网上银行的木马病毒有哪些
1. 网络游戏木马
随着网络在线游戏的普及和升温,我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。
网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取
特洛伊木马病毒用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。
网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。
2. 网银木马
网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。
网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。
随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。
3. 即时通讯软件木马
现在,国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种:
a、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口,进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告,如“武汉男生2005”木马,可以通过MSN、QQ、UC等多种聊天软件发送带毒网址,其主要功能是盗取传奇游戏的帐号和密码。
b、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后,可能偷窥聊天记录等隐私内容,或将帐号卖掉。
c、传播自身型。2005年初,“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后,MSN推出新版本,禁止用户传送可执行文件。2005年上半年,“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播,感染用户数量极大,在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析,发送文件类的QQ蠕虫是以前发送消息类QQ木马的进化,采用的基本技术都是搜寻到聊天窗口后,对聊天窗口进行控制,来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。
4. 网页点击类木马
网页点击类木马会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单,一般只是向服务器发送HTTP GET请求。
5. 下载类木马
这种木马程序的体积一般很小,其功能是从网络上下载其他病毒程序或安装广告软件。由于体积很小,下载类木马更容易传播,传播速度也更快。通常功能强大、体积也很大的后门类病毒,如“灰鸽子”、“黑洞”等,传播时都单独编写一个小巧的下载型木马,用户中毒后会把后门主程序下载到本机运行。
6. 代理类木马
用户感染代理类木马后,会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板,以被感染用户的身份进行黑客活动,达到隐藏自己的目的。
首先找到感染文件,其手动方法是结束相关进程然后删除文件,但是现在有很多木马专杀的软件.可以借助软件删除。
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说呢?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序。
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能。
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度呢? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
木马病毒的危害:
1、盗取我们的网游账号,威胁我们的虚拟财产的安全。
木马病毒会盗取我们的网游账号,它会盗取我们帐号后,并立即将帐号中的游戏装备转移,再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。
2、盗取我们的网银信息,威胁我们的真实财产的安全。
木马采用键盘记录等方式盗取我们的网银帐号和密码,并发送给黑客,直接导致我们的经济损失。
3、利用即时通讯软件盗取我们的身份,传播木马病毒。
中了此类木马病毒后,可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序,具有不确定的危害性。如恶作剧等。
4、给我们的电脑打开后门,使我们的电脑可能被黑客控制。
如灰鸽子木马等。当我们中了此类木马后,我们的电脑就可能沦为肉鸡,成为黑客手中的工具。
木马病毒是如何盗取银行卡里的钱呢?
木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。2013年,安全软件电脑管家截获网银木马最新变种“弼马温”,弼马温病毒能够毫无痕迹的修改支付界面,使用户根本无法察觉。通过不良网站提供假QVOD下载地址进行广泛传播,当用户下载这一挂马播放器文件安装后就会中木马,该病毒运行后即开始监视用户网络交易,屏蔽余额支付和快捷支付,强制用户使用网银,并借机篡改订单,盗取财产。
中国上百个重要信息系统被美国植入木马程序,会带来哪些危害?
会带来以下危害,第一是这些重要系统很有可能被木马入侵,导致很多重要的机密信息被窃取;第二是利用这些木马平台,可以建立起一个覆盖全球的网络情报搜集体系,常态化维持着人类历史上规模最为庞大的间谍网络,而且仍在持续扩张,成为全人类的共同威胁。
到底是什么时候开始有木马病毒的?
电脑病毒的起源
电脑病毒的概念其实源起相当早,在第一部商用电脑出现之前好几年时,电脑的先驱者冯?诺伊曼(John Von Neumann)在他的一篇论文《复杂自动装置的理论及组识的进行》里,已经勾勒出病毒程序的蓝图。不过在当时,绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。
1975年,美国科普作家约翰?布鲁勒尔(John Brunner)写了一本名为《震荡波骑士》(Shock Wave Rider)的书,该书第一次描写了在信息社会中,计算机作为正义和邪恶双方斗争的工具的故事,成为当年最佳畅销书之一。
1977年夏天,托马斯?捷?瑞安(Thomas.J.Ryan)的科幻小说《P-1的春天》(The Adolescence of P-1)成为美国的畅销书,作者在这本书中描写了一种可以在计算机中互相传染的病毒,病毒最后控制了 7,000 台计算机,造成了一场灾难。 虚拟科幻小说世界中的东西,在几年后终于逐渐开始成为电脑使用者的噩梦。
而差不多在同一时间,美国著名的ATT贝尔实验室中,三个年轻人在工作之余,很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做"磁芯大战"(core war)的游戏,进一步将电脑病毒"感染性"的概念体现出来。
1983年11月3日,一位南加州大学的学生弗雷德?科恩(Fred Cohen)在UNIX系统下,写了一个会引起系统死机的程序,但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表,在当时引起了不小的震撼。科恩的程序,让电脑病毒具备破坏性的概念具体成形。
不过,这种具备感染与破坏性的程序被真正称之为"病毒",则是在两年后的一本《科学美国人》的月刊中。一位叫作杜特尼(A.K.Dewdney)的专栏作家在讨论"磁芯大战"与苹果二型电脑(别怀疑,当时流行的正是苹果二型电脑,在那个时侯,我们熟悉的PC根本还不见踪影)时,开始把这种程序称之为病毒。从此以后我们对于这种具备感染或破坏性的程序,终于有一个"病毒"的名字可以称呼了。
第一个真正的电脑病毒
到了1987年,第一个电脑病毒C-BRAIN终于诞生了(这似乎不是一件值得庆贺的事)。一般而言,业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟:巴斯特(Basit)和阿姆捷特(Amjad)所写的,他们在当地经营一家贩卖个人电脑的商店,由于当地盗拷软件的风气非常盛行,因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件,C-BRAIN就会发作,将盗拷者的硬盘剩余空间给吃掉。
这个病毒在当时并没有太大的杀伤力,但后来一些有心人士以C-BRAIN为蓝图,制作出一些变形的病毒。而其他新的病毒创作,也纷纷出笼,不仅有个人创作,甚至出现不少创作集团(如NuKE,Phalcon/Skism,VDV)。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间,各种病毒创作与反病毒程序,不断推陈出新,如同百家争鸣。
DOS时代的著名病毒
所谓"DOS时代的病毒",意思是说这是从DOS时代就有的老古董,诸位读者可别以为您现在已经进入Windows 95/98的年代,就不会感染DOS时期的病毒。其实由于Windows 95/98充其量不过是一套架构在DOS上的操作系统,因此即使是处在Windows 95/98之下,一不小心还是会惹火上身的!
