|
| 江民发布2005年计算机病毒疫情报告 |
| 来源:网络 时间:2006-2-14 |
|
2005年12月13日,国内最大的反病毒软件厂商江民科技发布《2005年十大病毒排行》及《中国大陆地区计算机病毒疫情报告》(以下简称《疫情报告》)。报告显示,2005年度中国大陆地区木马及后门程序取代蠕虫成为病毒主流,通过即时通讯工具(主要是qq及msn)以及系统漏洞进行传播的病毒已经取代电子邮件成为病毒传播的主要途径。今年虽然没有特别大规模的病毒爆发,但病毒的总体数量却是急剧上升。“病毒变种速度快,传播范围小,更加隐蔽,目的性更强”成了今年病毒主旋律。在2005年十大恶性病毒排行榜中, “赛波”病毒名列2005年十大恶性病毒之首。
2005年度中国大陆地区计算机病毒疫情报告
2005年,计算机病毒与去年相比,出现了一些明显的变化和特征,具体包含了以下七个方面。
木马、后门程序大行其道,成为绝对主流
从2005年1月1日至2005年12月10日,江民反病毒中心共截获病毒37947个(不包括灰色软件、广告程序等),其中,截获木马17148种、后门程序12019种、蠕虫955种、脚本病毒1108种、其余类病毒6717种。从这些数据可以看出,2005年出现的病毒中木马和后门病毒最为活跃,并且十大病毒排行中木马已经超越蠕虫成为新霸主。(如图)
即时通讯工具及系统漏洞成为病毒传播主要渠道
通过qq、msn病毒传播的im病毒活动仍然较为频繁,特别是在节日期间。例如9月8日,江民反病毒中心监测到,新qq病毒“trojan/qqmsg.qing”借中秋佳节大肆发飙,向在线好友疯狂发送 “今天中秋不吃月饼的理由(爆笑)”等即时信息,并附带一恶意网址。用户不慎点击该网页后,病毒即利用4种ie漏洞传播自身,同时网页内还暗藏另一木马,黑客利用此病毒可远程控制染毒机器,危害重大。
该病毒被江民反病毒研究中心命名为“qq情”。“qq情”病毒利用人们的好奇心理,发送与中秋节有关的信息,让人误以为是好友发来的关于中秋节的笑话。一旦你点击这个网址,那么病毒立即通过微软浏览器的四个漏洞,悄无声息地潜伏到你的机器中。
此外,江民反病毒研究中心还监测到,2005年,很多网站被黑客攻破,在网站页面上挂上木马病毒,只要用户的浏览器存在某些特定的漏洞,一旦点击含有病毒链接的网页,病毒就会在后台自动下载到用户电脑中。例如,2005年9月22日,江民公司反病毒中心监测到,某门户地方站上某页面种植了病毒。该页面显示赠送手机、q币等虚假信息,诱使用户输入qq号和密码。后台悄悄下载3种病毒程序:qq欺骗木马(trojan/qqmsg.shuangq)、qq大盗(trojan/psw.qqrobber.16.be)和灰鸽子后门(backdoor/huigezi.adp)。2005年10月14日,江民公司反病毒中心监测到,某知名跨国公司网站首页包含恶意代码,如果用户的ie浏览器存在hhctrl漏洞,访问该页面即会感染pcshare后门病毒。一些地方热线、知名媒体网站、甚至流量很大的网址导航网站以及一些it专业网站,都发生过被种植木马的事件。
病毒变种速度快,传播范围小,更加隐蔽,目的性更强
虽然今年没有特别大规模的病毒爆发,但病毒的总体数量却是急剧上升。“病毒变种速度快,传播范围小,更加隐蔽,目的性更强”成了今年的主旋律。据江民反病毒研究中心监测数据显示,今年众多木马及后门程序变种特别频繁,以“赛波“以及”灰鸽子“为例,一段时期最高时每天变种多达一百多个。病毒变种的原因主要是为了逃避反病毒软件的查杀,而之所以能够实现每天变种一百多次的频率,主要是此类病毒具有可以通过网络自动升级自身的机制,这也是目前很多木马逃避杀毒软件查杀的主要手段。由于今年的病毒主要是木马及后门程序,此类病毒在平时可以很隐蔽在藏在电脑中,甚至不会影响用户的电脑运行速度,也不会对数据造成任何破坏,因此普通用户可能毫无觉察。木马传播者的目的性非常明确,只有在他确认中毒者机器里存在他认为值得盗取的东西时才开始进行远程操控。例如,某游戏玩家电脑中感染了一个木马病毒,但由于该玩家的级别很低,病毒传播者便一直潜伏,直到该玩家花费了大量的时间和金钱后,达到了一定的级别时,木马传播者就开始把该玩家账号盗走,将玩家所有的装备和虚拟财备一网打尽。
