在信息安全領域,病毒與反病毒始終是最活躍的兩支力量,而一年一度的病毒回顧可謂是安全界的年度大餐,使我們能夠在須臾之間便可將一年的病毒現狀與流行趨勢盡收眼底,為下一年的信息安全建設做一個參考。
“關注行業、檢查自己”,永遠是企業進行信息安全建設的原則。
◆ 2004,病毒漫舞
◆ 蠕蟲遍布整個網絡
◆ 木馬劫掠真實財產
◆ 腳本病毒甘做幕后幫兇
◆ 2004年毒界“風云”榜
◆ 與毒過招
◆ 防毒路上,還欠缺什么?
2004,病毒漫舞
■ 安天實驗室 張曉兵
2004年,病毒依然保持著高速發展的勢頭,有關資料顯示,2004年全年產生的病毒種類已經達到了25000種,大大超過了2003年20000種的病毒產生數量,這其中大部分為沒有感染能力的蠕蟲、木馬類病毒,而像CIH這種可感染的病毒則是少之又少。
2004年的病毒與反病毒的風云際會到底呈現出哪些特點呢?
2004病毒特點
網絡病毒仍是主流
不可否認,互聯網依舊以超出想象的速度迅速膨脹著,與此同時,無線網、電視網也都得到了長足的發展,IPv6產生了,3G走近了。當這些協議正式推行時,網絡的規模和概念都將進行革命性的改變,讓我們無從猜測,但有一點是可以確定的,就是在網絡時代,網絡病毒已經成為病毒家族里的超強音。
網絡病毒是一個廣泛的概念,它是指通過網頁、郵件、即時通信、P2P等網絡手段進行傳播的蠕蟲、木馬、黑客程序等病毒的總稱。無論從數量上還是發作情況上來看,網絡病毒都是2004年最大的“贏家”。去年初的“SCO炸彈(Worm.Novarg/Worm.MYDoom)”大家是否還記憶猶新?該病毒通過郵件瘋狂傳播,其速度不亞于當年的“求職信”病毒,而去年中的“惡鷹(Worm.Bagle)”與“網絡天空(Worm.NetSky)”病毒作者之間互相攻擊、競相推出病毒新變種的現象,也成為2004年信息安全領域一道難得一見的“風景”。
這些病毒的泛濫,說明了網絡病毒繼2003年以來,繼續保持著主流病毒的形象,繼續威脅著上網用戶的安全。
漏洞病毒風光無限
無獨有偶,漏洞病毒繼2003年“大出風頭”以后,2004年依然是“風光無限”。2003年8月份沖擊波病毒的爆發,相信大多數電腦用戶已經領略到了這類病毒的威力,而2004年五一期間爆發的“震蕩波(Worm.Sasser)”病毒,更使人們不得不再一次重溫漏洞病毒帶來的噩夢。
漏洞病毒其實是蠕蟲病毒家族的一種,由于它本身利用了操作系統的漏洞進行傳播,因此也被稱為漏洞病毒,這類病毒的特點就是“來勢洶洶,去也匆匆”。操作系統一旦出現重大漏洞,就等于所有的電腦用戶都為病毒打開了一扇毫無防備的大門,讓病毒可以來去自由。另一方面,重大的操作系統漏洞往往是核心程序出現了問題,病毒一旦利用這些漏洞進行攻擊的話,就會使用戶電腦的操作系統崩潰,從而出現各種怪異現象。因此,只要是漏洞病毒爆發,一定是天下皆驚的。然而,這類病毒由于利用的是漏洞,只要將漏洞堵住,病毒就會立刻失效,當用戶及時下載了微軟補丁和使用了反病毒廠商免費提供的病毒專殺工具后,它們就會成為過眼云煙,在短時間內消散的。
即時通信、網游病毒全面開花
2004年還有一點也頗引起人注目,那就是即時通信工具大戰和網游大戰了。在QQ成為即時通信的王者,MSN Messenger成為第二之后,立刻引發了即時通信工具的大戰,這種現象使得即時通信立刻成為繼郵件之后的又一大平臺,從而滋生了大量的即時通信病毒。
可別小看這些年紀輕輕的病毒,它們可是經過了好幾代的變異了,從最初只偷盜聊天記錄,到后來偷盜用戶賬號和密碼,再到2004年在即時通信工具里發送病毒網址來誘惑用戶中毒,這類病毒的能力也越來越強。而新興的MSN Messenger即時通信工具也陸續出現了類似“MSN射手”、MSN騙子(Worm.MSN.funny)這樣的病毒。種種情況表明,病毒編寫者開始全面介入這一新興平臺,以后這類病毒將會越來越多。
病毒的商業化趨勢明顯
2004年,繼震蕩波之后,比較惹眼的病毒恐怕要算是“網銀大盜”系列病毒和“快樂耳朵”病毒了,如果您了解了這類病毒的特性,就會覺得那些網游病毒只是小兒科了。
這類病毒不再拐彎抹角,而是直接盯上了赤裸裸的金錢,就像是一個間諜,會隱藏在用戶的電腦中,當發現用戶登錄網上銀行時,便把用戶名和密碼記錄下來,發送到指定的郵件,病毒作者只要定時查看郵箱,便能收集大量的用戶網上銀行的信息,很輕松就可以登錄到網上銀行進行現金轉賬。雖然網上銀行為每個用戶提供的可轉賬的資金有限,但是這類病毒一旦泛濫,積少成多,也是一筆很可觀的資金,如果這類病毒的編寫成風,將會極大地阻礙網上銀行這類新生事物的發展。
而在2004年11月下旬出現的“股票竊密者(TrojanSpy.Stock)”則更甚,專門針對數家國內證券公司的網絡交易系統編寫。如果用戶中毒,病毒會竊取用戶的股票網絡交易賬號和密碼,從而可以惡意買賣用戶的股票,造成用戶的資金損失。從這些事例中可以看到,病毒的商業化趨勢已經越來越明顯。
圖1 “快樂耳朵”誘惑用戶中招的網站畫面
手機病毒在成長中發展
當人們還在爭論手機中到底有沒有病毒的時候,手機病毒已經悄然降臨,成為2004年病毒領域又一道“風景”。
在第一例手機病毒“洪流”沉寂了兩年后,手機病毒從2004年6月開始發起了第二次攻擊浪潮。
很明顯,這次手機病毒都不約而同地盯上了智能手機。2004年年中時出現了“卡波爾(Worm.Symbian.Cabir.a)”、“灰塵(WinCE4.Dust)”、“布蘭多(Backdoor.Wince.Brador.a)”等多種智能手機病毒,年終時又出現了可以通過控制PC來向手機發送垃圾信息的“Delf-HA”病毒、影響Symbian手機操作系統的“頭蓋骨(Skull)”病毒等。
與此同時,Sun公司手機版Java軟件的兩個漏洞被發現,藍牙設備的三個重大漏洞也被發現,還有人制作出了能破壞藍牙設備的藍牙槍。
反病毒技術的2004
雖然隨著反病毒技術的發展,病毒已經成為可以控制的變量,但病毒與反病毒之間的戰斗永遠也不會結束,它們之間是水漲船高的關系,隨著病毒的變異,反病毒公司依然要長時間走著技術革新的道路。
驅動級編程技術得到發展