耶路撒冷(Jerusalem)
这个古董级病毒其实有个更广为人知的别称,叫做"黑色星期五"。为什么会有这么有趣的别称?道理很简单:因为只要每逢十三号又是星期五的日子,这个病毒就会发作。而发作时将会终止所有使用者所执行的程序,症状相当凶狠。
米开朗基罗(Michelangelo)
米开朗基罗的名字,对于一些早一点的电脑使用者而言,真可说是大名鼎鼎,如雷贯耳。著名的原因除了它拥有一代艺术大师米开朗基罗的名字之外,更重要的是它的杀伤力惊人:每年到了3月6日米开朗基罗生日(这也就是它为什么叫做"米开朗基罗"的原因)时,这个病毒就会以Format硬盘来为这位大师祝寿。于是乎,你辛苦建立的所有资料都毁于一旦,永无翻身之日。
猴子(Monkey)
Monkey据说是第一个"引导型"的病毒,只要你使用被Monkey感染过的系统软盘开机,病毒就会入侵到你的电脑中,然后伺机移走硬盘的分区表,让你一开机就会出现"Invalid drive specification"的信息。比起"文件型"病毒只有执行过受感染文件才会中毒的途径而言,Monkey的确是更为难缠了。
音乐虫病毒(Music Bug)
这个发作时会大声唱歌,甚至造成资料流失、无法开机的病毒,正是台湾土产的病毒。所以,当你听到电脑自动传来一阵阵音乐声时,别以为你的电脑比别人聪明,那很有可能是中毒了。
其实这种会唱歌的病毒也不少,有另一个著名的病毒(叫什么名字倒忘了)发作时还会高唱着"两只老虎"呢!
DOS时期的病毒,种类相当繁杂,而且不断有人改写现有的病毒。到了后期甚至有人写出所谓的"双体引擎",可以把一种病毒创造出更多元化的面貌,让人防不胜防!而病毒发作的症状更是各式各样,有的会唱歌、有的会删除文件、有的会Format硬盘、有的还会在屏幕上显出各式各样的图形与音效。不过幸运的 是,这些DOS时期的古董级病毒,由于大部分的杀毒软件都可以轻易地扫除,所以杀伤力已经大不如前了。
Windows时期的来临
随着Windows 3.1在全球的风行,正式宣告了个人电脑操作环境进入Windows时代。紧接着,Windows 95/98的大为畅销,使得现在几乎所有个人电脑的操作环境都是在Windows状态下。而在Windows环境下最为知名的,大概就属"宏病毒"与"32位病毒"了。
宏病毒
随着各种Windows下套装软件的发展,许多软件开始提供所谓"宏"的功能,让使用者可以用"创造宏"的方式,将一些繁琐的过程记录成一个简单的指令来方便自己操作。然而这种方便的功能,在经过有心人士的设计之后,终于又使得"文件型"病毒进入一个新的里程碑:传统的文件型病毒只会感染后缀为exe和com的执行文件,而宏病毒则会感染Word、Excel、AmiPro、Access等软件储存的资料文件。更夸张的是,这种宏病毒是跨操作平台的。以Word的宏病毒为例,它可以感染DOS、Windows 3.1/95/98/NT、OS/2、麦金塔等等系统上的Word文件以及通用模板。
在这些宏病毒之中,最为有名的除了后面要讲的Melissa就是令人闻之色变的Taiwan NO.1B 。这个病毒的发作情形是:到了每月的十三号,只要您随便开启一份Word文件,屏幕上会出现一对话窗口,询问你一道庞杂的算数题。答错的话(这种复杂的算数大概只有超人可以很快算出来吧)就会连续开启二十个窗口,然后又出现另一道问题,如此重复下去,直到耗尽系统资源而死机为止。
虽然宏病毒有很高的传染力,但幸运的是它的破坏能力并不太强,而且解毒方式也较容易,甚至不需杀毒软件就可以自行手动解毒。
32位病毒
所谓"32位病毒",则是在Windows 95之后所产生的一种新型态文件型病毒,它虽然同样是感染exe执行文件,但是这种病毒专挑Windows的32位程序下手,其中最著名的就是去年大为流行的CIH病毒了。
CIH病毒的厉害之处,在于他可以把自己的本体拆散塞在被感染的文件中,因此受感染的文件大小不会有所变化,杀毒软件也不易察觉。而最后一个版本的CIH病毒,除了每个月26日发作,将你的硬盘Format掉之外,有时候还会破坏主板BIOS内的资料,让你根本无法开机!虽然目前大部分的杀毒软件都有最新的病毒码可以解决这只难缠的病毒,不过由于它的威力实在强大,大家还是小心为上。(CIH又可能在今年4月26发作,你不会有事吧?)
