但其种类数并没有增加。老病毒的新变种占据了大部分。有时,在一天内就能够截获同一病毒的数十个不同变种。
对06上半年截获的新病毒分析统计,其组成部分与2005年基本类似,灰鸽子后门、盗号木马、波特类后门等病毒的变种仍然占到了绝大部分。造成变种病毒数量激增的原因主要有两个:
1、“加壳”手段被黑客广泛利用
所谓加壳,是一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码的目的。“加壳”就像给病毒文件穿了“马甲”,对于识别能力不强的杀毒软件就会被这件“马甲”蒙蔽,而放过病毒。
当被加壳的程序运行时,外壳程序先被执行,然后由这个外壳程序负责将用户原有的程序在内存中解压缩,并把控制权交还给脱壳后的真正程序。一切操作自动完成,用户不知道也无需知道壳程序是如何运行的。一般情况下,加壳程序和未加壳程序的运行结果是一样的。
众所周知,目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形,使加密前后的特征码完全不同。对于脱壳能力不强的杀毒软件,对付此种病毒就需要添加多条不同的特征记录。而如果黑客再采用一种新的壳进行加密变形,则对于此类杀毒软件来说又是一个新的病毒,从而无法查杀。
从上半年瑞星截获的病毒样本统计,约有90%以上的病毒文件进行过“加壳”处理。而国内较为流行的“灰鸽子”木马,加壳率几乎达到100%。有些病毒为了躲避杀毒软件的查杀,甚至加了三、四层壳。
2、“免杀”技术开始被采用
所谓“免杀”,是指通过特殊技术处理,修改病毒文件,使已知病毒逃过杀毒软件的查杀。
目前,杀毒软件大多采用特征码技术进行查毒,当发现被扫描的文件中包含有杀毒软件病毒库中的特征时就会报告相应的病毒名称。目前,许多黑客和病毒制造者通过查找病毒文件中被杀毒软件扫描的特征部分,加以修改,使其特征值与杀毒软件的病毒库不匹配,从而躲过杀毒软件的查杀。
以上两点是2006年上半年病毒、木马所广泛采用的技术手段。“魔高一尺,道高一丈”,各个反病毒厂商也在针对病毒的新特点进行着不懈的努力。
1、 增强杀毒软件引擎的“脱壳”能力
由于目前大多数病毒都会采用“加壳”的手段进行自我保护,因此需要杀毒软件具有“脱壳”能力。脱壳引擎通过一些算法将“加壳加密”的病毒还原成原始状态,再对其原始状态进行查毒。
瑞星一直在“脱壳”技术上进行着不懈努力,经过长时间的技术积累,目前瑞星杀毒软件新的杀毒引擎已经进入到公测阶段,该引擎同时具备硬脱壳和虚拟脱壳的能力,支持目前常见的所有流行的壳程序,并且能够对加了多层壳的病毒进行查杀。
2、 Generic和“变种共性特征比对”技术将被大量采用
Generic技术是广谱查毒技术的一种,其主要是针对变种病毒的查杀。有时用杀毒软件扫描病毒时会报出以“gen”作为结尾的名称,如“Backdoor.Gpigeon.gen”,就是使用了这一技术。病毒分析工程师通过对大量病毒样本特征进行分析,提取出它们之间相同的特征值,从而对一个群族的病毒进行查杀。
“变种共性特征比对”技术是瑞星独家研发的一种新的广谱查毒技术,它与Generic技术存在相似之处,也是对大量病毒样本进行特征分析,提取相同的特征。但是“变种共性特征比对”具有更强的抗“免杀”能力和智能判断能力。往往,黑客用技术手段能够绕开Generic技术的查杀,却不能逃脱“变种共性特征比对”技术的检测。同时“变种共性特征比对”还可以报告出病毒变种与该病毒家族的相似程度,查毒结果更为精确。目前,“变种共性特征比对”技术已经全面应用于“瑞星听诊器 4.3版”及以上版本当中,对“灰鸽子(Backdoor.Gpigeon)”等木马的变种识别率能够达到九成以上。
