找回密码
 注册

QQ登录

只需一步,快速开始

广告位招租QQ156975948 方维购物分享系统问题集锦!泊君SEO伪原创软件2011终身版! 团购中
多多淘客返利系统最新7.3版 免费下载SEO伴侣VIP账号! 火热 团购中链接买卖! 赚取美元从这里开始
20万元!邀请您代言淘宝客专用虚拟主机 免备案 香港主机广告位招租QQ156975948

2010计算机病毒七大流行趋势:以胖为美

来源: Meddy 2011-3-3 01:34:26 显示全部楼层 |阅读模式
      2011年1月28日,国内领先的计算机反病毒厂商江民科技发布2010年度病毒疫情报告。2010年度,计算机病毒呈现七大流行趋势,其中,为了对抗“云安全”反病毒技术,许多病毒开始纷纷给自身“增肥”,把病毒文件增大至几十上百兆,以逃避杀毒软件“云查杀”技术。
江民科技2010年度网络安全报告显示,2010年度,计算机病毒呈现如下七大流行趋势。
一、流行木马的技术蜕变
      除了频繁变种,最高时达到每天出现一百多个变种之外,一些游戏盗号木马开始在技术上寻找突破。2010年,盗号木马开始采用一种更加隐蔽也更加保全的做法:篡改一些游戏运行时必须加载的系统DLL文件来实现自身的启动。这一做法源于Windows程序加载文件的机制不合理问题,即不去验证加载的程序是否合法,而仅仅按照一定的路径优先级顺序寻找、加载文件名匹配的文件。盗号木马的母程序通常会篡改系统DLL中的指定函数,或直接在DLL中加入新的节,之后修改入口代码,从而实现指定恶意代码的运行。如此一来,即实现了隐秘的自启动,又不会影响正常的系统功能,可谓“一举多得”。受此类盗号木马青睐的系统DLL文件包括“imm32.dll”、“d3d8.dll”、“dsound.dll”、“ksuser.dll”、“comres.dll”等。
二、“刻毒虫”变种久盛不衰
     “刻毒虫”变种家族在今年也一直保持着流行状态。该蠕虫自2008年底开始流行,至今仍旧活跃在各个阶段的统计数据当中,甚至其个别变种的传播势头丝毫不逊于新病毒。至今为止,该家族已产生近千个变种,是2003年以来感染面积最大的蠕虫病毒。“刻毒虫”变种会通过MS08-067漏洞在局域网内进行主动传播,如果网内存在未安装相关系统补丁的联网计算机则会立即中招。另外,其还可以通过U盘等移动存储设备进行传播,如果用户在使用此类设备前没有经过查毒操作或习惯于通过双击方式打开的话,便会增加感染的风险。正是由于“刻毒虫”充分地利用了多种传播方式,从而为其大面积、持久的流行带来了可能。
三、IE桌面快捷方式遭遇真假李逵
      IE浏览器是上网冲浪不可或缺的组成部分,它是用户进入互联网的接口,是丰富内容得以展现的平台。首页是用户开启IE之后最先获取到的内容,其可能对用户后续的上网行为产生不同程度的影响。在互联网经济越发火热的今天,其更是成为了相关利益群体的必争之地。特别是对于那些依靠流量、推广而生存的小型站点而言,如何牢牢地控制住IE首页更是事关自身存亡的头等大事。于是,IE首页绑架便出现在了网民的生活中。
早先绑架IE首页多是通过修改系统相关注册表项来实现。这一方法最早可以追溯到上个世纪,其实现方法已经不再是个秘密。大多数具有注册表监控的软件可以很好的对其进行监控和防御,因此不法之徒也便不再利用。
       后来不法分子们开始隐藏桌面上的IE浏览器图标,并且释放假冒的IE浏览器快捷方式。由于两者看上去极为相似,最开始不容易引起用户的怀疑。不过由于其打开IE后会自动访问某些站点,而用户又没有发现注册表相关键值被篡改,因此很容易联想到是IE快捷方式存在问题。这类伪造的IE快捷方式具有“.lnk”扩展名,同时其右键菜单内容也不同于正常快捷方式,因此很快便露出了马脚。随之,这种方式的有效性也便失去了。
      之后,又一种更加顽固的伪造IE快捷方式的方法出现。不法分子会在注册表Namespace项下添加相关键值,以此仿冒出不可通过右键菜单进行删除的IE快捷方式。由于其不具有扩展名,同时右键菜单内容也可以仿冒正常的IE快捷方式,从而更加具有迷惑性。这类快捷方式由于不便删除,因此表现得较为顽固。但是众多安全软件厂商都推出了自己的清理工具,从而再次切断了不法分子的生财之道。
四、 脚本病毒强大多变