Internet的革命
有人说Internet的出现,引爆了新一波的信息革命。因为在因特网上,人与人的距离被缩短到极小的距离,而各式各样网站的建立以及搜寻引擎的运用,让每个人都很容易从网络上获得想要的信息。
Internet的盛行造就了信息的大量流通,但对于有心散播病毒、盗取他人帐号、密码的电脑黑客来说,网络不折不扣正好提供了一个绝佳的渠道。也因此,我们这些一般的使用者,虽然享受到因特网带来的方便,同时却也陷入另一个恐惧之中。
病毒散播的新捷径
由于因特网的便利,病毒的传染途径更为多元化。传统的病毒可能以磁盘或其他存储媒体的方式散布,而现在,你只要在电子邮件或ICQ中,夹带一个文件寄给朋友,就可能把病毒传染给他;甚至从网络上下载文件,都可能收到一个含有病毒的文件。
不过虽然网络使得病毒的散布更为容易,但其实这种病毒还是属于传统型的,只要不随便从一些籍籍无名的网站下载文件(因为有名的网站为了不砸了自己的招牌,提供下载的文件大都经过杀毒处理),安装杀毒软件,随时更新病毒码,下载后的文件不要急着执行,先进行查毒的步骤(因为受传统病毒感染的程序,只要不去执行就不会感染与发作),多半还是可以避免中毒的情形产生。
第二代病毒的崛起
前面所谈的各式各样的病毒,基本上都是属于传统型的病毒,也就是所谓"第一代病毒"。会有这样的称呼方式,主要是用来区分因为Internet蓬勃发展之后,最新出现的崭新病毒。这种新出现的病毒,由于本质上与传统病毒有很大的差异性,因此就有人将之称为"第二代病毒"。
第二代病毒与第一代病毒最大的差异,就是在于第二代病毒传染的途径是基于浏览器的,这种发展真是有点令人瞠目结舌!
原来,为了方便网页设计者在网页上能制造出更精彩的动画,让网页能更有空间感,几家大公司联手制订出Active X及Java的技术。而透过这些技术,甚至能够分辨你使用的软件版本,建议你应该下载哪些软件来更新版本,对于大部分的一般使用者来说,是颇为方便的工具。但若想要让这些网页的动画能够正常执行,浏览器会自动将这些Active X及Java applets的程序下载到硬盘中。在这个过程中,恶性程序的开发者也就利用同样的渠道,经由网络渗透到个人电脑之中了。这就是近来崛起的"第二代病毒",也就是所谓的"网络病毒"。
兵来将挡,水来土掩
目前常见的第二代病毒,其实破坏性都不大,例如在浏览器中不断开启窗口的"窗口炸弹",带着电子计时器发出"咚咚"声的"闹闹熊"等,只要把浏览器关闭后,对电脑并不会有任何影响。但随着科技的日新月异,也难保不会出现更新、破坏性更大的病毒。
只是,我们也不需要因为这种趋势而太过悲观,更不用因噎废食地拒绝使用电脑上网。整个电脑发展史上,病毒与杀毒软件的对抗一直不断的持续进行中,只要小心一点,还是可以愉快地畅游在因特网的世界里。
诈骗分子的银行卡冻结了如果还有钱会第一时间返回受害者卡吗
诈骗分子的银行卡冻结了,如果还有钱,不会第一时间返回受害者卡。公安机关追踪到诈骗分子的银行卡,第一时间会把卡冻结起来。后来经过侦查,把诈骗情况调查清楚,才会按照规定把钱退回给受害者。
一、诈骗分子最常用的诈骗手段
现如今经济高速发展,网络的使用率日益增长,诈骗分子的诈骗手段也层出不穷。在我看来,诈骗分子最常用的诈骗手段,不外乎以下几种。
犯罪分子通过网上的聊天应用软件,冒充公司领导潜伏在公司内部的工作群。通过一段时间的观察,摸清领导和员工之间的沟通模式,然后运用一系列的伪装手段,冒充公司领导向员工发出转账汇款的任务,从而获得金钱。第二种是以亲朋好友的名义实施诈骗,诈骗通过木马病毒,入侵受害人的电脑,从而盗取受害人的网上通讯软件密码。利用盗取的密码登录受害人的通讯账号,并在截获相关的聊天视频记录后,以患疾病,突发车祸等紧急事件为由实施诈骗。最后一种就是利用受害人害怕的心理,冒充公安检察部门以电话的方式联系受害人。并告知受害人身份信息被盗,涉嫌洗钱,贩毒需要配合查证,要求受害人将资金转入国家安全账户,以此来达到诈骗的目的。
二、遇到诈骗了应该怎么办
当我们意识到自己遭遇了诈骗,首先要保持冷静,先确定自己的损失。如果被骗财物是网上的虚拟物品,可以直接联系相应软件或网站的客服进行沟通处理。同时要把有关的证据保留好,比如聊天记录,银行转账记录以及对方的联系方式。然后要尽快报警,切记不要私底下再联系诈骗者,防止再次落入对方的圈套,遭受更多不必要的损失。在报警以后,受害人可以尽快联系开户银行,把被骗账户先冻结,等待公安机关的后续处理。同时还要通知身边的亲属好友,告诉他们自己的网络通讯账号被盗,不要轻信该账号发出的任何信息。不论被骗金额大小,都一定要到公安机关立案。很多的诈骗案件有可能是同一个诈骗集团,或者是同一个诈骗者实施的,受害人积极配合公安机关的调查,有利于诈骗案件的侦破。
三、诈骗案件侦破以后,如果诈骗分子的银行卡还有钱会按照流程退回给受害者
受害人在遭遇诈骗圈套后,会第一时间到公安机关立案。公安机关部门会根据被害人对于受害过程的陈述记录,受害人提交的相关聊天记录,银行卡转账记录。在网络上搜索追踪诈骗集团在实施犯罪活动中,遗留在计算机上的数据信息。利用相关的专业技术和侦查工具,通过有关情况分析判断,确定实施诈骗犯罪的计算机终端网络位置。按照确定好的侦查方向和范围,开展一系列的侦查工作。一旦公安机关确定了诈骗分子,就会把诈骗分子的银行卡冻结,也就是说,如果诈骗分子的卡里还有钱也一样被冻结了。等到案件被侦破之后,就会按照相关法律法规规定,把钱退回给受害者。
诈骗分子的银行卡冻结了如果还有钱,钱会退回给受害人。但是不是第一时间退回,需要等案件侦查完成后,按照相关规定流程退回给受害人。
历史上有哪些著名黑客病毒灾难?