每年反病毒公司都會在年終推出新版的殺毒軟件,這些殺毒軟件里使用的新技術就成了反病毒技術革新的證據。
驅動級編程技術是2004年KV2005使用的技術,它采用驅動編程的思想,將反病毒引擎從應用層移到了核心層.這樣做的好處是使病毒的查殺速度更快,對病毒監控得更徹底。但也會產生不好的影響,就是編程難度增加,如果不經過大量的測試,會給操作系統帶來不穩定的隱患。不過,無論怎樣,這種技術的產生與應用都是反病毒技術上的一個進步,因為只有同操作系統結合得越緊密,對病毒的防護才會越有效。
單機網絡化的趨勢開始明顯
隨著技術的發展和下移,許多原來網絡版里使用的技術開始更多地在單機版的殺毒軟件中體現,成為2004年反病毒技術上的又一個亮點。
瑞星殺毒軟件2005版就是一個典型的例子,其網絡黑名單技術使得單機用戶能夠在局域網環境下很好地防御像FUNLOVE、尼姆達這樣通過網絡傳播的病毒,其漏洞監控技術也為單機用戶在局域網中的使用建立起一道防線。
病毒監控技術更加完善
病毒監控技術自產生之時起就得到了反病毒公司的大力推崇,經過幾年的發展,成為反病毒的一支重要力量。如果說病毒查殺技術是“亡羊補牢”的話,那么病毒監控技術就是“未雨綢繆”,對用戶來說是更加有用的一種技術,于是病毒監控技術的完善便成了2004年反病毒技術的又一話題。
縱觀新近推出的新版殺毒軟件,給用戶留下深刻印象的恐怕要算監控系統了。江民推出了七大監控系統,瑞星則推出了八大監控系統,雖然監控系統越多,會對資源占用越多,但是對于機器配置較好的用戶來說,使電腦更安全才是根本。
2005展望:網絡爭奪戰
漏洞病毒依然會是毒魁
就目前的Windows操作系統來說,幾千萬行的代碼、上百萬軟件工程師共同進行編碼,想沒有漏洞是不太可能的事情。我們也不得不承認,漏洞病毒依然會是極其厲害的一類病毒。
就像每年操作系統都會出現重大的漏洞一樣,2005年也會出現類似蠕蟲王、沖擊波、震蕩波這樣極具殺傷力的漏洞病毒。這類病毒不會很多,可能只有一兩個,但是卻能毫不費勁地造成社會問題。因此,及時關注病毒和漏洞信息應該成為每一個電腦用戶的習慣,這樣才有可能在漏洞病毒面前不再顯得那么脆弱。
瀏覽器劫持會向縱深發展
瀏覽器劫持現象在2004年初步形成氣候,將會在2005年進行發力。它是指一些惡意程序通過控制瀏覽器的形式來左右用戶的電腦,使用戶上網時出現各種問題,這其中就包括曾經名噪一時的腳本病毒和最近新出現的廣告插件(ADWare)、色情插件(PornoWare)之類的惡意程序。
ADWare程序在非法侵入用戶電腦后,會占用用戶大量的網絡帶寬,使上網速度變慢,而PornoWare則會非法修改用戶的長途撥號或網絡銀行設置,使用戶莫名其妙地產生巨額支出。由于這類惡意程序隱藏得很深,用戶一般很難發覺,比傳統的病毒更具威脅性。
網絡釣魚將引發新的社會問題
最近兩年一個新興的網絡問題是垃圾郵件的問題,而2004年及以后,另一個新的熱點將會是“網絡釣魚”。網絡釣魚是2004年才出現的新事物,與網銀大盜之類的病毒偷盜行為不同,它采用的是“舍不得孩子套不著狼”的戰術,利用真實的病毒網址來詐騙用戶上當,從而盜取用戶的網絡銀行或信用卡的密碼,從而盜取大量現金。
圖2 “網絡釣魚”界面
隨著網絡的發展,這類問題將在2005年進一步擴大,成為新的社會問題。對于這類問題的解決已經不是單純的用戶如何防御的問題了,已經上升到了網絡監管的層次。如果能對網絡進行規范化管理,會使我們上網的環境更純潔些。
不管怎么說,熱熱鬧鬧的2004年即將過去,回首這一年,病毒依然是我們心中抹不掉的痛,遙望2005年,我們只能說,希望病毒再少些。
一月毒星
MyDoom(Worm.Novarg/Worm.MyDoom)
閃光點:最有領導潛力的病毒
一月的病毒明星要算是MyDoom了,也叫SCO炸彈。它會通過郵件瘋狂傳播,傳播速度不亞于當年的“求職信”病毒,運行時會發送標題為:“Error”、“Mail Transaction Failed”、等內容,附件后綴為“bat、cmd、exe、pif、scr、zip”的病毒郵件。這家伙自產生以來,不斷地出現新變種,二月份出現了兩個重要變種C和D。截止到年底,共出現了50多個病毒變種,單看它聯合所有被感染的電腦對SCO網站發起的攻擊,就知道它有多大的領導能力了。
二月毒星
貝革熱(Worm.Bagle/Worm.BBeagle)
閃光點:最瘋狂的病毒
二月份是貝革熱(也稱惡鷹)病毒的世界,它也利用電子郵件傳播,傳播力極強。該病毒有幾個特點:第一是會自我升級,每隔一斷時間登錄一個網址,自動下載新版本;第二是會自殺,它會檢測系統時間,如果是2004年2月25日則自動退出系統并停止傳播。據猜測,這樣做的目的是想測試一下病毒傳播的情況,以便改進。該病毒自產生以來,也是變種繁多,目前已經有了將近100個變種。該病毒的特點是傳播瘋狂、做法瘋狂,而且還瘋狂地產生下一代。
三月毒星
網絡天空 (Worm.NetSky)
閃光點:最虛偽的病毒
雖然網絡天空病毒在二月份就已經產生,但它在三月才開始真正泛濫。同前兩個月的病毒明星一樣,它也是一個通過郵件進行瘋狂傳播的蠕蟲病毒。值得一提的是,該病毒曾在其第11個變種的病毒體里留下“該病毒將是我的最后一個版本”的話,著實讓用戶松了一口氣。而事實上,這只是一句美麗的謊言,之后,它又推出了多個變種,至今病毒變種已經達了40多個。
四月毒星
QQ播客(Trojan.QQMSG.Boker.d)
閃光點:最煽情的病毒
該病毒屬于QQ尾巴類病毒,會利用QQ發送例如“……釣魚島是中國的領土!!!臺灣是中國不可分割的一部分!!!請將此消息發給您QQ上的好友!”等消息,消息后面是一個網址。雖然病毒發的消息很煽情,但是大家千萬不要相信,因為這消息后面跟隨的是病毒的網址,用戶只要一點擊,就會中毒,從而再次感染線上的其他好友。該病毒自誕生那天起也產生了80個病毒變種。
五月毒星
震蕩波(Worm.Sasser)
閃光點:傳播范圍最廣的病毒
五月可謂名符其實的病毒月,爆發了堪稱2004年毒王的震蕩波病毒。該病毒利用LSASS漏洞進行傳播,只要沒有打過該補丁的操作系統都會受到該病毒的攻擊,其感染范圍和破壞程序都超過了2003年的沖擊波病毒。雖然它只產生了7個變種,但是足以讓人們記住。而且,五月甚至還有一個好心的病毒作者編寫了“震蕩波殺手”工具,只可惜它在清除電腦中的震蕩波病毒的同時,讓用戶的系統改受該“殺手”的繼續攻擊。