      Windows系统强大的功能,使得脚本多样的应用成为可能。同时,由于脚本语言灵活的表述方式,使得加密变形也显得十分容易。不法分子正是看到了这些,才不断疯狂地利用脚本病毒进行经济利益的牟取,方法也可谓无所不用其极。
      6月份江民科技曾捕获到一个脚本病毒。该病毒会将“开始”菜单下所有应用程序、系统功能的快捷方式篡改为随机扩展名的恶意脚本文件,由于其图标仍旧保持原来的样式,因此十分具有迷惑性。这些伪装成快捷方式的恶意脚本在运行后,会首先判断所运行的进程是否为几款常见的网页浏览器。如果是,则会在进程名之后添加骇客指定的URL并且调用运行,从而以此种方式实现首页的绑架。由于该病毒会在注册表中生成大量随机名称的项目,因此会给手动清除工作造成很大的不便。另外,由于桌面和开始菜单下的所有快捷方式都无一例外的被篡改,病毒清除后需要进行的恢复工作也较为繁杂,否则仍会对用户的电脑操作造成干扰。该类病毒由于变种繁多,导致一些清理软件并不能完全的将被篡改的快捷方式彻底恢复。如果用户不慎点击了残留的恶意快捷方式,仍旧会激活藏身于系统文件夹中的母病毒,致使不断的被重复感染,令用户难以摆脱侵害。
五、 恶意快捷方式成为病毒启动之匙
      2010年7月中旬,微软发布安全公告称其在Windows Shell中发现了一个可以导致远程代码执行的漏洞。利用此漏洞十分容易,只需要精心构造一个指向恶意程序的快捷方式,并且将其与恶意程序放置在同一目录下即可。当被感染系统用户使用Windows资源管理器浏览包含该快捷方式的目录时,便会自动触发该漏洞并导致恶意程序的运行。微软对这个漏洞发布预警的时间是7月16日,仅仅过了一周的时间,利用该漏洞的恶意程序便被应用在实际的攻击当中。
2010年9月,一个名为“超级工厂”的蠕虫病毒借用包括此漏洞在内的多个系统漏洞秘密潜入我国,并迅速引起国家相关部门以及各大反病毒厂商的警惕。该病毒之所以会造成如此大的反响,是因为其会对指定的工业控制软件进行感染,以此实现对工业生产过程的控制和破坏,从而造成严重的干扰和影响。据说该病毒曾成功地破坏某国的铀浓缩设备。在相关部门的努力以及各大厂商的配合之下,该病毒并未在我国大面积的流行。但由此可见各种系统漏洞足以成为病毒在世界各地恣意漫游的“通行证”,足以成为唤醒病毒的“还魂草”。
六、 网购木马初露端倪
      网络购物的兴起,为广大网民带来便捷和实惠的同时,也让无孔不入的不法分子嗅到了其中的机会。相比较之前依靠盗取游戏、即时通讯软件账号等以“量”取胜,且日渐颓靡的牟利方式而言,网络购物这块更为诱人的蛋糕显然更能吸引他们的注意力。据江民反病毒中心的统计数据显示,2010年全年新增网银木马近400个,较2009年上升了约6%。仍处于活跃状态的网银木马近600个,较2009年增长了约一倍。
七、 病毒以“胖”为“美”
      通常情况下,病毒文件的体积都比较小巧,这样不仅体现了病毒作者在编程方面的功力,同时也利于病毒的传播和隐藏。但是2010年病毒的“增肥”风却渐渐的兴起,越来越多的病毒不再一味的追求“骨感”,而是将体积扩大至原先的成百或上千倍之巨。数十兆甚至上百兆的病毒文件听起来甚是令人感到惊愕,这般体积似乎已经和一些视频文件相当。当然,病毒作者如此而为之并非无聊之举或一时兴起,他们最主要的目的即是为了对抗越发流行的“云查杀”。
通常情况下,云查杀会利用MD5或类似技术对文件进行安全检测。如果一个文件被标识为恶意或可疑,那么它只要改变自身的MD5值即可绕过“云查杀”的检测。而在程序中填入一些无用的指令或者代码即可实现MD5的改变。同时,由于填充后的文件体积过于庞大,一些“云查杀”会自动略过这些文件,致使这些恶意程序不被扫描或收集到,从而增强了其生存几率。可见,一些针对“云查杀”性能的优化设计在改善了用户体验的同时,也给了病毒以苟且偷生的机会。
      据江民反病毒中心的监测显示,此种体积庞大的病毒在“云查杀”广泛流行之前也曾经出现过,但在2010年则表现出增长的势头。因此我们可以看出,病毒作者也在时刻关注着反病毒技术的发展,并妄图求得在夹缝中生存的机会。我们也不难看出,“云查杀”作为一种新兴的技术形式,其尚未达到完全成熟或可以绝对信任的程度,传统的基于本地的反病毒产品仍然具有不可替代的作用,同时也是一切“云查杀”的基础。