NO.1 “CIH病毒” 爆发年限:1998年6月 CIH病毒(1998年)是一位名叫陈盈豪的台湾大学生所编写的,从中国台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。 CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本。 损失估计:全球约5亿美元 NO.2 “梅利莎(Melissa)” 爆发年限:1999年3月 梅利莎(1999年)是通过微软的Outlook电子邮件软件,向用户通讯簿名单中的50位联系人发送邮件来传播自身。该邮件包含以下这句话:“这就是你请求的文档,不要给别人看”,此外夹带一个Word文档附件。而单击这个文件,就会使病毒感染主机并且重复自我复制。 1999年3月26日,星期五,W97M/梅利莎登上了全球各地报纸的头版。估计数字显示,这个Word宏脚本病毒感染了全球15%~20%的商用PC。病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft,下称微软)、以及其他许多使用Outlook软件的公司措手不及,防止损害,他们被迫关闭整个电子邮件系统。 损失估计:全球约3亿——6亿美元 NO.3 “爱虫(Iloveyou)” 爆发年限:2000年 爱虫(2000年)是通过Outlook电子邮件系统传播,邮件主题为“I Love You”,包含附件“Love-Letter-for-you.txt.vbs”。打开病毒附件后,该病毒会自动向通讯簿中的所有电子邮件地址发送病毒邮件副本,阻塞邮件服务器,同时还感染扩展名为.VBS、.HTA、.JPG、.MP3等十二种数据文件。 新“爱虫”(Vbs.Newlove)病毒同爱虫(Vbs.loveletter)病毒一样,通过outlook传播,打开病毒邮件附件您会观察到计算机的硬盘灯狂闪,系统速度显著变慢,计算机中出现大量的扩展名为vbs的文件。所有快捷方式被改变为与系统目录下wscript.exe建立关联,进一步消耗系统资源,造成系统崩溃。 损失估计:全球超过100亿美元 NO.4 “红色代码(CodeRed)” 爆发年限:2001年7月 红色代码(2001年)是一种计算机蠕虫病毒,能够通过网络服务器和互联网进行传播。2001年7月13日,红色代码从网络服务器上传播开来。它是专门针对运行微软互联网信息服务软件的网络服务器来进行攻击。极具讽刺意味的是,在此之前的六月中旬,微软曾经发布了一个补丁,来修补这个漏洞。 被它感染后,遭受攻击的主机所控制的网络站点上会显示这样的信息:“你好!欢迎光临``随后病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约20天,之后它便对某些特定IP地址发起拒绝服务(DoS)攻击。不到一周感染了近40万台服务器,100万台计算机受到感染。 NO.5 “冲击波(Blaster)” 爆发年限:2003年夏季 冲击波(2003年)于2003年8月12日被瑞星全球反病毒监测网率先截获。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后利用DCOM RPC缓冲区漏洞攻击该系统,一旦成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。 另外该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。在8月16日以后,该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。 损失估计:数百亿美元 NO.6 “巨无霸(Sobig)” 爆发年限:2003年8月 巨无霸(2003年)是通过局域网传播,查找局域网上的所有计算机,并试图将自身写入网上各计算机的启动目录中以进行自启动。该病毒一旦运行,在计算机联网的状态下,就会自动每隔两小时到某一指定网址下载病毒,同时它会查找电脑硬盘上所有邮件地址,向这些地址发送标题如:"Re: Movies"、"Re: Sample"等字样的病毒邮件进行邮件传播,该病毒还会每隔两小时到指定网址下载病毒,并将用户的隐私发到指定的邮箱。 由于邮件内容的一部分是来自于被感染电脑中的资料,因此有可能泄漏用户的机密文件,特别是对利用局域网办公的企事业单位,最好使用网络版杀毒软件以防止重要资料被窃取! 损失估计:50亿——100亿美元 NO.7 “MyDoom” 爆发年限:2004年1月 MyDoom(2004年)是一例比“巨无霸病毒”更厉害的病毒体,在2004年1月26日爆发,在高峰时期,导致网络加载时间减慢50%以上。它会自动生成病毒文件,修改注册表,通过电子邮件进行传播,并且它还会尝试从多个URL下载并执行一个后门程序,如下载成功会将其保存在Windows文件夹中,名称为winvpn32.exe。该后门程序允许恶意用户远程访问被感染的计算机。 病毒使用自身的SMTP引擎向外发送带毒电子邮件,进行传播。病毒会从注册表的相关键值下和多种扩展名的文件中搜集邮件地址,病毒还会按照一些制定的规则自己声称邮件地址,并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。 损失估计:百亿美元 NO.8 “震荡波(Sasser)” 爆发年限:2004年4月 震荡波(2004年)于2004年4月30日爆发,短短的时间内就给全球造成了数千万美元的损失,也让所有人记住了04年的4月,该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同,也是通过微软的最新LSASS漏洞进行传播,我们及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件,会显示出谴责美国大兵的英文语句。 