蠕虫,有多少可以重来?
2004年至今,传播范围比较大的主要是“震荡波”(I-Worm/Sasser)、“雏鹰”(I-Worm/BBEagle)、“挪威客”(I-WORM/Novarg或I-WORM/MYDOOM)、“网络天空”(I-Worm/NetSky)等病毒。
此类病毒的主要特征是传播快、变种多,发送大量带毒垃圾邮件,对网络资源造成极大损耗,严重的导致局域网瘫痪,系统资源耗尽死机,机器频繁重启等危害。
今年蠕虫变种频繁是今年病毒的显著特点,以“网络天空”为例目前已经有数十种变种。2004年1月19日,“雏鹰”蠕虫病毒首次被截获,也出现数十个变种,病毒变种首次耗尽了26个字母,而不得不以I-Worm/BBEagle.ab的形式加以标别,最新的雏鹰变种已以AU命名。病毒每次变种都是为了躲避反病毒厂商追杀和进行更大范围的传播,频繁变种证明了该病毒的顽固性,以网络天空为例,从年初爆发持续到现在一直高居病毒排行榜榜首。今年混合型病毒特征明显,危害加剧。这种病毒集蠕虫、黑客、木马、后门程序特征于一体,传播速度快,途径广泛,潜在危害十分巨大。以“超级密码杀手”(I-worm/supkp)为例,不但带有自发信模块向外狂发带毒邮件,而且能破解系统弱口令,并通过各种网络共享传播自身,更人严重的是,病毒入侵后,还会在电脑上开一个后门,黑客可以远程操纵进行任意操作。
木马,无法抑制的膨胀欲望
综合前十一个月的病毒发作情况,2004年计算机病毒开始向本土化趋势发展。从今年年初的“桃色陷阱”、“武汉男生”、“盗号王”来看,本土病毒的爆发几率和破坏强度都有所增强,其中,QQ病毒“武汉男生”从去年出现至今,几乎每周都有变种产生。最新截获的本土木马病毒“密码张”以及“密蜂大盗”更极尽盗号之能事,不但能盗几乎所有类型的密码,还能远程监控,打开中毒用户的摄像头,偷拍照片等。
2004年病毒的另一个特征是盗号特性。新年伊始,电脑病毒就开始将破坏重点从单纯的破坏系统文件转移到盗取用户卡号、密码等隐私信息上。今年4月份云南一网吧传出80余台电脑网络游戏账号一夜全部被盗事件,紧接着“网银大盗”突现网络,能够轻松绕过某银行网上银行系统的安全插件,盗窃用户银行卡账号及密码,数千亿资产岌岌可危。就在人们庆幸“网银大盗”作者落网的同时,一个更加疯狂的“网银大盗Ⅱ”病毒木马惊现网络,几乎所有网上银行的用户成为病毒侵害的目标。2004年11月25日,江民反病毒中心截获“证券大盗”木马病毒(Trojan/PSW.Soufan)。该木马可以盗取多家证券交易系统的交易账号和密码,被盗号的股民帐户存在被人恶意操纵的可能。
江民科技对2004年发现的病毒、木马、黑客程序与2003年进行了对比分析,2003年所截获的各类病毒中,木马占全年截获病毒总数的32.24%,2004年这一比例达到63%,同比增长了30.76个百分点。统计结果还表明,在所发现的木马类病毒中,窃取银行账号、信用卡、游戏账号、邮箱账号等偷窃个人信息性质的木马数量有快速增长趋势,其中2003年发现此类木马占所发现木马类的9.75%,2004年发现此类木马占所发现木马类的31.74%,同比增长了21.99个百分点。
2004年,更多病毒制造者已不再满足游戏账号的盗取,经过尝试盗取信用卡的试探后,充分利用各种各样的新技术、系统漏洞,试图用“网络钓鱼”等欺骗手段,伪装官方网站或假冒官方发送客服邮件等手段,偷窃电脑用户的银行账号和其它机密信息(如游戏的账号、虚拟装备等),病毒的牟利特征十分明显。
黑客,穿过你的防火墙我的手
今年的黑客程序较往年功能更强大,传播途径和范围更广泛。象“黑洞”“蜜蜂大盗”等都属于比较典型的黑客程序,此类黑客程序不但具有强大的远程控制功能,还有强大的信息窃取功能。
6月24日,江民快速反病毒中心率先截获“蜜蜂大盗”病毒。该病毒有强大的信息窃取、远程监控功能。病毒可以窃取几乎所有类型的密码,自动打开染毒者的摄像头,进行远程监控、远程摄像、遥控QQ,并可中止防火墙,可谓“五毒”俱全。该病毒自身为合成文件,运行木马程序后,病毒将自身进程设为较高优先级,用户不能正常手工清除。
8月17日,江民反病毒中心捕获了一种危害更为巨大的网络巨盗“黑洞”病毒。“黑洞”病毒是一种比“网银大盗”危害面更广,比“蜜蜂大盗”盗窃功能更强的木马病毒。“黑洞”病毒通过网络传播,它能够自动搜索用户客户端,并且能够绕过部分防火墙直接“植入”用户电脑当中。“黑洞”的主要“恶行”在于它不但能够像“蜜蜂大盗”那样自动开启用户的摄像头偷窥隐私,盗取用户所有密码,掌控用户电脑的所有资料,而且还具有录音功能,能够偷录下用户语音、视频聊天的一切隐私。
