一��、 傳統(tǒng)病毒威脅
1. 新增病毒特征數(shù)量及被感染計(jì)算機(jī)數(shù)量統(tǒng)計(jì)
據(jù)江民科技反病毒中心統(tǒng)計(jì)數(shù)據(jù)顯示���,2011年上半年全年共增加病毒特征代碼48萬余條(注:病毒特征代碼數(shù)不等于捕獲的樣本數(shù)����,因?yàn)閺V譜特征等技術(shù)的應(yīng)用�,存在一條特征碼可查殺多個(gè)變種病毒的情況���。但其數(shù)量的多少可從一定程度上反映實(shí)際病毒樣本傳播的趨勢(shì))����,同比2010年減少了18%����。
2011年上半年共發(fā)現(xiàn)被感染計(jì)算機(jī)數(shù)量達(dá)250萬余臺(tái)�,同比2010年上半年下降了60%����。從以上數(shù)據(jù)中不難看出,2011年上半年由傳統(tǒng)病毒造成的威脅呈減弱的趨勢(shì)�。
2. 病毒活躍程度統(tǒng)計(jì)
就單月的統(tǒng)計(jì)數(shù)據(jù)來看,2011年上半年兩次病毒活躍的高峰分別出現(xiàn)在1月份和3月份��,這兩個(gè)月分別為春節(jié)長(zhǎng)假前后���。根據(jù)以往的病毒傳播規(guī)律來看���,重大節(jié)假日前后均為病毒高發(fā)的時(shí)間段,而假期期間病毒的活躍程度則相對(duì)較弱一些��。各月病毒活躍程度的變化趨勢(shì)參見下圖:
3. 病毒類型統(tǒng)計(jì)
2011年上半年����,最為活躍的病毒類型仍舊為木馬病毒,其共占據(jù)所有病毒數(shù)量中60%的比例����。其次�,分別為蠕蟲病毒和后門病毒��。這三種類型的病毒共占據(jù)所有病毒數(shù)量中83%的比例�����,可見目前網(wǎng)民面臨的首要威脅仍舊來自于這三種傳統(tǒng)的病毒類型�����。在木馬病毒中�,盜號(hào)木馬較去年有明顯的減少,取而代之的則是以惡意推廣為主要目的的木馬和腳本型木馬病毒���。木馬下載器和網(wǎng)頁木馬的活躍程度雖遠(yuǎn)遠(yuǎn)不及從前�,但也不時(shí)的興風(fēng)作浪一把���。上半年一個(gè)名為“小不點(diǎn)”變種bdbq的下載器就曾在5月份左右表現(xiàn)出了極快的增長(zhǎng)趨勢(shì)���,其傳播的主要途徑便是利用了IE和Flash Player兩大漏洞的網(wǎng)頁木馬��������?梢�����,下載器和網(wǎng)頁木馬之間的關(guān)系仍舊緊密�,兩者同為一丘之貉。
同時(shí)���,針對(duì)指定目標(biāo)人群進(jìn)行定點(diǎn)傳播的網(wǎng)購木馬在上半年也制造了幾次小范圍的攻擊浪潮����。由于并非傳統(tǒng)的大規(guī)模傳播�,因此其感染數(shù)量雖然并不算多,但其成功率較傳統(tǒng)同類木馬而言卻得到了極大的增加���。
4. 病毒發(fā)展特點(diǎn)
為了躲避殺毒軟件的監(jiān)控����,病毒總在不停更換自身所使用的技術(shù)���,惡意推廣類木馬便是其中具有代表性的一種����。通常此類病毒會(huì)在桌面以及開始菜單、快捷啟動(dòng)菜單中生成假冒的IE瀏覽器快捷方式����,還可能偽造其它甚至所有軟件的快捷方式,從而實(shí)現(xiàn)雙擊快捷方式后自動(dòng)訪問指定站點(diǎn)��。為了增強(qiáng)這些快捷方式的生存幾率�����,病毒還會(huì)利用ACL來阻止刪除行為�����。一些病毒還采取多重推廣方式����,即先在系統(tǒng)中安裝某些山寨瀏覽器,然后再通過這些瀏覽器訪問指定的站點(diǎn)�����。
上半年江民科技又觀察到一種利用操作系統(tǒng)重定向機(jī)制進(jìn)行的惡意推廣方式:病毒會(huì)首先創(chuàng)建一個(gè)文件夾��,并且在其中創(chuàng)建名為“target”的快捷方式(指向指定的站點(diǎn))以及“desktop.ini”(包含特殊內(nèi)容“[.ShellClassInfo] CLSID2={0AFACED1-E828-11D1-9187-B532F1E9575D}”)��,之后會(huì)將該文件夾設(shè)置為“系統(tǒng)”屬性�����。在桌面上創(chuàng)建自定義擴(kuò)展名的假冒IE快捷方式(文件擴(kuò)展名隱藏)�,并在注冊(cè)表中為其創(chuàng)建關(guān)聯(lián)信息。當(dāng)用戶雙擊該快捷方式時(shí)���,系統(tǒng)會(huì)根據(jù)注冊(cè)表關(guān)聯(lián)設(shè)置自動(dòng)調(diào)用explorer.exe打開剛才創(chuàng)建的文件夾��。而explorer.exe則會(huì)自動(dòng)打開文件夾中快捷方式“target”所指向的目標(biāo)��,從而實(shí)現(xiàn)了對(duì)指定站點(diǎn)的訪問�����。