3、“虚拟机技术”将在成为检测未知病毒的主要手段
无论病毒文件如何修改,其病毒的破坏行为都是不变的。“虚拟机技术”是指用软件模拟出一个虚拟机的计算机(包含虚拟的CPU、内存、硬盘等),让被检测的文件在虚拟机中执行,对病毒在虚拟机中的行为进行判断,一旦发现符合病毒的特征就给予告警。
目前,真正采用虚拟机技术进行病毒查杀的软件全世界只有为数不多的几家。瑞星早在几年前就已经开始对虚拟机技术的研究,并已将该技术运用到产品当中。而具有虚拟程度更高,更加智能化的虚拟机系统也在研发当中。
二、商业公司大肆“流氓推广” “流氓软件”问题仍严重
今年6月初,许多MSN的用户都遇到被陌生人恶意添加为好友的情况,被添加之后对方并不与自己聊天,而是发送一段网址或是广告,根据有关媒体调查,90%以上的MSN用户都被一家名为“中国缘”的网站骚扰过,该网站面对媒体的不断暴光依然我行我素,继续采用MSN添加好友发广告的方式推广。
微软的MSN开放应用程序接口(API)为这些公司进行“流氓推广”提供了方便。它们通过一些渠道获取到大量的MSN用户账号名,并架设“机器人”服务器。由“机器人”自动把这些MSN用户加为好友,发送广告信息。
由于此类推广方式是以“机器人”服务器的方式实现,不同于以往自动发广告消息的“QQ、MSN尾巴类病毒”,因此无法使用安全产品进行防护。为此,瑞星提出三点防范建议:
1.妥善保管自己的个人信息,尽量避免公开自己的电子邮件地址和MSN账号。
2.当被陌生人要求添加为好友时,需谨慎接受。必要时可先通过其它方式确认。
3.通过MSN进行交谈时,不要轻易点击对方发送的链接,或接受传送的文件,须先向对方确认。
同时,瑞星呼吁有关部门能够及时制定相应的法律法规,对此种骚扰用户强制推广的方式加以制止。
鉴于该种推广方式可以在短期内获得成效,并且成本很低,未来也很有可能会有一些大型的企业、公司编写病毒、流氓软件等进行广告推广。
此外,2006年上半年“流氓软件”问题仍然严重。据瑞星病毒疫情监测网统计结果显示,从1月到6月感染机器台数最多的并不是病毒,而是流氓软件。上半年出现了几个比较恶劣的流氓软件,均是由正规厂商制作。这些软件运行后会定期或随机地释放(或从互联网下载)广告程序、其它的下载器。这些广告程序或下载器带有明显的木马特征,流氓软件和病毒之间的界限已经越来越模糊。
三、病毒“偷、骗、抢”等行为愈演愈烈,勒索木马开始流行
目前,黑客已经变得越来越贪婪。病毒编写者不再单纯炫耀技术,获取经济利益几乎成为他们编写病毒的唯一目的,“偷”、“抢”、“骗”已经成为目前计算机病毒的主要特征。
1、 “偷”
从2005年开始,盗号木马已经成为主流。进入2006年后,这一趋势更加明显。根据瑞星全球反病毒监测网统计显示,上半年具有盗取用户密码等隐私信息特征的病毒共90421个,占到总病毒数量的75.7%。
这些盗号木马在后台运行,没有任何提示信息,一般用户根本察觉不到机器已经中毒。它们偷偷记录用户的输入信息,比如QQ密码、网络游戏账号、网上银行卡账号等,并将这些信息直接发送到黑客手中,给用户带来直接经济损失。
2、“抢”
上半年出现了几个新形式的木马病毒值得我们关注。它们与躲在后台悄悄“盗取”用户隐私信息的木马不同,这些新的木马病毒会赤裸裸的对用户进行直接威胁勒索。如果把传统的盗号木马比喻成“小偷”,则这种新形式的木马就是“强盗”。此类软件也被称之为“勒索软件(Ransomware)”或“勒索病毒”。
通常“勒索病毒”会将用户的重要文件加密或者隐藏,并明确要求用户支付费用来换回重要的文件。