震荡波感染的系统包括Windows 2000、Windows Server 2003和Windows XP,病毒运行后会巧妙的将自身复制为%WinDir%napatch.exe,随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,远程计算机如果存在MS04-011漏洞,将会自动运行后门程序,打开后门端口9996。 损失估计:5亿——10亿美元 NO.9 “熊猫烧香(Nimaya)” 爆发年限:2006年 熊猫烧香(2006年)准确的说是在06年年底开始大规模爆发,以Worm.WhBoy.h为例,由Delphi工具编写,能够终止大量的反病毒软件和防火墙软件进程,病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件,导致用户一打开这些网页文件,IE自动连接到指定病毒网址中下载病毒。在硬盘各分区下生成文件autorun.inf和setup.exe.病毒还可通过U盘和移动硬盘等进行传播,并且利用Windows系统的自动播放功能来运行。 “熊猫烧香”还可以修改注册表启动项,被感染的文件图标变成“熊猫烧香”的图案。病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。 损失估计:上亿美元 NO.10 “网游大盗” 爆发年限:2007年 网游大盗(2007年)是一例专门盗取网络游戏帐号和密码的病毒,其变种wm是典型品种。英文名为Trojan/PSW.GamePass.jws的“网游大盗”变种jws是“网游大盗”木马家族最新变种之一,采用VisualC++编写,并经过加壳处理。“网游大盗”变种jws运行后,会将自我复制到Windows目录下,自我注册为“Windows_Down”系统服务,实现开机自启。 该病毒会盗取包括“魔兽世界”、“完美世界”、“征途”、等多款网游玩家的帐户和密码,并且会下载其它病毒到本地运行。玩家计算机一旦中毒,就可能导致游戏帐号、装备等丢失。在07年轰动一时,网游玩家提心吊胆。 损失估计:全球约26亿美元
历史计算机病毒事件
1、最初"计算机病毒"这一概念的提出可追溯到七十年代美国作家雷恩出版的《P1的青春》一书,书中构思了一种能够自我复制,利用通信进行传播的计算机程序,并称之为计算机病毒。
2、贝尔实验室的三位年轻程序员也受到冯?诺依曼理论的启发,发明了"磁芯大战"游戏。
3、1983 年 11月,在一次国际计算机安全学术会议上,美国学者科恩第一次明确提出计算机病毒的概念,并进行了演示。
4、世界上公认的第一个在个人电脑上广泛流行的病毒是1986年初诞生的大脑(C-Brain)病毒,编写该病毒的是一对巴基斯坦兄弟,两兄弟经营着一家电脑公司,以出售自己编制的电脑软件为生。当时,由于当地盗版软件猖獗,为了防止软件被任意非法拷贝,也为了追踪到底有多少人在非法使用他们的软件,于是在1986年年初,他们编写了"大脑(Brain)"病毒,又被称为"巴基斯坦"病毒。该病毒运行在DOS操作系统下,通过软盘传播,只在盗拷软件时才发作,发作时将盗拷者的硬盘剩余空间吃掉。
5、1988年11月美国国防部的军用计算机网络遭受莫里斯病毒袭击,致使美国Internet网络上6000多计算机感染,直接经济损失9600万美元。莫里斯病毒是由康乃尔大学23岁的罗特?莫里斯制作。后来出现的各类蠕虫,都是仿造了莫里斯蠕虫,以至于人们将该病毒的编制者莫里斯称为"蠕虫之父"。
6、1999年 Happy99、美丽杀手(Melissa)等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。其特点就是利用Internet的优势,快速进行大规模的传播,从而使病毒在极短的时间内遍布全球。
7、CIH病毒是继DOS病毒的第四类新型病毒,CIH这三个字母曾经代表着灾难。1998年8月从台湾传入大陆,共有三个主要版本:1.2版/1.3版/1.4版,发作时间分别是4月26日、6月26日、每月26日。该病毒是第一个直接攻击、破坏硬件的计算机病毒,是迄今为止破坏最为严重的病毒。
CIH病毒制造者 陈盈豪 曾有两次精神科门诊记录,被人们认为是"电脑鬼才"。
8、2000年的5月,通过电子邮件传播的"爱虫"病毒迅速在世界各地蔓延,更大规模的发作,造成全世界空前的计算机系统破坏。 I LOVE YOU爱虫病毒是使用VB Script程序语言编写的病毒,它主要是通过一封信件标题为"I LOVE YOU"的电子邮件传播的。一旦执行附加文件,病毒会获取Outlook通讯录的名单,并自动发出"I LOVE YOU"电子邮件,从而导致网络阻塞。破坏性:爱虫病毒的传播会导致网络瘫痪,病毒发作时,还会把*.mp3、*.jpg等10种文件改为*.vbs,并传染覆盖这些文件。
与爱虫病毒相似的网络病毒还有Melissa(美丽杀手病毒)等。
9、着名的"黑色星期五"病毒在逢13号的星期五发作。
10、2001年9月18日出现的Nimda病毒则是病毒演变过程中的另一个里程碑,它首次利用了系统中的漏洞对互联网发起攻击,具备了典型的黑客特征。它的出现意味着,混合着多种黑客手段的病毒从此诞生。
尼姆达是一种新型的、复杂的、发送大量邮件的蠕虫病毒,它通过网络进行传播。尼姆达病毒总是伪装成一封主题行空缺的电子邮件展开对计算机的侵袭。打开这封"来历不明"的电子邮件,就会发现随信有一个名为readme.exe(即可执行自述文件)的附件,如果该附件被打开,尼姆达就顺利地完成了侵袭电脑的第一步。接下来,该病毒不断搜索局域网内共享的网络资源,将病毒文件复制到用户计算机中,并随机选择各种文件作为附件,再按照用户储存在计算机里的邮件地址发送病毒,以此完成病毒传播的一个循环过程。
11、2002年,求职信Klez病毒,邮件病毒,主要影响微软的Outlook Express用户。
12、"附件在哪啊?你找到我吗?放心打开来,这是一个重要文件,可以查杀QQ病毒的专杀工具请查收附件。"如果你收到一封这样的电子邮件,千万不要打开,这是国内第一例中文混合型病毒,会导致电脑里的各种密码,包括操作系统、网络游戏、电子邮件的各种密码被窃取。