2004年11月25日,在日本召开的亚洲反病毒大会上传出的信息,今年的黑客特征已呈现组织化、集团化,许多境外黑客组织结构庞大,成员众多,最多的掌控数十万台“僵尸”电脑网络,这样的黑势力可以做到在任意时间内用洪水攻击的方法瞬间摧毁世界上任何地方的网站,对网络的潜在危害令人心惊。
恶意代码,网络世界中的恶性肿瘤
微软漏洞催生恶意代码。微软操作系统每一次出现漏洞,很快就有恶意代码出现。今年七月份,江民反病毒中心监测到,利用Adodb.Stream漏洞的恶意代码出现在网上。Adodb.Stream漏洞最初在2003年8月被发现。通过在网页脚本中使用Adodb.Stream对象,有可能在没有任何安全警告的情况下,从远程下载文件到本地。但从严格意义上说,单独的Adodb.Stream对象其实算不上一个安全漏洞,因为这个对象的功能本来就是如此,单靠Adodb.Stream自己也无法下载安装远程可执行文件。只能说它的安全性不够高,无法通过修改IE的安全级别等设置来对这个对象添加安全警告。大概也正是因为这个原因,微软才在长达10个月的时间里,始终没有发布对Adodb.Stream的任何修补。但是如果黑客把Adodb.Stream和其他的IE漏洞(如本地安全区跨越漏洞)一起使用,就有可能下载并运行远程程序。最近几个月里相继被发现的严重的IE漏洞,恶意代码都是在成功进入了本地安全区后,再利用Adodb.Stream对象没有安全提示的特点,神不知鬼不觉的下载远程文件到本地。实际上,对于恶意代码来说,Adodb.Stream对象只是一个很好用的下载工具。除了Adodb.Stream以外,完全可以使用其他方法来达到同样的目的。Adodb.Stream之所以受到黑客偏爱,是因为利用它的代码最简单最方便。
9月14日,江民反病毒中心监测到,一个新的IE漏洞可以导致用户拖放鼠标就感染病毒。经研究,该恶意脚本首先在隐含frame中建立一个到“shell:startup”的超链接,然后模拟点击,这样可以打开用户本地的“启动”文件夹。并通过对onmouseover()等函数编程,使隐含frame始终跟随鼠标指针。这样,用户在页面上移动鼠标时,实际上总在指向一个被隐含的“启动”文件夹窗口。接下来,建立一个隐含的虚假图片,在标签中指定病毒程序链接,并把定位到和滚动条位置重合。当用户拖拽滚动条浏览页面内容时,相当于把假图片(即病毒程序)拖入了“启动”文件夹,在毫不知情中已经下载了木马程序。当Windows下次启动时,“启动”文件夹里的木马就会自动执行。
9月22日,江民反病毒中心监测到,利用微软JPEG漏洞(MS04-028)且包含后门代码的恶意JPEG图片已经被国外黑客制作出来,制作程序的源代码也已经公布到网上。系统存在MS04-028漏洞的用户如果观看或预览这些恶意图片时,图片中包含的代码就可以自动执行。有可能在用户系统进行删改数据、种植木马、开设后门、偷窃资料等几乎所有破坏行为。
10月28日,江民反病毒中心监测到,微软IE浏览器的又一个地址欺骗漏洞被发现。利用该漏洞,黑客可以在网页中制做一个特殊的超级链接,当用户在IE中浏览网页,用鼠标指向该链接时,状态栏中显示的URL可以是由黑客指定的任意地址。但当用户点击链接后,却可能会连接到恶意网站。根据分析,当超级链接标签ahref内嵌于table标签和另一个超级链接里面时,IE浏览器无法正确处理,从而导致了这个地址欺骗漏洞。
2004年,根据江民客服中心以及病毒搜集渠道结果分析,感染病毒的大多还是个人电脑用户。江民病毒搜集分析系统结果显示,个人电脑用户感染较多的仍然是“新欢乐时光”(VBS/KJ)等老病毒,可见个人电脑用户电脑安全防范措施仍然十分薄弱,令人担扰。此外,由于个人用户安全意识较了淡薄,经常去一些不明网站下载,因此木马的感染几率也相对较高。从江民客户服务部门接到的求助电话来看,由于企业用户频繁使用邮箱收发邮件,受“蠕虫”病毒感染的企业用户明显增多。另外,由于局域网的广泛应用,企业单位遭受网络病毒的侵害日益增多。政府、事业单位除了侵受网络蠕虫病毒侵扰外,另一个显著特征就是仍然在遭受引导区病毒危害,由于仍然有一些政府事业单位部门习惯用软盘来备份和互换数据,而引导区病毒主要通过软盘传播,因此政府事业单位成为引导区病毒重灾区。从全国各地的江民电脑急救站接收的硬盘数据恢复的情况可以看出,大多数寻救数据恢复的是政府事业单位客户,引导区病毒是导致硬盘数据丢失的一大原因,应引起足够重视。