六月毒星
卡波爾(Worm.Symbian.Cabir.a)
閃光點:最時尚的病毒
雖然它還是一個概念型的病毒,但卻標志著智能手機病毒開始正式登上病毒的舞臺。病毒運行會感染采用Symbian操作系統的諾基亞型手機,并能通過手機的藍牙功能進行傳播感染。這是全球首個完全在智能手機上運行并感染的蠕蟲病毒。該病毒最早出現在歐洲,發作時會在手機上顯示“CARIBE-VZ/29A”字樣,并且在Symbian操作系統的系統目錄下釋放多個病毒體,但并沒有對系統產生破壞動作。即使如此,用戶也得小心了,因為很可能會出現更多的有破壞性的病毒。
七月毒星
拉茲(Trojan.Win32.Lasta)
閃光點:最“安全”的病毒
七月的拉茲病毒是數據保護行業的一個恥辱。它利用了某系統保護和還原軟件的漏洞,當用戶使用這類保護軟件進行系統恢復時,并不能將該病毒恢復掉,而下次用戶以為系統是干凈的要再次保護時,該病毒就會被做為正常的程序進行保護。這樣一來,該病毒就相當于多了一個保護膜,更加難以清除了。而事實上,它曾經使數千個電腦用戶中毒,可謂“人小鬼大”。該病毒至今只產生了11個病毒樣本。
八月毒星
布若達(Backdoor.Bardor.A)
閃光點:最有“前途”的病毒
布若達是全球第一個可以讓攻擊者遠程控制被感染手機或智能設備的病毒。它會感染采用ARM處理器、Windows CE操作系統的智能手機,在被感染設備中開設后門。利用它,攻擊者不但可以偷竊中毒手機里的電話號碼和電子郵件,還可以對其進行遠程控制,運行多種危險指令。該病毒依然是一個概念型的病毒,只能由攻擊者通過電子郵件或其他手段誘騙用戶下載并運行。但根據國外媒體報道,該病毒出現后,已經開始有人利用電子郵件銷售這個病毒的客戶端,賣病毒的人聲稱,任何人都可以購買該病毒用來控制別人的手機。如果這種情況泛濫的話,將是智能手機用戶的又一場災難。
九月毒星
快樂耳朵(Trojan.Happyear)
閃光點:最無恥的病毒
快樂耳朵并不會使人快樂,因為它的出現,九月成了網上銀行的噩夢。它首先會通過郵件進行傳播,會發作大量標題為“快來看看我的偷拍作品”的郵件,聲稱自己是一個酒店的經理,偷拍了大量的社會丑惡現象,然后放在一個網站中。如果用戶要看的話,需要下載一個插件。隨信件還有一個鏈接地址,如果用戶感興趣點擊了該地址的話,就會鏈接到發信人所說的那個偷伯網站,并且確定會提示用戶下載播放插件,但此時您下載的并不是什么插件,而是病毒。不過,這些都不算什么,病毒真正的目的是盜竊用戶網上銀行的密碼。它運行時會時刻監視用戶的動作,如果用戶這時登錄某銀行的網上銀行系統時,就會被偷走用戶名和密碼。
十月毒星
MSN騙子(Worm.MSN.funny)
閃光點:最可氣的病毒
該病毒可以通過QQ和MSN傳播,病毒運行時會向線上好友發送“Funny.exe”的文件,用戶點擊后就會中毒。中毒后,病毒會屏蔽937個主流網站,使用戶無法訪問,更有甚者,還有可能會造成Windows 98系統崩潰,讓那些愛上網的人因無法上網而氣憤之極。該病毒的出現表明了即時通訊平臺作為繼郵件之后又一個主流通訊平臺,也同樣成了病毒的溫床。
十一月毒星
股票竊密者(TrojanSpy.Stock)
閃光點:最富有的病毒
它是專門針對數家國內證券公司的網絡交易系統編寫的木馬病毒,與偷盜網上銀行密碼的“快樂耳朵”相比,它可謂是大巫見小巫了。用戶中毒之后,病毒會竊取用戶的股票網絡交易賬號和密碼,從而可以惡意買賣用戶的股票,造成用戶的資金損失,因此,該病毒成了2004年名符其實最富有的病毒。而且,隨著網絡的發展,這種直接偷盜金錢的病毒將會越來越多。
十二月毒星
圣誕騙子(Worm.Zafi.d)
閃光點:最“博學”的病毒
就在圣誕節快要到來時,利用圣誕節進行傳播的病毒也出現了。盡管這種手法并不新奇,但在節前的一段時間里,對于廣大網民來說,仍然是很難防范的。“圣誕騙子”其實是2004年6月出現的網銀大盜病毒的一個變種,會以發賀卡的名義欺騙用戶上當。病毒侵入用戶電腦后,會開設后門,使黑客們可以遠程控制這些中毒電腦。而且,它還是一個“博學”的病毒,自帶了15種歐洲語言,當向不同國家的用戶發送攜帶病毒郵件時,會采用相應國家的語言,從而大大增強自己的欺騙性。
蠕蟲遍布整個網絡
■ 上海 馬木留克
2004年依然是一個蠕蟲泛濫的年代,從年初的MyDoom、NetSky,到利用Windows本地安全驗證子系統服務(LSASS)問題的Sasser,一年中互聯網的大部分帶寬中都充斥著蠕蟲發送的垃圾信息,造成的損失是非常驚人的。
傳播走老路
整體來看,2004年出現的蠕蟲中的大部分利用和傳播的方式都是以前的套路:利用系統漏洞或者使用誘騙手段。蠕蟲的編寫者很少通過蠕蟲來證明他的技術高明,所以,并沒有看到像當年MSSQL蠕蟲那樣“簡潔而優美”的代碼,相反給人的感覺是某些情況下,病毒編寫者似乎是早已編好了蠕蟲的各個部分,只是等待著出現“好用”的漏洞作為傳播的途徑而已。
以Sasser(震蕩波)為例,它的傳播途徑是微軟安全公告04011中描述的Windows本地安全驗證子系統服務的一個遠程溢出漏洞。在該漏洞的遠程利用程序公布后不久,這個蠕蟲的第一個版本便開始在網上肆虐。與MSSQL蠕蟲不一樣,它不是一個“常駐內存”的蠕蟲,而是一個文件性質的蠕蟲。對漏洞的利用僅僅是得到一個Shell,然后在這個Shell上進行操作,從攻擊端下載蠕蟲程序的副本,在新感染的機器上執行,以便傳播。Sasser蠕蟲與2003年流行的Blaster(沖擊波)傳播的方式和行為非常類似,不同的是一個是通過tftp方式傳播蠕蟲副本,而另一個通過自帶的ftp方式來傳播。較之2003年,Sasser及其他利用相同漏洞進行傳播的蠕蟲破壞力沒有Blaster強,原因除了用戶的安全意識提高和部分地區對端口的限制以外,漏洞本身的局限性也是一個重要的因素。