一些具有主動(dòng)感染功能�,并且利用文件下載����、交換來實(shí)現(xiàn)傳播的病毒在上半年也表現(xiàn)得較為活躍,例如木馬病毒“通犯”變種rnn���。根據(jù)江民科技的監(jiān)測(cè)數(shù)據(jù)顯示����,該病毒經(jīng)常混入一些游戲外掛�、系統(tǒng)工具等軟件的壓縮包中,并且通過一些不知名的下載站點(diǎn)進(jìn)行傳播�。該病毒運(yùn)行后會(huì)遍歷磁盤中的所有目錄,如果發(fā)現(xiàn)存在exe文件��,就會(huì)將自身重新命名為“lpk.dll”(與系統(tǒng)文件同名)并復(fù)制到exe程序所在文件夾下����,從而利用大多數(shù)程序存在的文件加載不嚴(yán)格漏洞實(shí)現(xiàn)自動(dòng)運(yùn)行。如果發(fā)現(xiàn)系統(tǒng)中存在rar或zip格式的壓縮文件���,便會(huì)將“lpk.dll”放入壓縮包中��,從而利用這些壓縮包進(jìn)行廣泛的傳播�。
此種傳播較不法分子常用的掛馬等方式而言�����,更加隱蔽也更為長(zhǎng)效。因此�,建議廣大計(jì)算機(jī)用戶,在進(jìn)行病毒查殺的時(shí)候不要僅僅注重系統(tǒng)盤的殺毒�,應(yīng)用程序的安裝����、存儲(chǔ)目錄也要定期進(jìn)行病毒檢測(cè),從而不給病毒藏身���、發(fā)作的機(jī)會(huì)���。
隨著網(wǎng)購的越發(fā)火爆,不法分子自然也將覬覦的目光投向了這一方興未艾的市場(chǎng)�����。上半年江民科技曾捕獲到一些針對(duì)網(wǎng)購并利用網(wǎng)上交易接口漏洞進(jìn)行惡意轉(zhuǎn)帳的木馬病毒�����。這些病毒通常會(huì)被偽裝成“產(chǎn)品報(bào)價(jià)單”或者“實(shí)物圖片”等具有迷惑性的名稱和圖標(biāo)��,從而誘騙用戶運(yùn)行�����。用戶不慎運(yùn)行后并不會(huì)覺察出任何的異樣。但當(dāng)用戶進(jìn)行在線支付的時(shí)候�����,病毒會(huì)在后臺(tái)將真正的收款方替換成不法分子的賬號(hào)�,從而隱秘地將消費(fèi)者的錢財(cái)轉(zhuǎn)移,造成了不同程度的經(jīng)濟(jì)損失�����。這類病毒不會(huì)進(jìn)行大規(guī)模的掛馬傳播���,偽裝成網(wǎng)購賣家的不法分子會(huì)一對(duì)一的將病毒發(fā)送給那些主動(dòng)詢價(jià)的買家并誘騙其運(yùn)行��。并且這些木馬在使用一段時(shí)間之后便會(huì)被棄用���,同時(shí)與其相關(guān)聯(lián)的一些站點(diǎn),例如接收病毒反饋信息的網(wǎng)站也會(huì)隨之廢棄�,一切猶如人去屋空。
5. 2011年上半年十大病毒
排名 | 名稱 | 主要威脅 |
1 | Checker/Autorun
(“U盤寄生蟲” ) | 利用自動(dòng)播放特性激活自身����,運(yùn)行后可執(zhí)行下載其它惡意程序、感染存儲(chǔ)設(shè)備根目錄等功能。 |
2 | Worm/Kido.aeb
(“刻毒蟲”變種aeb) | 利用系統(tǒng)漏洞在局域網(wǎng)內(nèi)進(jìn)行主動(dòng)傳播��。關(guān)閉指定的系統(tǒng)服務(wù)�����,阻止用戶訪問指定站點(diǎn)���,下載其它惡意程序,還可通過移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播����。 |
3 | Checker/HideFolder
(“文件夾寄生蟲”變種) | 自身圖標(biāo)會(huì)被偽裝成文件夾樣式,從而誘騙用戶點(diǎn)擊運(yùn)行����。運(yùn)行后可執(zhí)行下載其它惡意程序等功能。 |
4 | Packed.Katusha.abcx
(“卡徒殺”變種abcx) | 是一個(gè)多態(tài)變形的蠕蟲病毒�����,運(yùn)行后可感染指定類型的文件���,破壞系統(tǒng)設(shè)置�,下載指定惡意程序,開啟后門����,干擾大量安全軟件的正常運(yùn)行。其可通過網(wǎng)絡(luò)共享文件夾以及移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播��。 |
5 | AutoCAD/Virus.b
(“CAD殺手”變種b) | 利用AutoCAD自動(dòng)運(yùn)行特性激活自身���。感染指定CAD目錄下的文件��,破壞指定的功能指令�,給該軟件用戶的正常工作造成了不便�。 |
6 | Trojan/Generic.rnn
(“通犯”變種rnn) | 仿冒系統(tǒng)文件,利用大多數(shù)應(yīng)用程序的文件加載不嚴(yán)格漏洞激活自身��。下載指定的惡意程序���,感染rar和zip文件����,并隨同這些壓縮包進(jìn)行傳播����。 |
7 | Trojan/Generic.buix
(“通犯”變種buix) | 釋放���、下載其它惡意程序,對(duì)指定網(wǎng)站進(jìn)行惡意推廣�,破壞安全模式,干擾其它殺毒軟件正常運(yùn)行��。 |
8 | Worm/Viking.Tail
(“威金尾巴”) | 該病毒系其它殺毒軟件未能徹底清除“威金”病毒而造成的殘留��。 |
9 | Trojan/Genome.nrj
(“邪惡基因”變種nrj) | 下載其它惡意程序并自動(dòng)調(diào)用運(yùn)行�。 |
10 | Trojan/Agent.eukv
(“代理木馬”變種eukv) | 下載其它惡意程序并自動(dòng)調(diào)用運(yùn)行。 |