06年3月,瑞星截获的“代理木马变种AYV(Trojan.Agent.ayv)”病毒就是一个典型的勒索病毒,它要求用户支付300美元来重新获取自己加密文件的访问权。其后截获的“然森(Trojan.Ransom)”病毒会要求用户通过西联汇款(Western Union)向黑客支付 10.99美元,否则将每隔30分钟删除一个文件,直至收到付款。而一种在俄罗斯地区传播较广的“GP编码(Harm.Gpcode)”病毒更是采用了RSA 260位及330位高强度的加密运算法则对用户的重要文件进行加密,并进行勒索。遭受该病毒攻击的用户必须在专业的信息安全厂商的帮助下才能找回“丢失”的文件。
6月12日,我国出现了首个大规模传播的勒索病毒 - 进程杀手变种Q(Trojan.KillProc.q)。该木马病毒运行后会将用户的Word文档、Excel表格文件以及RAR和Zip压缩包等重要的文件隐藏。同时会在桌面上建立一个名为“拯救硬盘.txt”的文件,内容大致为:“你的硬盘资料丢失了,是因为手机的强电磁流影响了硬盘的正常读写,你必须使用磁盘修复工具拯救找回丢失的资料文件,但是,你正在使用的不是正版软件,是盗版,你必须拯救修复丢失的资料,并且尽快购买正版的软件…”。该病毒还会在开始菜单的“附件”组中生成名为“修复硬盘资料”的快捷方式。用户运行“修复硬盘资料”程序(恶意程序)后,会提示用户必须向一个帐号汇款才能找回硬盘数据。
3、“骗”
“网络钓鱼”式欺骗手段越来越多地被黑客所利用。2005年已经出现了黑客利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,诱骗用户将自己的个人信息和财务数据,包括如真实信息、联系方式、银行卡帐户等泄露给黑客。
在2006年上半年,欺骗手段进一步升级。黑客不光利用电子邮件和网站进行诈骗,具有“网络钓鱼”性质的病毒也开始出现。
6月23日,瑞星全球反病毒监测网截获两个窃取ADSL用户密码的木马病毒,并分别命名为“ADSL窃密者变种C/D(Trojan.PSW.ADSL.c/d)”病毒。这两个病毒专门针对北京ADSL用户编写,分别冒充北京网通和北京电信的ADSL密码自服务网页。当用户上网时,该病毒会自动弹出假页面,诱骗用户填写自己的密码。
6月27日,一个假冒工行网站个人银行系统的木马病毒被截获。当用户登陆工行网上银行个人银行时,会自动弹出窗口提示“为了给您提供更加优良的电子银行服务,6月25日我行对电子银行系统进行了升级。请您务必修改以上信息”诱骗用户输入自己的银行卡密码。随后这些银行卡账号和密码将被自动发送给黑客。
四、病毒传播手段多元化,网站、U盘等成为新渠道
2006年上半年统计的数据显示,虽然仍有一些老牌的邮件蠕虫存在,但通过电子邮件进行传播的病毒数量已经呈现下降趋势,黑客们越来越多的通过网站对用户进行攻击。此外,利用多种传播手段进行传播以及通过U盘进行传播已经成为病毒发展的新趋势。
随着互联网的不断普及,建立网站、论坛已经变得非常流行,而这些网站由于没有很好的安全保护措施,常常是黑客们用来传播病毒的最有利的工具。黑客利用这些网站的漏洞,“黑”掉这些网站,并在这些网站上放置木马病毒(即通常说的“挂马”)。用户登陆这些含有木马病毒的网站就会被病毒感染。
被黑客“光顾”的网站有论坛、博客、在线商城、在线书店、报社站点甚至是一些大型的门户网站。仅2006年5、6两月,瑞星全球反病毒监测网检测到被黑客攻击“挂马”的网站就多达十个。
今年6月2日,一个名为“威金蠕虫变种BO(Worm.Viking.bo)”的蠕虫病毒被瑞星病毒疫情监测网截获。它是采用多种手段的进行传播的典型病毒之一,同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。
正是由于该病毒的这种特点,它比靠单一手段传播的病毒的传播速度要快得多,短短一周就有将近两万名用户遭受到该病毒的攻击。