具體分析過LSASS問題的朋友都知道,這個漏洞是一個典型的棧溢出問題,盡管有兩次機會可以獲得控制權,但編碼的限制使得攻擊者無法找到一個對所有版本都通用的返回地址(最好的情況也就是能夠針對幾個不同語言的所有Windows 2000/XP或者是針對不同語言下某幾個特定的SP版本),使得利用該漏洞的蠕蟲的傳播成功率大打折扣,這也是很多受害者在其影響下,僅僅是看到了一個倒計時的關閉系統對話框,而沒有成為蠕蟲的另一個傳播源的原因。
除了利用系統本身缺陷傳播的蠕蟲以外,常規的通過郵件或者其他途徑傳播的蠕蟲也非常多,例如NetSky/Bagle的各種變形版本、MSN/QQ尾巴等。前者通過添加蠕蟲副本至郵件附件中,不斷發送并誘使收件人打開并執行來傳播;后者則是通過一些在線聊天工具的文件傳送功能,通過傳送蠕蟲的副本和誘使對方執行來進行傳播。這一類蠕蟲利用的不是具體的某一個漏洞,而是利用人們的好奇心和信任來達到傳播的目的。較之利用漏洞的蠕蟲而言,這一類的蠕蟲對平臺或版本不那么敏感,影響的范圍相應也要廣很多,但是由于傳播的環節中需要人為參與(比如點擊執行),所以傳播的速度不如利用漏洞進行主動攻擊的蠕蟲快。
弱口令和其他的漏洞也是蠕蟲傳播的一個途徑,不過蠕蟲通常不會單獨針對弱口令或某個不太常見的漏洞進行攻擊,而是結合了許多種傳播途徑進行傳播,例如AgoBot(高波)。從感染的情況來看,這一類蠕蟲的泛濫程度不遜于前面兩大類蠕蟲,像弱口令這樣由于用戶本身造成的問題,相比打幾個補丁而言要難解決得多,因而也很難杜絕此類蠕蟲的大量傳播。
個人用戶是攻擊重點
2004年,蠕蟲的主要攻擊對象還是個人用戶,因為人的因素始終是安全中非常薄弱的一環。利用社會工程學進行傳播的蠕蟲要獲得控制權,必須有人為的參與在里面——至少需要收件人瀏覽一下郵件或者打開運行附件中的惡意文件。盡管遭受了Mellisa、Sircam的襲擊以后,人們還是會一如既往地輕信,也使得每年都有換湯不換藥的蠕蟲出現。現在流行的郵件、IRC、MSN、QQ等都有相關的針對個人用戶的惡意蠕蟲,蠕蟲的制造者也是瞄準了個人用戶這一大塊,流行什么軟件就針對什么制造蠕蟲,只要在技術上沒有困難,相信還會有很多新的蠕蟲會源源不斷地出現。
相對個人用戶而言,專門針對服務器的蠕蟲似乎還沒有這么厲害,比起前些年CodeRed橫行的時期,2004年服務器遭受的打擊要小得多。這一類蠕蟲的一個重要特點是要依賴于系統漏洞,比如之前的IDQ、Webdavx之類。2004年,雖然安全公告中依然有只針對服務器版本的漏洞報告,但是并沒有與之相關的exp公布,而蠕蟲制造者也沒有能力自己編寫這一部分,所以利用新漏洞專門針對服務器的蠕蟲幾乎沒有。還有一點,在微軟每公布一個重要的服務器漏洞之后,幾乎都有對應的蠕蟲,這客觀上促使了網管們及時去打補丁修正bug。蠕蟲制造者也很清楚這一點,也許是出于傳播面積的考慮,很少有蠕蟲會利用以前的漏洞,頂多是整合到傳播模塊中來,只是把它用作多種傳播手段中的一項。
明天的蠕蟲
密切關注漏洞
目前,蠕蟲有一個非常明顯的趨勢,那就是每一個重大的安全漏洞都對應一個(種)危險的蠕蟲,比較明顯的例子就是Blaster和Sasser。在一個危險的漏洞出現后,從公布細節到大范圍地打上補丁,中間往往間隔非常長的一段時間。這期間,可能有某些人出于特殊的理由公布了這個漏洞的利用方法甚至是代碼,客觀上促成了蠕蟲的產生。因為蠕蟲制造者等待的可能就是這樣一個傳播的手段,倘若該漏洞的影響范圍很廣,那這個蠕蟲可能傳播的范圍就越廣,這正是蠕蟲制造者所希望的。利用代碼公布以后,只需要一些很簡單的手段就可以制造出一個蠕蟲來,從技術角度而言,Sasser乃至之前的Blaster,不過是把漏洞利用的手工方式變成自動方式而已,其行為就像一個攻擊者在用很高的速度來入侵其他機器,并沒有很高的編程技巧。蠕蟲泛濫后,大部分的機器都打上了補丁,傳播速度也就降下來了,所以雖然來勢兇猛,去得也很快。
有些危險的安全漏洞并沒有造成蠕蟲的泛濫,很多情況下是由于技術的原因,譬如GDI+的問題(微軟安全公告04028),這是一個堆溢出的問題,小范圍內有蠕蟲傳播,但由于通用性的原因,并沒有大面積的影響。可以想象的是,如果蠕蟲制造者的水平有所提高,那么這一類的漏洞以后也會非常兇猛,因為就技術的角度而言,堆溢出的問題能夠被做得比普通的棧溢出更為通用,對應蠕蟲的傳播范圍也會很大。
與后門相結合
蠕蟲的另外一個趨勢是與后門相結合。很多蠕蟲在傳播中獲得了系統的控制權后會留下一個后門供可能的攻擊者進出,這也表明蠕蟲制造者已經由以前僅僅為了出名或是技術原因而編寫蠕蟲,轉變為帶有其他特殊目的而編寫蠕蟲。
通過人這一個薄弱環節傳播的蠕蟲每年都有,以前是,今后肯定也會有。利用郵件等方式,攻擊性不是那么強,甚至有些被動傳播的意味,然而人卻們往往受不了看似來自熟悉地址的信件或是類似porn、free等字眼而打開附件,如果不能在短時間內提高個人用戶的素質和警覺性,以后很多年內還會有一部分蠕蟲通過郵件等類似社會工程的方式傳播。而這種郵件除非是獲得了確定的樣本,否則在大范圍泛濫之前,目前技術下的殺毒或是反蠕蟲軟件是沒有辦法完全預防的。
未來切入點
拋開道德等其他方面,單純從技術角度來分析這一系列泛濫得極其厲害的蠕蟲的話,可以看到它們在技術上沒有什么突破,也沒有什么創新點可言。比起2003年“補漏洞”的蠕蟲或者更早的宏病毒,2004年的蠕蟲無論在創意、技術甚至程序員的功底上都有很大的差距。蠕蟲似乎發展到了和互聯網當初“快魚吃慢魚”類似的地步——不在于寫的東西有多么的“好”,只要能夠在極短的時間內完成,就會造成更大范圍的影響,這一點在Sasser的出現上表現得非常明顯。
值得一提的是,對于GDI+的漏洞,盡管相對應的蠕蟲傳播面積比較窄,但也是蠕蟲編寫者對通過堆溢出方式來獲得控制權,進而進一步傳播的一種嘗試。在棧溢出漏洞報告步伐逐漸減慢的情況下,一些不太好利用的系統漏洞可能會一躍成為蠕蟲制造者青睞的新傳播手段。而且,隨著技術的發展,看似不好利用的漏洞很有可能會出現更加通用的利用方法,在傳播范圍和速度上不見得比以前利用通用性較好漏洞來傳播的蠕蟲差。
從早期的Morris蠕蟲到現在,基本上能夠想到的傳播方式蠕蟲都做到了。如果說早期的蠕蟲制造者僅僅是炫耀技術的話,現在的蠕蟲制造者恐怕更多的是發泄不滿或者是為了出名吧。就當前的技術看來,蠕蟲基本上把所有入侵的手段都自動化了(基于Web的入侵方式除外)。