13、冲击波,2003年8月11日,冲击波席卷全球,利用微软网络接口RPC漏洞进行传播,造成众多电脑中毒,机器不稳定,重启,死机,部分网络瘫痪,没打过补丁的WINDOWS操作系统很难逃出它的魔爪。
14、震荡波:具有类似冲击波的表现形式,感染的系统重新启动计算机,原因是给蠕虫病毒导致系统文件lsess.Exe的崩溃。
15、小球病毒,作为Dos时代的老牌病毒,它也是国内流行起来的第一例电脑病毒。小球病毒可以险恶地控制电脑,使程序运行缓慢甚至无法运行。
特洛伊木马,一经潜入,后患无穷
据说在海湾战争中,美国防部一秘密机构曾对伊拉克的通讯系统进行了有计划的病毒攻击,一度使伊拉克的国防通讯陷于瘫痪。
1、MSN小丑(MsnFunny),自动向用户的msn发送消息和病毒
2、Word文档杀手:破坏文档数据,记录管理员密码。
3、雏鹰(BBeagle):木马程序,电子邮件传播,监测系统时间,2004年2月25日则自动退出。
4、好大(Sobig):1分钟300封病毒邮件
5、红色代码(I-Worm Redcode):感染对象,服务器,修改服务器网站网页
6、蓝色代码(Bluecode):启动多个进程,系统运行速度非常慢,cpu占用率急速上升,甚至瘫痪
7、密码杀手2004:通过键盘记录技术截取几乎所有登录窗口的输入信息,通过电子邮件发送给病毒作者。
8、挪威客(Mydoom.e):疯狂发送带毒邮件,随机删除计算机数据。
9、网络天空(Netsky):带毒邮件大量传播,消耗网络资源,影响企业的邮件服务器
10、武汉男生:qq发送诱惑信息,盗取传奇密码以邮件形式发给盗密码者,并结束多种反病毒软件。
11、证券大盗(PSW.Soufan):特洛伊木马,盗取多家证券交易系统的交易账户和密码。记录键盘信息的同时通过屏幕快照将用户资料已图片形式发送。
2008年度十大病毒/木马
根据病毒危害程度、病毒感染率以及用户的关注度,计算出综合指数,最终得出以下十大病毒/木马为2008年最具影响的十大病毒/木马。
1、 机器狗系列病毒
关键词:底层穿磁盘 感染系统文件
机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为"机器狗",该病毒变种繁多,多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器,通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给广大网民的网络虚拟财产造成巨大威胁。
机器狗病毒直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点、影子等还原系统软件导致大量网吧用户感染病毒,无法通过还原来保证系统的安全;通过修复SSDT、映像挟持、进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马。部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP欺骗影响网络安全。
2、AV终结者病毒系列
关键词:杀毒软件无法打开 反复感染
AV终结者最大特点是禁用所有杀毒软件以及大量的安全辅助工具,让用户电脑失去安全保障;破坏安全模式,致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入"病毒"相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法;在磁盘根目录下释放autorun.Inf,利用系统自播放功能,如果不加以清理,重装系统以后也可能反复感染。
2008年年末出现的"超级AV终结者"结合了AV终结者、机器狗、扫荡波、autorun病毒的特点,是金山毒霸"云安全"中心捕获的新型计算机病毒。它对用户具有非常大的威胁。它通过微软特大漏洞MS08067在局域网传播,并带有机器狗的穿还原功能,下载大量的木马,对网吧和局域网用户影响极大。
3、onlinegames系列
关键词:网游 盗号
这是一类盗号木马系列的统称,这类木马最大的特点就是通过ShellExecuteHooks启动,盗取流行的各大网络游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件,但经常伴随着超级Av终结者、机器狗等病毒出现。
4 、HB蝗虫系列木马
关键词:网游盗号
HB蝗虫病毒新型变种是金山毒霸"云安全"中心截获的年末最"牛"的盗号木马病毒。该系列盗号木马技术成熟,传播途径广泛,目标游戏非常的多(存在专门的生成器),基本囊括了市面上大多数的游戏,例如魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等等。
该类木马主要通过网页挂马、流行病毒下载器传播。而传播此盗号木马的的下载器一般会对抗杀毒软件,造成杀毒软件不能打开、电脑反映速度变慢。
5 、扫荡波病毒
关键词:新型蠕虫 漏洞
这是一个新型蠕虫病毒。是微软"黑屏"事件后,出现的最具攻击性的病毒之一。"扫荡波"运行后遍历局域网的计算机并发起攻击,攻击成功后,被攻击的计算机会下载并执行一个下载者病毒,而下载者病毒还会下载"扫荡波",同时再下载一批游戏盗号木马。被攻击的计算机中"扫荡波"而后再向其他计算机发起攻击,如此向互联网中蔓延开来。据了解,之前发现的蠕虫病毒一般通过自身传播,而扫荡波则通过下载器病毒进行下载传播,由于其已经具备了自传播特性,因此,被金山毒霸反病毒工程师确认为新型蠕虫。
微软宣布"黑屏"后的第3天,紧急发布了MS08-067安全公告,提示用户注意一个非常危险的漏洞,而后利用该漏洞发动攻击的恶意程序不断涌现;10月24日晚,金山发布红色安全预警,通过对微软MS08-067漏洞进行详细的攻击原型模拟演示,证实了黑客完全有机会利用微软MS08-067漏洞发起远程攻击,微软操作系统面临大面积崩溃威胁;11月7日,金山再次发布预警,"扫荡波"病毒正在利用该漏洞进行大面积攻击;11月7日晚,金山已证实"扫荡波"实为一个新型蠕虫病毒,并发布周末红色病毒预警。