与此同时,由于U盘的广泛使用,它也是其成为病毒传播的一个新途径。上半年,瑞星截获一个名为“Ie间谍变种Q(Trojan.Spy.IeSpy.q)”的木马病毒,该病毒在高校、网吧、数码相片冲印社等地流传非常广。目前,许多病毒已经将通过U盘方式传播作为自己的辅助传播手段。由于U盘具有很高的流动性,并且其主要使用地区的安全防范措施不强,导致U盘类病毒的大量泛滥。
预计在06年下半年,利用多种途径传播和通过U盘进行传播将会成为病毒新的特性之一。
五、应用软件漏洞受黑客青睐
据瑞星公司的统计显示,从公布漏洞到利用漏洞的病毒出现所用的时间越来越短,甚至许多漏洞还没有被公布,便已经有利用其进行攻击的恶意代码出现在互联网上。年初出现的WMF漏洞就是其中的典型。直到该漏洞被黑客进行病毒传播的一周后,微软才发布官方补丁程序。不仅如此,目前,黑客对漏洞的攻击已经呈现出一个新的发展趋势,他们不再满足于单单的操作系统漏洞,各种流行应用软件的漏洞越来越受到黑客们的亲睐。
2006年5、6两月,微软办公软件Microsoft Office的多个0-Day漏洞被黑客利用进行病毒传播,涉及到的软件包括:Word、Excel、PowerPoint等。当用户打开黑客构造的特殊格式文档时,这些文档就会自动释放病毒并运行。
6月12日,一个名为“阎罗王(Worm.Mail.Yamanner.a)”蠕虫病毒被瑞星反病毒监测网截获。该病毒利用雅虎在线电子邮件系统的漏洞进行传播,只要用户打开邮件,无需运行附件,就会被该病毒感染。虽然该病毒只针对雅虎电邮,并且雅虎已经做出及时处理,防止该病毒的扩散。但据瑞星分析人员测试,国内一些知名邮件服务系统也存在同样的漏洞,瑞星已经在第一时间通知了这些服务商。
由此可见,随着软件功能的日益复杂,软件代码的潜在问题也日益增多,这为黑客提供了更为丰富的开发资源。仅在2006年3月和5月间,Macromedia Flash、Microsoft Word、Apple QuickTime、iTune、Winamp等知名软件纷纷出现可被黑客利用的漏洞。这种基于应用程序的攻击和渗透正在慢慢流行起来,应用软件漏洞很可能取代操作系统漏洞成为用户信息安全的主要威胁。
六、概念型病毒呈现跨平台趋势
2006年上半年,瑞星全球反病毒监测网截获了几个比较有特点的概念型病毒。这些病毒基本不具有破坏性,仅仅是实验性质的病毒。
今年2月18日,两个针对苹果电脑操作系统Mac OS X 10.4编写的病毒被发现;4月,“Bi病毒(Parasite.Bi)”现身互联网,它可以同时感染Windows/Linux两种操作系统下的可执行文件,是全球第一个真正意义上的Windows/Linux双系统病毒;6月,首个攻击StarOffice和OpenOffice.org办公软件的宏病毒“星尘(Macro.StartOffice.Stardust.a)”被截获,由于OpenOffice.org办公软件能够运行于Windows、Linux等多个平台,该病毒也可以同时在这些平台上运行。
虽然,这些病毒只是实验性质,几乎没有危害,但它们却反应出未来病毒的发展趋势。病毒将不仅仅运行在Windows平台上,苹果电脑的MacOS系统和开源的Linux等系统已经不再是“净土”,同样遭受着病毒的威胁。然而,目前Windows操作系统在中国仍然是个人用户市场的第一大操作系统,因此在短期内跨平台病毒还不会成为主流。
七、2006年上半年十大病毒排行榜
排名 | 中文名 | 病毒名 |
1 | 灰鸽子 | Backdoor.Gpigeon |
2 | QQ盗贼 | Trojan.PSW.QQRobber |