以前出現IIS的Unicode以及二次解碼問題的時候,有蠕蟲利用過,不過后來也沒有進一步的發展,主要的原因想必還是技術的制約,因為通常情況下通過Web方式得到的控制權限比較低,而且獲得權限的方式比較復雜,單純通過自動化的手段還不太容易實現。
2004年以來,看起來極有可能做成蠕蟲的是dvBBS等一系列.asp程序上傳的問題,可能因為影響范圍和程序設計的難度,并沒有相應的蠕蟲出現。將來,也可能出現利用廣義上的注入漏洞來傳播的蠕蟲,存在這一類問題的程序很多也很廣,完全可以成為蠕蟲制造者的下一個目標。
我們可以簡單分析一下,尋找目標主機可以通過搜索引擎(比如google),這一點不存在困難;如果獲得執行的權限,傳播文件也有很多方式(比如ftp或者是vbs等腳本來下載文件或者其他),這一點上也不存在困難;惟一的難點就在獲得控制權限,而獲得控制權限中比較麻煩的是注入點的選擇與確定,蠕蟲制造者也需要結合啟發式的搜索或者干脆窮舉來攻擊并傳播。一旦這方面的技術難題得以解決,也許我們就能看到一種全新的蠕蟲出現,這也是短時間內我們極有可能看到的“新突破”。其他的CGI問題,由于范圍或通用性的原因,不太可能被蠕蟲制造者利用,腳本的解析器出現重大安全漏洞除外。
結合系統漏洞的蠕蟲,在可以預見的未來估計也會發生比較大的變化。除了前面說的堆溢出等不太容易利用的漏洞可能會被用作傳播手段以外,也許還會出現一些通過內核溢出來傳播的蠕蟲,這在技術層面上已經沒有任何問題,關鍵就要看是否有相應的漏洞以及利用程序被公布。
除了傳播的手段以外,蠕蟲的隱蔽性也許會成為蠕蟲制造者下一個關注的部分,各種rootkit技術可能會被用在蠕蟲自身的隱藏上面,不久的將來我們或許會迎來查殺更加困難的蠕蟲。
當然,如果所有用戶都有很好的安全意識,蠕蟲編寫者肯定不愿意花費太多精力去寫一個沒用的程序,蠕蟲也無法如此肆虐。只是,距離蠕蟲消失的那一天,恐怕還有相當長的一段路要走。
木馬劫掠真實財產
■ 北京 八杯水
2004年出現的木馬從技術上以及目的性來看,都比前幾年有很大變化。為了大家能對特洛伊木馬有一個整體的認識,我們先從2004年以前的木馬談起。
2004年以前:遠程監控為主體
在2004年以前,提起特洛伊木馬,人們首先會想到的是“冰河”、“BO”、“YAI”以及“Sub7”等,它們均屬于遠程監控類軟件。要想發揮作用,木馬的服務器端程序和客戶端程序必須同時存在,而且,木馬本身不具備繁殖性和自動感染的功能,所以大多情況下都需要誘騙受害機器的使用者自己運行木馬程序,木馬開始在偽裝上下文章。
這一時期出現的木馬程序在傳播上大多可以分為三類:
◆通過電子郵件直接發送。郵件主題具有一定的誘惑性,誘惑用戶自己點擊執行附件中的木馬程序服務器端。
◆通過下載網站捆綁在正常的程序中。這段時期,網上出現了大量的exe捆綁工具(EXEBinder),這種工具可以把一個木馬程序和一個正常的軟件捆綁在一起。
◆利用操作系統漏洞直接下載運行。
除了這三大類之外,2004年以前還出現了可以感染exe文件的木馬程序,比如YAI(You and I)和冰河的一個變種。這類木馬由于在技術上存在一定限制,數量很少,但卻改變了木馬不具備傳染特性的概念。
這一時期也出現了具有特定功能的木馬,比如一些QQ盜號木馬。它們的功能不是遠程監控,而是隱藏在受害的計算機中伺機記錄QQ密碼,并將它發送到釋放木馬者指定的信箱。
總的來說,2004年以前的木馬主要目的還是遠程監控,已經具備了一些狡猾的偽裝手段和基本的隱藏技巧。
2004年:功能細化,
具備反安全軟件特性
功能進一步細化
2004年的木馬在功能上發生了很大的變化,真正的遠程監控木馬只占很小的比例,木馬的功能開始細化。2004年流行的木馬按功能可以分為五大類:網游木馬、廣告木馬、即時通信木馬、網絡銀行木馬及后門程序。
隨著近幾年網絡游戲業的迅速發展,網上虛擬裝備、財產成為黑客們獵取的對象,網絡游戲盜號木馬大量涌現。這類木馬一旦感染用戶的計算機,就會自動記錄用戶網絡游戲的賬號和密碼并發送給木馬使用者,木馬使用者通過出賣盜取的虛擬裝備、人物賬號謀取利益。由于偷盜網絡游戲賬號具有很大的誘惑性,您甚至可以在網上買到定制的網游木馬。
2004年9月初,國內發現了一例專門竊取網絡銀行賬號的木馬“網銀大盜”,也稱“快樂耳朵”。它是專門針對某銀行網上業務個人版編寫的,可以取得該行網絡銀行專業版的數字證書、密碼和賬號,能夠在網上實現完整的盜竊資金過程,對用戶的危害極大。11月26日,眾多反病毒公司又截獲了針對數家國內證券公司的網絡交易系統編寫的可以竊取用戶的股票網絡交易賬號和密碼的“股票竊密者”木馬(又名“股票盜賊”、“證券大盜”)。
網游木馬和網絡銀行木馬的出現揭示了木馬的發展趨勢:現階段的木馬越來越向著直接獲取經濟利益的方向發展。病毒作者編寫即時通信木馬和廣告木馬同樣也是受到利益的趨勢。即時通信木馬以“QQ狩獵者”(也叫“QQ尾巴”)木馬為代表。感染這類木馬后,QQ會自動發送諸如“http://xmc.******.net快去看看,您感興趣的消息”之類的消息。當其他用戶登錄消息中的網站,他的計算機就有可能感染這個病毒,也會自動發送這類消息。通常,這些網站上還包含有廣告木馬,感染這類木馬的計算機的IE首頁會被鎖定為含有病毒的網站而無法修改,并且還會定期彈出廣告窗口。即時通信木馬和廣告木馬的目的就是為了提高網站的訪問量,但頻繁發送消息和彈出廣告已經嚴重干擾了用戶正常的上網和辦公。
技術復雜性大幅提升
2004年木馬在功能上發生變化的同時,其技術也變得越來越復雜化,開始具有更高的隱蔽性和對抗安全軟件的能力。
(一)傳播渠道的變化
從傳播方式看,2004年的木馬主要通過兩大渠道傳播。
一是即使通信軟件與含有惡意代碼的網站相配合,那些頻頻更新、變種數以百計的“QQ尾巴”木馬、2004年10月份大肆傳播的Worm.MSN.Funny(又稱“MSN騙子”)病毒都是利用即時通信軟件自動發送廣告消息傳播的典型木馬,2004年發現的幾個偷盜“傳奇”網絡游戲賬號的“武漢男生”木馬變種也是利用這種方式傳播的。