回复

使用道具 举报

前瞻经济学人微信二维码

前瞻经济学人

专注于中国各行业市场分析、未来发展趋势等。扫一扫立即关注。

前瞻产业研究院微信二维码

前瞻产业研究院

如何抓准行业的下一个风口?未来5年10年行业趋势如何把握?(站长自定义)

您需要登录后才可以回帖 登录 | 注册

相关推荐

顶尖数据恢复软件v6.30-破解版

顶尖数据恢复软件v6.30-破解版

谈到数据恢复,有很多用户都会联想到的是那些动辄收费数千元的人工恢复机构。也正

建站软件:USBWebserver V8.5 快速搭建本地PHP环境

建站软件:USBWebserver V8.5 快速搭建本地PHP环境

USBWebserver 是一款非常简单实用的 本地PHP环境搭建工具,无需安装,只需双击运

PP桌面v5.0.6测试版

PP桌面v5.0.6测试版

打造最专业最全面的桌面图画浏览工具,本软件的图片,每天都在不断更新中, 本软件

网站整站下载器(HTTrack Website Copier)V3.48-19中文绿色版

网站整站下载器(HTTrack Website Copier)V3.48-19中文绿色版

HTTrack Website Copier是一个免费的网页离线浏览器,它能把您指定的整个网站下载下来

做淘宝客4个月,终于创收了,这得得益于自己的坚持,淘客新手们坚持就是胜利

做淘宝客4个月,终于创收了,这得得益于自己的坚持,淘客新手们

记得我是从去年10月份开始接触淘宝客的,当时刚听说淘宝客,听说很多人兼职在

公司取名软件V16.0-公司名称评测(破解版)

公司取名软件V16.0-公司名称评测(破解版)

《公司取名软件》为您的新公司起个好名字!有了公司取名软件,按您设置轻轻一点,

迅雷VIP帐号获取工具V1.0

迅雷VIP帐号获取工具V1.0

获取网络上公布的迅雷VIP帐号,功能自己使用就会明白。 迅雷VIP获取工具.zip 在他

好用的table网页转换成DIV+CSS代码工具Table2css V3.0 汉化破解版

好用的table网页转换成DIV+CSS代码工具Table2css V3.0 汉化破解

有好多做网站和喜欢SEO的朋友都青睐把网站用DIV+CSS构建,但对于DIV+CSS技术不