3 | 传奇终结者 | Trojan.PSW.LMir |
4 | QQ通行证 | Trojan.PSW.QQPass |
5 | 密西 | Trojan.PSW.Misc |
6 | QQ消息机 | Trojan.QQ.MsgSender |
7 | 灰鸽子木马 | Trojan.Gpigeon |
8 | QQ助手下载器 | Trojan.DL.QQHelper |
9 | 代理木马下载器 | Trojan.DL.Agent |
10 | PC客户端后门 | Backdoor.PcClient |
八、2006上半年中国大陆各地区疫情统计
排名 |
地区 |
感染病毒总数(个) |
排名 |
地区 |
感染机器总数(台) | |
1 |
广东 |
35934075 |
|
1 |
广东 |
438193 |
2 |
浙江 |
28894631 |
|
2 |
浙江 |
365722 |
3 |
山东 |
19028557 |
|
3 |
江苏 |
251338 |
4 |
江苏 |
18611538 |
|
4 |
山东 |
227918 |
5 |
上海 |
15697415 |
|
5 |
上海 |
192901 |
6 |
北京 |
13730815 |
|
6 |
北京 |
171754 |
7 |
陕西 |
11085078 |
|
7 |
河北 |
146720 |
8 |
河北 |
11057591 |
|
8 |
陕西 |
146439 |
9 |
河南 |
10436110 |
|
9 |
四川 |
130599 |
10 |
辽宁 |
10313286 |
|
10 |
辽宁 |
130215 |
11 |
四川 |
9846537 |
|
11 |
湖南 |
130211 |
12 |
湖南 |
9673221 |
|
12 |
河南 |
129044 |
13 |
江西 |
9184201 |
|
13 |
江西 |
124139 |
14 |
湖北 |
8464355 |
|
14 |
湖北 |
122334 |
15 |
广西 |
7727263 |
|
15 |
福建 |
109796 |
16 |
福建 |
7239110 |
|
16 |
广西 |
99061 |
17 |
安徽 |
6015516 |
|
17 |
安徽 |
83120 |
18 |
吉林 |
4897404 |
|
18 |
天津 |
62652 |
19 |
山西 |
4872247 |
|
19 |
吉林 |
61702 |
20 |
天津 |
4535642 |
|
20 |
重庆 |
55845 |
21 |
重庆 |
3832130 |
|
21 |
云南 |
51812 |
22 |
云南 |
3792849 |
|
22 |
山西 |
48971 |
23 |
内蒙古 |
3271800 |
|
23 |
新疆 |
39077 |
24 |
新疆 |
3268363 |
|
24 |
贵州 |
38708 |
25 |
贵州 |
3216189 |
|
25 |
内蒙古 |
32240 |
26 |
甘肃 |
2356191 |
|
26 |
甘肃 |
30589 |
27 |
黑龙江 |
1378848 |
|
27 |
黑龙江 |
19078 |
28 |
海南 |
1045000 |
|
28 |
海南 |
15492 |
29 |
宁夏 |
661741 |
|
29 |
宁夏 |
8568 |
30 |
西藏 |
194315 |
|
30 |
西藏 |
2083 |
31 |
青海 |
65869 |
|
31 |
青海 |
1206 |