二是通過蠕蟲病毒釋放,這是國外一些病毒作者的慣用手法,許多國外的病毒在成功感染計算機后都會在受害的計算機上留有后門程序。這種方法目前也已經逐漸被國內的病毒作者所采用。
(二)隱藏手段的變化
從隱藏手段看,2004年的木馬采用的隨系統自啟動項的名稱更具欺騙性,啟動方式也更加復雜。
目前的木馬大多采用和系統文件相近的文件名進行偽裝,比如采用rund11.exe(用數字1偽裝成字母l)、Svch0st.exe(用數字0偽裝字母o)作為生成文件的名字。更有一些木馬干脆采用和系統文件相同的名字,但所在位置與正常文件不同,這樣用戶就很難注意到它的存在了,甚至連專業的反病毒專家也弄不清微軟自己的一些文件究竟應該放在Windows的目錄還是Windows下面的系統目錄中。
由于木馬采用了和正常文件近似或相同的文件名,用戶經常會對這類文件麻痹大意,就讓木馬有了可乘之機。
(三)啟動方式的變化
在啟動方式方面,2004年的木馬采用了更多的先進技術。許多自動修改IE首頁、反復在搜索頁和收藏夾中添加惡意網站地址以及瀏覽正常網站時自動彈出惡意網站廣告的木馬都以IE的插件形式隨IE的啟動自動運行。這種方式被稱為IE瀏覽器捆綁或瀏覽器劫持。
(四)文件格式的變化
在文件格式方面,許多木馬制作成DLL或OCX文件,使用Rundll32.exe運行。這樣做的好處有二,其一是可以使木馬的啟動方式變得隱蔽,不易被發現;其二是目前殺毒軟件對DLL文件的內存查殺能力不強,正常模式下往往難于清除這類木馬,使之可以更好地執行。
(五)反安全軟件特性
2004年的木馬普遍帶有反安全軟件的特性,多數木馬都會查找內存中殺毒軟件和個人防火墻軟件的進程,并結束這些進程,使之失效。
實際上,結束安全軟件進程并不是一個新的技術,但這兩年該技術被普遍采用,2004年出現的許多木馬都具備這個功能。同時,木馬還利用其他手段躲避安全軟件的查殺,比如用DLL格式文件運行來躲避內存殺毒、自動檢測、卸載或刪除反病毒軟件等。
總的來說,2004年的木馬不再像早些時候那樣,為了追求功能全面而臃腫復雜,開始針對用戶真實財產,功能單一但非常有效。
未來:務實為主
從2004年的木馬發展就可以看出,目前的木馬越來越“務實”,以直接獲取真實財產的偷盜類木馬大大增多。
通過對過去幾年的木馬發展趨勢可以判斷出未來木馬的發展趨勢。
具備病毒特征的木馬大量涌現
現在的木馬可以說是“為達目的不擇手段”,傳統的“木馬是裝作有用程序的一類惡意程序,不主動進行感染和傳播”的定義已經變得片面,類似MSN騙子病毒就同時具備木馬和病毒的雙重特性。
為了能夠迅速地將木馬種植在盡可能多的計算機上,未來的木馬將大量采用計算機病毒技術,也就是說木馬本身就是蠕蟲病毒,反過來講蠕蟲病毒也具有木馬的功能特征,木馬和病毒之間將沒有明顯的區分界限。
利用操作系統漏洞的木馬逐漸增多
不光只有病毒會利用操作系統的漏洞,越來越多的木馬也開始利用這些漏洞進行傳播,尤其是一些IE瀏覽器的漏洞,允許木馬在未經用戶許可的情況下自動下載并運行。
早些時候的iframe漏洞、2004年弄得人心惶惶的JPEG溢出漏洞以及年底出現的網頁元素處理溢出漏洞都屬于這種情況。同時,由于寬帶在中國的普及,利用遠程攻擊漏洞進行傳播的木馬也會出現。
對抗反病毒軟件和個人防火墻軟件的技術升級
在對抗殺毒軟件方面,未來的木馬不會簡單地只結束殺毒軟件的進程或者卸載殺毒軟件,因為這種做法實際上已經暴露了自身,有經驗的用戶馬上會察覺到系統的異常。
新的木馬可能會針對殺毒軟件的弱點進行編寫,比如刪除殺毒軟件的病毒特征庫,使有些殺毒軟件加載病毒庫不成功并不會進行告警。這樣,殺毒軟件看似正常運行,實際已經無法對木馬、病毒進行查殺,變成木馬的“幫兇”。
同時,為了躲避殺毒軟件的追殺,未來還可能會出現能夠變形的木馬。舉個簡單的例子(只是一個概念,可行性有待研究):木馬可能內置源代碼和編譯器,每次隨機地對源代碼進行自動改寫并釋放,然后用內置的編譯器重新編譯。對殺毒軟件來說,每次重新編譯的木馬都是一個新的變種,對它們的查殺將會變得十分困難。
在對抗個人防火墻軟件方面,目前已經有一些概念性的軟件出現,FireHole就是其中一個(http://keir.net/firehole.html)。它的原理是創建一個DLL文件,并將這個文件放置在一個被防火墻信任的程序中,比如IE瀏覽器,那么這個DLL文件對網絡的訪問便不會被防火墻攔截。即使有一些謹慎的用戶設置了他們的防火墻,使瀏覽器只能在指定的TCP80端口連接,但這個惟一開放的端口也足以保證該DLL文件進行通信。
木馬功能智能化
傳統的木馬通常只通過捕獲用戶鍵盤操作來竊取用戶的密碼,目前不少軟件(如騰訊QQ)采用通過軟鍵盤輸入賬號、密碼的方式來防止這類偷盜情況的發生。未來的木馬會自動檢測用戶是否開啟軟鍵盤,通過Hook技術捕獲用戶的鼠標操作,并根據鼠標點擊順序截圖并發送到黑客的郵箱中。
腳本病毒甘做幕后幫兇
■ 北京 曉兵
腳本病毒想必大家都不會陌生,“美麗莎”、“快樂時光”、“萬花谷”都是惡性腳本病毒的代表。腳本病毒的出現使得病毒編寫的門檻大大降低了,稍具電腦知識的用戶經過簡單的學習就可以輕松編寫出這種病毒來,其破壞性卻絲毫不比傳統病毒差。
隨著技術的發展,腳本病毒也像其他病毒一樣不斷地產生著新種類。
曾經的輝煌
雖然腳本病毒出現的時候并不算短,但是人們真正聽到“腳本病毒”這個稱呼還是最近幾年的事,因為最早的腳本病毒只有一種情況,就是利用微軟Office系統提供的宏功能進行編制的病毒,也稱宏病毒。后來,隨著JS、VBS這樣真正的腳本編程語言的出現,腳本病毒這個名稱才被正式提出來。雖然宏病毒隨著Office 2000的宏安全機制的出現而走向沒落,但是它在腳本病毒的歷史上卻統治了相當長的一段時間。