6、QQ盗圣
关键词:QQ盗号
这是QQ盗号木马系列病毒,病毒通常释放病毒体(类似于UnixsMe.Jmp,Sys6NtMe.Zys,)到IE安装目录(C:Program FilesInternet Explore),通过注册表Browser Helper Objects实现开机自启动。当它成功运行后,就把之前生成的文件注入进程,查找QQ登陆窗口,监视用户输入盗取的帐号和密码,并发送到木马种植者指定的网址。
7、RPC盗号者
关键词:不能复制粘贴
该系列木马采用替换系统文件,达到开机启动的目的,由于替换的是RPC服务文件rpcss.dll ,修复不当,会影响系统的剪切板、上网等功能。部分版本加入了反调试功能,导致开机的时候系统加载缓慢。
8、伪QQ系统消息
关键词:QQ系统消息,杀毒软件不能使用
经金山毒霸"云安全"检测为钓鱼程序,病毒最大的特点是伪装QQ系统消息,用户一旦点击,钱财及电脑安全将面临巨大威胁。
该病毒的综合破坏能力比较强,它利用AUTO技术自动传播,当进入电脑后就运行自带的对抗模块,尝试映像劫持或直接关闭用户系统中的安全软件。病毒还带有下载器的功能,可下载其它木马到电脑中运行。
9、QQ幽灵
关键词:QQ 木马下载器
此病毒查找QQ安装目录,并在其目录释放一个精心修改psapi.dll,当QQ启动的时候将会将这个dll文件加载(程序加载dll文件的顺序1:应用程序的安装目录2:当前的工作目录3:系统目录4:路径变量),从而执行恶意代码下载大量病毒到用户电脑。
10、磁碟机
关键词:无法彻底清除 隐蔽
磁碟机与AV终结者、机器狗极为相似。最大特点是导致大量用户杀毒软件和安全工具无法运行,进入安全模式后出现蓝屏现象;而且更为严重的是,由于Exe文件被感染,重装系统仍无法彻底清除。
磁碟机病毒主要通过网站挂马、U盘、局域网内的ARP传播等方式进行传播,而且非常隐蔽,病毒在传播过程中,所利用的技术手段都是用户甚至杀毒软件无法截获的。病毒一旦在用户电脑内成功运行后,会自动下载自己的最新版本以及大量的其他一些木马到本地运行,盗取用户虚拟资产和其他机密信息;同时该病毒会感染用户机器上的exe文件,包括压缩包内的exe文件,并会通过UPX加壳,导致用户很难彻底清除。
二、2008年计算机病毒、木马的特点分析
2008年是病毒、木马异常活跃的一年。从病毒传播的角度看2008年大量的病毒通过网页挂马方式进行传播,主要利用的是realplay,adobe flash和IE漏洞进行传播。从病毒的运作模式看2008年大量病毒采用的方式是下载器对抗安全软件,关闭安全软件然后下载大量盗号木马到用户电脑--盗取用户网游的账号发送到黑客的数据库。从病毒的危害来看2008年绝大多数流行的病毒都为网游盗号类木马,其次是远程控制类木马。
1、病毒制造进入"机械化"时代
由于各种病毒制作工具的泛滥和病毒制作的分工更加明细和程式化,病毒作者开始按照既定的病毒制作流程制作病毒。病毒制造进入了"机械化"时代。
这种"机械化"很大程度上得益于病毒制作门槛的降低和各种制作工具的流行。"病毒制造机"是网上流行的一种制造病毒的工具,病毒作者不需要任何专业技术就可以手工制造生成病毒。金山毒霸全球反病毒监测中心通过监测发现网络上有诸多此类广告,病毒作者可根据自己对病毒的需求,在相应的制作工具中定制和勾选病毒功能。病毒傻瓜式制作导致病毒进入"机械化"时代。
病毒的机械化生产导致病毒数量的爆炸式增长。反病毒厂商传统的人工收集以及鉴定方法已经无法应对迅猛增长的病毒。金山毒霸2009依托于"云安全"技术,一举实现了病毒库病毒样本数量增加5倍、日最大病毒处理能力提高100倍 、紧急病毒响应时间缩短到1小时以内,给用户带来了更好的安全体验。
2、病毒制造的模块化、专业化特征明显
病毒团伙按功能模块发外包生产或采购技术先进的病毒功能模块,使得病毒的各方面功能都越来越"专业",病毒技术得以持续提高和发展,对网民的危害越来越大,而解决问题也越来越难。例如年底出现的"超级AV终结者"集病毒技术之大成,是模块化生产的典型代表。
在专业化方面,病毒制造业被自然的分割成以下几个环节:病毒制作者、病毒批发商、病毒传播者、"箱子"批发商、"信封"批发商、"信封"零售终端。病毒作者包括有"资深程序员",甚至可能有逆向工程师。病毒批发商购买病毒源码,并进行销售和生成木马。病毒传播者负责将病毒通过各种渠道传播出去,以盗取有价值的QQ号码、游戏帐号、装备等。"箱子"批发商通过出租或者销售"箱子"(即可以盗取虚拟资产的木马,可以将盗取的号码收集起来)牟利,他们往往拥有自己的木马或者木马生成器。"信封"批发商通过购买或者租用"箱子",通过出售收获的信封牟利。"信封"零售终端负责过滤"信封"中收集到的有价值的虚拟资产并进行销售。每个环节各司其职,专业化趋势明显。
3、病毒"运营"模式互联网化
病毒团伙经过2008一年的运营已经完全转向互联网,攻击的方式一般为:通过网站入侵-写入恶意攻击代码-利用成为新型网络病毒传播的主要方式,网民访问带有挂马代码的‘正常网站'时,会受到漏洞攻击而‘不知不觉'中毒。这种传播方式的特点是快速、隐敝性强、适合商业化运营(可像互联网厂商一样精确统计收益,进行销售分成)。
例如 "机器狗"病毒,"商人"购买之后,就可以通过"机器狗"招商。因为机器狗本身并不具备"偷"东西的功能,只是可以通过对抗安全软件保护病毒,因此"机器狗"就变成了病毒的渠道商,木马及其他病毒都纷纷加入"机器狗"的下载名单。病毒要想加入这些渠道商的名单中,必须缴纳大概3000块钱左右的"入门费"。而"机器狗"也与其他类似的"下载器"之间互相推送,就像正常的商业行为中的资源互换。这样,加入了渠道名单的病毒就可以通过更多的渠道进入用户的电脑。病毒通过哪个渠道进入的,就向哪个渠道缴费。