黑客攻击动机从逐名转向逐利
与初期的黑客攻击主要是为了炫耀自己的技术不同,今年更多的黑客通过互联网种植木马,直接目的就是为了获取不正当利益,此特征较2004年相比更加明显。多数黑客已不再选用恶作剧式的攻击手法,而是实施有组织的破坏性的计划,利用互联网谋取不义之财。由于各种游戏虚拟装备、游戏帐号和密码都可以在现实市场中转换为现金,“密码7005”、 “武汉男生2005”等众多病毒目标都直接指向了网游帐号。3月23日,江民反病毒中心还监测到众多网站公开售卖木马病毒生成器,甚至页面上还直接标注着“游戏密码,轻松盗取”的浮动图标。利用这些木马病毒生成器,不会编写病毒程序的人也可以轻松制造出木马病毒。5月30日,新华社报道以色列警方破获了一起历史上最大商业间谍案,数家著名大公司的负责人和多名私人侦探被逮捕。被捕的私人侦探就是利用木马病毒植入竞争对手的电脑中,从而窃取对方商业机密的。由此可见,黑客通过传播木马窃密的目标已经十分明确,财富和金钱已成为黑客传播木马的赤裸裸的目标。
病毒利用系统漏洞的时间越来越短
每次微软的系统漏洞被发现后,通常在一两周之内,针对该漏洞的恶意代码就会出现在网上,而从漏洞被发现到恶意代码出现,中间的时差开始变得越来越短。今年8月15日,离微软发布漏洞公告不过一周时间,江民反病毒中心截获一个利用微软"即插即用服务代码执行漏洞"(ms05-039)的蠕虫“极速波”病毒(i-worm/zotob)。该病毒利用最新漏洞传播,并且可以通过irc接受黑客命令,使被感染计算机被黑客完全控制。“极速波”创造了病毒利用微软漏洞时间之最,而这正是未来病毒的一种发展方向。
僵尸网络数量越来越多,规模越来越大
自去年全球计算机反病毒业界开始关注僵尸网络问题后,05年,我国相关部门开始在国内监测到数量越来越多、规模越来越大的僵尸网络。据我国国家计算机网络应急技术处理协调中心发布的报告显示,自今年6月份以来,僵尸网络数量呈上升趋势。其中,从6月3日至9月19日,发现较大规模僵尸网络59个,平均每天发现3万个僵尸网络客户端,特别是在今年8月19日到9月19日期间,他们监控发现了一个客户端规模超过15万的大型僵尸网络。江民反病毒研究中心今年截获的众多的bot类蠕虫病毒。此类病毒一般都是黑客或者黑客组织恶意传播的,目的就是构建属于自己的僵尸网络。据反病毒专家分析,“僵尸网络”具有很强的隐蔽性,在不被利用时很难被人发现,通常情况下,此类病毒不会占用系统资源,也不会破坏电脑数据,普通用户很难发现自己的电脑成为“网络僵尸”。
rootkit技术成为病毒发展的一个趋势
2005年,江民反病毒研究中心监测发现,一项名为rootkit的新技术已经开始被病毒利用。rootkit指的是恶意代码作者用来隐藏他们的代码不被发现的工具,它通过监听系统的功能、用合法的数值取代返回的数据。rootkit 类病毒通过隐藏自身进程(有时甚至连添加的注册表键值也隐藏起来),以增加电脑用户的识别难度并逃避杀毒软件的查杀。从众多电脑用户发送的感染此类病毒的求助信件以及电话来看,rootkit类病毒已经成为困绕目前电脑用户的新难题。目前大部分的bot类蠕虫病毒大部分采用了rootkit技术。位居十大病毒之二的“灰鸽子”变种病毒就采用了rookit技术,病毒运行后,会自我复制到windows目录下,并自行将安装程序删除。修改注册表,将病毒文件注册为服务项实现开机自启。病毒程序还会注入所有的进程中,隐藏自我,防止被杀毒软件查杀。自动开启ie浏览器,以便与外界进行通信,侦听黑客指令,在用户不知情的情况下连接黑客指定站点,盗取用户信息、下载其它特定程序。江民反病毒研究中心监测发现,灰鸽子变种十分频繁,一段时期内每天产生数十个变种。使用rootkit等隐藏技术的病毒已经成为现阶段计算机用户面临的主要病毒问题之一。
此外,江民反病毒研究中心还监测到,2005年手机病毒数量越来越多,而随着智能手机的普及和发展,未来手机将会成为反病毒的又一个重要战场。今年病毒另一个主要特征就是区域性特别明显,与往年蠕虫病毒主要来自国外不同,今年的木马及后门病毒80%以上都出自国人之手,网上大量的“病毒和木马生产机”的出现使得编写病毒变得简单,我国反病毒事业面临的形势不容乐观。
|
|
|
|
|