在腳本病毒的發展中期,歡樂時光病毒可謂是一座里程碑,它開創了感染式網頁病毒的先河,并在一夜之間傳遍整個世界,該病毒是腳本病毒發展的重要產物。在它之前雖然也有一些網頁腳本病毒出現,但是都未成氣候,讓大多數人認為腳本語言的編程能力有限,對網頁病毒的破壞性都還持懷疑態度,也就在這時候,歡樂時光病毒出現了。它采用VBS腳本語言進行編寫,隱藏在網頁中,當用戶中了該病毒之后,病毒便會將用戶系統中所有的網頁文件都感染上病毒代碼,該病毒不但可以在傳染的過程改變大小,而且還能將自己作為信件的模板文件發送出去,還會刪除系統中的所有可執行程序,使整個系統崩潰。可以說,歡樂時光病毒將腳本網頁病毒推入了一個新時代,從此,編寫這類腳本病毒的人越來越多。
此后,經過短短一年的發展,腳本病毒又出現了兩種新的形式,一種是利用系統文件夾可配置屬性的RedLof病毒,另一種就是通過修改注冊表來破壞用戶系統的萬花谷、網頁炸彈、極限女孩等病毒。由于這類病毒的泛濫,各大反病毒公司都推出了自己的注冊表修復工具,也正是隨著這些工具的產生,使得曾經輝煌一時的腳本病毒逐漸走向沒落。
退居幕后
現在,腳本病毒又出現了一種新的形態,就是成為木馬病毒的幫兇。
編寫病毒離不開編程語言,而編程語言的一個基本原則是,編程語言越高級,編程就越簡便,但是能實現的底層功能也就越有限,因為語言被層層封裝,已經失去了靈活性。腳本語言是封裝級別極高的語言,它本身的破壞是比較有限的,因此從2003年開始,腳本病毒開始退居幕后,甘心做起了木馬病毒的幫兇,像2004年的“快樂耳朵”病毒就是一例。
這類病毒首先會給用戶發送一些帶有誘惑性標題的郵件,當您感興趣并鏈接那個網址時,就已經落入了病毒的圈套。該網址的首頁就是一個腳本病毒,他們一般會利用系統的網頁漏洞偷偷地給用戶系統安裝一個木馬,或者告訴用戶缺少一個插件,希望用戶點擊下載,其實這個插件就是一個木馬病毒。當木馬病毒溜到用戶系統后就開始完成開后門、偷密碼等“地下”工作,給用戶帶來很大的安全隱患。
從這里我們看到,在這個講究合作的年代,腳本病毒也開始與傳統的木馬進行合作,這種合作很可能是病毒作者同時使用兩種編程語言編寫,然后再進行組合,也可能是兩個病毒小組之間協作完成的。
假到真時真亦假
網絡是一部永遠向前發展的永動機,而隨著網絡環境的變化,腳本病毒也一定會發生某些改變,它的明天是怎樣的呢?
首先,一個邏輯上的發展趨勢就是腳本病毒會越來越趨向于被動傳播這樣一種方式,就像上面分析的那樣,腳本病毒的編寫方便和功能上的先天不足,導致它在未來這個防毒體系已經比較完善的世界中只能扮演一個幫兇的角色,將會出現更多利用腳本病毒傳播木馬程序這種模式的病毒。
其次,將會出現越來越多的網絡詐騙性質的腳本病毒。這類病毒會給用戶發送一些含有偽造內容的郵件,比如說用戶的網上銀行賬戶和密碼已經過期之類的信息,當用戶信以為真點擊給出的鏈接時,則會出現與真的網上銀行一樣的虛假網頁,該網頁會提示用戶輸入自己的用戶賬號和密碼,其實用戶的資料這時已經被發送到了另一個郵箱,病毒作者只要定時收集這些信息,便能輕松竊取到用戶的網上銀行的資金。在未來,這種以詐騙為目的腳本病毒將會越來越多。
當然,當一些新的應用產生后,必然會有新的病毒隨之而來。正所謂“魔高一尺,道高一丈”,無論未來病毒如何發展,總會有解決它的方法。
2004年毒界“風云”榜
據統計,美國企業2003年因計算機病毒導致的損失約一百三十億美元。加州的市場研究公司預估,2004年的損失金額將更高,可能接近一百七十五億美元。如果從全球來看,2004年病毒所帶來的損失該是多么龐大的一組數據啊!
誰有如此能力,誰在2004年里的毒海里掀起巨浪?請看2004年的毒界“風云”榜。
2004年毒界“風云”榜
獎項 獲獎者 得獎理由 得獎感言
最“佳”男主角 NetSky網絡天空病毒 歷久不衰 子孫(變種)滿堂,分身有術。
最“佳”女主角 Social Engineering社交工程 魅力無法擋 垂涎欲滴,鼠標忍不住想咬一口。
最“佳”新人 18歲的德國青年Sven Jaschan 全球矚目 震蕩波病毒作者,最好的18歲生日禮物。
最“佳”動作設計 Bot遙控程序 從不說“不” 黑客坐以待“幣”,傀儡計算機坐以待斃。
最“佳”視覺設計 Phishing網絡釣魚 維妙維肖 釣大戶,創“錢”程。
最“佳”置入式行銷 Spyware間諜軟件 神出鬼沒 找我臥底就對了。
最“佳”劇情片 MyDoom、Bagle和NetSky之間的口水戰 自編自導 隔空照樣打得火熱。
最“佳”替身演員 手機垃圾短信 一字千金 離間親友,反目成仇,夠霹靂。
最“佳”美術設計 JPEG圖片 金玉其表 將這個榮耀與漏洞計算機分享。
最“佳”男主角:NetSky網絡天空病毒
得獎理由:歷久不衰
NetSky不同于它的死對頭Bagle那樣不斷衍生出變種病毒,在傳說中的作者德國18歲少年被捕入獄后,自4月28日Worm_NetSky.AB之后,就沒有產生新的變種。但這并沒有削弱該病毒的影響力,幾乎每個月的十大病毒排行榜中,NetSky都名列前茅。
主要劣跡:
自2004年2月現身以來,NetSky變種家族每個月都進入趨勢科技實時病毒監控中心的十大病毒排行榜,其中有八個月奪得毒王“寶座”,是2004年度長跑冠軍。
得獎感言:
子孫(變種)滿堂,分身有術。
最“佳”女主角:社交工程
得獎理由:魅力無法擋
黑客作案得逞的關鍵往往脫離不了“性、貪婪與恐懼”的主題,所以,社交工程(Social Engineering)這種操控計算機使用者間接破壞計算機的手法在病毒攻擊行動中開始擔任重要角色。而且,只要有一個人抗拒不了本身的好奇心而打開了帶毒郵件,病毒就可能在所在的網絡上大行肆虐。
主要劣跡:
◆著名的市調分析機構Gartner在11月公開研究報告中表示:未來10年內可能躲過IT監控、攻破計算機網絡的最大風險就是“社交工程(Social Engineering)”。
◆1到3月,MyDoom行騙天下。2004年第一季度感染冠軍MyDoom采用仿冒退件通知、信件無法正常被開啟、自動開啟應用程序以及假裝是txt純文字文件的ICON等手法,創下高感染率。
◆9月,MSN一日之內滿地開花。MSN“花木馬”病毒僅是惡作劇:“請放一朵玫瑰在MSN名字之前,為死于俄羅斯恐怖行動中的孩童哀悼”的信息,9月9日就像連鎖信一般地通過MSN實時通訊滿地綻放。翌日卻有人指稱其中含有病毒,大家又通過MSN要互相通知把“花”連根拔除。還好事后證實是虛驚一場,但若真有其事,這就是成功地運用社交工程的一大典型呢!