此外,病毒的推广和销售都已经完全互联网化。病毒推广的手法包括通过一些技术论坛进行推广,黑客网站也是推广的重要渠道,此外还包括百度贴吧、QQ群等渠道进行推广。其销售渠道也完全互联网化,销售的典型渠道包括:公开拍卖网站,比如淘宝、易趣等。还有通过QQ直销,或者通过专门网站进行销售。
4、病毒团伙对于"新"漏洞的利用更加迅速
IE 0day漏洞被利用成2008年最大安全事件。当ms08-67漏洞被爆光后部分流行木马下载器就将此漏洞的攻击代码集成到病毒内部实现更广泛的传播。而年底出现的IE0day漏洞,挂马集团从更新挂马连接添加IE 0day漏洞攻击代码到微软更新补丁已经过了近10天。期间有上千万网民访问过含有此漏洞攻击代码的网页。
此外,2008年Flash player漏洞也给诸多网民造成了损失。由于软件在自身设计、更新、升级等方面的原因,存在一些漏洞,而这些漏洞会被黑客以及恶意网站利用。在用户浏览网页的过程中,通过漏洞下载木马病毒入侵用户系统,进行远程控制、盗窃用户帐号和密码等,从而使用户遭受损失。
金山毒霸团队密切关注windows系统软件漏洞和第三方应用软件漏洞信息,及时更新漏洞库信息,同时金山清理专家采用P2SP技术,大大提高了补丁下载的速度,减少了用户电脑的风险暴露时间。
5、 病毒与安全软件的对抗日益激烈
在病毒产业链分工中,下载器扮演了‘黑社会'的角色,它结束并破坏杀毒软件,穿透还原软件,‘保护'盗号木马顺利下载到用户机器上,通过‘保护费'和下载量分脏。下载者在2008年充当了急先锋,始终跑在对抗杀毒软件的第一线,出尽风头且获得丰厚回报。
从‘AV终结者'的广泛流行就不难看出,对抗杀毒软件已经成为下载者病毒的‘必备技能'。
纵观08年的一些流行病毒,如机器狗、磁碟机、AV终结者等等,无一例外均为对抗型病毒。而且一些病毒制作者也曾扬言"饿死杀毒软件"。对抗杀毒软件和破坏系统安全设置的病毒以前也有,但08年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀病毒的力度,使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样,如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。
病毒与杀毒软件对抗特征主要表现为对抗频率变快,周期变短,各个病毒的新版本更新非常快,一两天甚至几个小时更新一次来对抗杀毒软件。
金山毒霸通过强化自保护功能,提高病毒攻击的技术门槛。目前,金山毒霸云安全体系可以做到病毒样本的收集、病毒库更新测试和升级发布全无人值守,自动化的解决方案以应对病毒传播制作者不断花样翻新的挑战。
三、2009年计算机病毒、木马发展趋势预测
1、0Day漏洞将与日俱增
2008年安全界关注的最多的不是Windows系统漏洞,而是每在微软发布补丁随后几天之后,黑客们放出来的0Day 漏洞,这些漏洞由于处在系统更新的空白期,使得所有的电脑都处于无补丁的可补的危险状态。
黑客在尝到0day漏洞攻击带来的巨大感染量和暴利以后会更加关注于0day漏洞的挖掘,2009年可能会出现大量新的0day漏洞(含系统漏洞及流行互联网软件的漏洞),病毒团伙利用0day漏洞的发现到厂商发布补丁这一时间差发动漏洞攻击以赚取高额利润。
2、网页挂马现象日益严峻
网页挂马已经成为木马、病毒传播的主要途径之一。入侵网站,篡改网页内容,植入各种木马,用户只要浏览被植入木马的网站,即有可能遭遇木马入侵,甚至遭遇更猛烈的攻击,造成网络财产的损失。
2008年,网站被挂马现象屡见不鲜,大到一些门户网站,小到某地方电视台的网站,都曾遭遇挂马问题。伴随着互联网的日益普及,网页挂马已经成为木马、病毒传播的主要途径之一的今天,金山毒霸反病毒工程师预测2009年网络挂马问题将更加严峻,更多的网站将遭遇木马攻击。
3、病毒与反病毒厂商对抗将加剧
随着反病毒厂商对于安全软件自保护能力的提升,病毒的对抗会越发的激烈。病毒不再会局限于结束和破坏杀毒软件,隐藏和局部‘寄生'系统文件的弱对抗性病毒将会大量增加。
4、新平台上的尝试
病毒、木马进入新经济时代后,肯定是无孔不入;网络的提速让病毒更加的泛滥。因此在2009年,我们可以预估vista系统,windows 7系统的病毒将可能成为病毒作者的新宠;当我们的智能手机进入3G时代后,手机平台的病毒/木马活动会上升。软件漏洞的无法避免,在新平台上的漏洞也会成为病毒/木马最主要的传播手段。
四、2009年反病毒技术发展趋势
在病毒制作门槛的逐步降低,病毒、木马数量的迅猛增长,反病毒厂商与病毒之间的对抗日益激烈的大环境下,传统"获取样本-特征码分析-更新部署"的杀毒软件运营模式,已无法满足日益变化及增长的安全威胁。在海量病毒、木马充斥互联网,病毒制作者技术不断更新的大环境下,反病毒厂商必须要有更有效的方法来弥补传统反病毒方式的不足,"云安全"应运而生。
金山毒霸"云安全"是为了解决木马商业化的互联网安全形势应运而生的一种安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。"云安全"是现有反病毒技术基础上的强化与补充,最终目的是为了让互联网时代的用户都能得到更快、更全面的安全保护。
首先稳定高效的智能客户端,它可以是独立的安全产品,也可以作为与其他产品集成的安全组件,比如金山毒霸 2009和百度安全中心等,它为整个云安全体系提供了样本收集与威胁处理的基础功能;
其次服务端的支持,它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术,同时它和客户端协作,为用户提供云安全服务;
最后,云安全需要一个开放性的安全服务平台作为基础,它为第三方安全合作伙伴提供了与病毒对抗的平台支持,使得缺乏技术储备与设备支持的第三方合作伙伴,也可以参与到反病毒的阵线中来,为反病毒产业的下游合作伙伴提供商业上的激励,摆脱目前反病毒厂商孤军奋战的局面。