◆11月,阿拉法特死亡之謎。阿拉法特于2004年11月11日在法國巴黎附近的貝爾西軍醫院逝世,他的真正死因引起多方揣測。很快,出現了一個以“Latest News about Arafat!(阿拉法特的最新消息!)”為信件主題的病毒“Worm_Golten.A”。該病毒在內文里敘述“Hello guys!Latest news about Arafat!Unimaginable!”,并分別附上兩個.emp圖片延伸格式附件,其中Apafat_1.emf文件名附件內果真含有阿拉法特葬禮圖片,這是病毒利用障眼法,讓受害者沒有防備心地開啟第二個附件,一旦使用者開啟Apafat_2.emf附件,病毒就會利用Windows XP的Metafile漏洞鉆入系統。
得獎感言:
垂涎欲滴,讓鼠標忍不住想咬一口。
最“佳”新人:18歲德國青年Sven Jaschan
得獎理由:全球矚目
據德國Stern雜志的訪問內容,18歲的Sven J.是從2004年1月才開始寫計算機病毒。Sven坦承,撰寫了29種網絡天空NetSky病毒的版本和三個震蕩波Sasser版本。
主要劣跡:
5月,讓全球動彈不得。澳大利亞鐵路,上萬旅客滯留站臺;德國銀行被迫改用手寫完成各種業務;英國海岸警備局的計算機無法運轉,工作人員不得不用紙條來記錄事故;芬蘭某銀行關閉120家分行達數個小時;德爾塔航空公司約40個航班無法準時起飛。
得獎感言:
最好的18歲生日禮物。(注:Sven Jaschan 在18歲生日當天把該程序放網絡上)
最“佳”動作設計:Bot遙控程序
得獎理由:從不說“不”
Bot是黑客暗中出租計算機攻擊他人并牟利的新武器,一個口令,傀儡計算機齊動員,動作整齊。
主要劣跡:
◆7月,Bot成為新興詐騙行業。來自英國的報導指出,有一個由青少年人組成的新興行業正盛行:“出租可由遠程惡意程序任意擺布的計算機”,這些受控制的計算機稱之為“傀儡(Zombie)”計算機。數目小自10臺大到3萬臺。
◆ 9月,挪威被迫關閉IRC。挪威ISP“Telenor”因為察覺IRC(Internet Relay Chat)已成為1萬多臺個人計算機組成的攻擊網絡的指令中心,因此關閉了IRC服務器。
◆ 10月,四萬美金花錢消災。網絡安全機構SANS表示,傀儡計算機已被黑客當作用來勒索的工具,尤其是線上賭博網站,若要避免服務器因DoS而癱瘓,代價是付給黑客4萬美金。
◆ 11月,生意談不成,癱瘓對方網站。美國司法單位起訴一位公司負責人,該涉嫌人因為生意沒做成,涉嫌雇用網絡黑客利用Bot程序癱瘓另一家公司的網站。被害者至少損失了二十萬美元。
得獎感言:
傀儡計算機坐以待斃,黑客坐以待“幣”。
最“佳”視覺設計: Phishing網絡釣魚
得獎理由:惟妙惟肖
仿冒金融機構官方頁面相似度近100%,靠得再近,也看不出來哪里不對勁。詐取受騙者銀行賬號、私人密碼,得逞率極高。
主要劣跡:
◆IDC在2004年10月發布的《2004年亞太地區的安全威脅》(不含日本)的報告指出,網絡欺詐行為“網絡釣魚”(Phishing),已經對亞太地區從事電子商務的企業造成嚴重的安全威脅,成為成長速度極快的非暴力犯罪行為之一,知名金融機構是其鎖定目標。
◆美國 ParentyConsulting主席Thomas Parenty在2004年5月香港舉辦的“信息安全博覽會”表示:逮捕“Phisher”的成功率只有七百分之一 。
◆ 9月,假橘子真詐騙。一個中國網站以“gamannia”的名字作為網域名稱,并放上游戲橘子的Logo企圖瞞天過海。該假網站謊稱配合政府打擊詐騙,要求玩家輸入資料進行核對,借機盜取游戲序號。事實上,游戲橘子的網域名是“gamania”,冒牌網站則在字母中間多了1個“n”。
◆ 10月,網絡釣魚進入第二代,不再完全依賴電子郵件。早期的網絡釣魚信件以英文為主,而且文法錯誤百出,使用者只要不點選信中的鏈接,就不會上鉤。不過,目前網絡釣魚的辨識度愈來愈低了,甚至不用電子郵件當釣餌,可以說是第二代的網絡釣魚。比如,Troj_Bancos.cp這個特洛伊木馬會監控Internet Explorer的瀏覽行為,以獲得記錄受害者的IE上網行為,一旦窗口標題符合設定的銀行字符串,就會制造幾可亂真的登錄網頁,要求輸入個人密碼等敏感資料。這些資料匯整于特定文件夾后,將利用電子郵件自動發送給黑客。而且,每一筆資料被寄出后,會自動刪除,來去不留痕跡。
◆ 11月,到天堂釣魚。一封冒稱“天堂II營運團隊”的詐騙信件以“關于您的賬號涉嫌盜號”為電子郵件標題,聲稱收件者的游戲序號已被盜用,為了保護被盜玩家的利益,要求輸入相關賬號信息,否則三日內將永久停用該賬號。
◆ 11月,利用Google等著大魚上鉤。當網絡購物者利用Google搜索他們要購買的商品時,會被引導到某網站,并指示用戶點擊產品圖片。一旦點擊后,并不會看到廣告上的產品,而是指向了一個自動解壓縮的.zip文件,并自動安裝特洛伊木馬,以竊取個人金融資料。
得獎感言:
釣大戶,創“錢”程。
最“佳”置入式行銷:Spyware間諜軟件
得獎理由:神出鬼沒
宛若網絡偵探社,Spyware間諜軟件起初是利用用戶安裝軟件時潛入用戶的系統,并利用多半用戶未仔細閱讀同意書的習慣,規避責任。后來進展到與垃圾郵件共同犯案,比如鼠標點選垃圾郵件的“remove it”時,間諜軟件即進駐計算機。
主要劣跡:
◆根據National Cyber Security Alliance調查報告指出,91%的PC遭受間諜軟件入侵,但1/3受訪者認為遭受網絡攻擊的機會,比中樂透彩或被雷打到機率低。美國國家網絡安全聯盟和美國在線公司10月25日聯合發布另一項雷同調查報告亦指出,在某個用戶運行緩慢的計算機上,居然有1000多個“間諜軟件”。難怪有廠商推出情人間諜軟件,監看情人與網友的交談。
◆ 6月,WebMoney鎖定50家銀行。WebMoney專門竊取個人網絡銀行的相關信息,在使用者訪問近50家銀行網站時,測錄鍵盤竊取密碼,并把得手的信息回傳到某個黑客網站。
◆ 7月,Tenget.A帶您去Shopping。Tenget.A這個間諜軟件化身為網址工具列(browser helper),或者是隨著E-mail的網址鏈接而來,一旦執行就會修改IE設定,當受害者在瀏覽器上端網址列輸入auto.search.msn.com
