|
【賽迪網-IT技術報道】1988年,當中國計算機反病毒第一人王江民看到自己編寫工控軟件的計算機上有一個小球狀的圖標在跳來跳去的時候,并沒有意識到這個小小的東西會給計算機帶來多大的麻煩。憑著過硬的匯編功底���,王江民很輕松地就把這個現(xiàn)在看來是中國出現(xiàn)的第一個病毒“小球”手工清除了���,并把清除病毒的殺毒程序命名為KV1,這就是中國最早的計算機殺毒軟件雛形。20年后的今天�����,計算機病毒已經超過100萬種���,電腦和操作系統(tǒng)也已經更新升級了一代又一代�,而每一個階段��,總會有一些令人印象十分深刻的病毒���,病毒在給計算機用戶帶來了許許多多麻煩����,上演著一幕幕虛擬世界的《罪與罰》����。
惡作劇時代
從1988年出現(xiàn)“小球”病毒起至1992年之前,大部分病毒都是惡作劇式的DOS病毒�����。他們在電腦用戶的屏幕上用各種各樣五花八門的花樣展現(xiàn)著自己���,“小球”病毒在電腦屏幕上跳來跳去��,“貪吃蛇”則會吃掉所經過屏幕上的字符����,有的會放出繽紛的禮花��,干擾用戶的電腦操作����,但并不對系統(tǒng)造成破壞。其它的還有“米開朗基羅”“黑色星期五”“Stoned(石頭)”病毒等等�,這些病毒都通過感染硬盤或軟盤引導區(qū),感染.COM和.EXE文件�����。這類病毒修改了部分中斷向量表�,被感染的文件明顯的增加了字節(jié)數(shù),并且病毒代碼主體沒有加密�����,也容易被查出和解除�����。 略有對抗反病毒手段的只有Yankee Doole病毒, 當它發(fā)現(xiàn)你用DEBUG工具跟蹤它的話����,它會自動從文件中逃走。
接著����, 又一些能對自身進行簡單加密的病毒相繼出現(xiàn)。它們加密的目的主要是防止跟蹤或掩蓋有關特征等�����。后來還有一些對抗反病毒技術和隱藏自己的病毒出現(xiàn)�����,1992年以后����,一些病毒開始破壞系統(tǒng)引導區(qū),但由于那時候電腦主要是在高校和科研機關應用���,普通家庭根本沒有機會接觸到電腦��,只有少數(shù)一些電腦使用者在關注它們�����,病毒與電腦使用者之間就象是玩一場游戲���,在殺與被殺之間斗智斗勇�����,這是一場只有少數(shù)人才有資格參與的游戲。
“快樂時光”不快樂�!
1995年開始,WINDOWS視窗的推出和INTERNET的應用帶來了病毒的繁榮����。WINDOWS和INTERNET給人們帶來了“快樂時光”,與此同時���,一種“快樂時光(happy time)”病毒也在悄然來襲���。“快樂時光”能夠通過電子郵件迅速傳播���,發(fā)送大量的帶毒郵件����,而且電腦用戶只要將鼠標光標點到這封郵件上,病毒就會被觸發(fā)���,向電腦中所有的聯(lián)系人發(fā)送同樣的帶毒郵件�����。
“快樂時光”使用了微軟并利用Outlook Express一個漏洞��,該漏洞可以在你沒有點擊運行附件時就將附件運行�����??鞓窌r光能夠感染VBS���、html 和腳本文件����,成為互聯(lián)網上長期的禍害����,后來“快樂時光”又發(fā)展成為新“快樂時光”并出現(xiàn)了很多變種���,在系統(tǒng)日期月和日加起來等于13的那天發(fā)作。一直到2005年才開始退出流行病毒行列�����。
那時候���,很多電腦用戶都不裝殺毒軟件���,在電腦感到運行緩慢的時候�,往往會找來江民KV3000等殺毒軟件臨時殺毒,結果一殺就能殺出數(shù)千上萬個病毒出來���,因為快樂時光是感染型病毒��,電腦中有多少腳本和網頁文件����,病毒就能感染多少��,所以出現(xiàn)了殺出一萬多個病毒的奇觀。
CIH 中國信息大劫難
1998年2月����,陳盈豪編寫出了破壞性極大的Windows惡性病毒CIH-1.2版,并定于每年的4月26日發(fā)作破壞��,然后�����,悄悄的潛伏在網上的一些供人下載的軟件中�。
一個月后,也就是到了1998年8月26日�����,CIH-1.4病毒首先跳出來發(fā)作����,我國部分地區(qū)遭到襲擊,但損害面積不大���。事后��,為了避免更大災害��,我國政府職能部門公安部發(fā)出了通緝三種CIH病毒的通告���?��?墒牵褂谜鏆⒍拒浖囊庾R不被一些用戶重視�,又不經常保持升級殺毒軟件,CIH-1.2病毒又經過一年的傳播�,已傳遍全世界,世界性的巨大殺機潛伏下來了�����,一場人類史無前例的信息大劫難即將暴發(fā)���。
1999年4月26日,一個計算機行業(yè)難以忘卻的日子����,也就是到了CIH-1.2病毒第二年的發(fā)作日,人們起早一上班便輕松的打開計算機準備工作�����,可是,打開一臺計算機后���,只看到屏幕一閃便就黑暗一片�����。再打開另外幾臺�,也同樣一閃后就再也啟動不起來了...���,計算機史上����,病毒造成的又一次巨大的浩劫發(fā)生了��。第二天早上���,上門請求恢復硬盤數(shù)據(jù)的用戶從江民公司的樓上一直排到了公司門前的馬路上���,江民公司全體員工連夜免費為用戶修復電腦硬盤數(shù)據(jù),整整忙了一個星期這種情況才有所緩解��。
談到造成那次計算機浩劫的主要原因,江民反病毒專家嚴紹文分析說�����,主要原因是人們沒有起碼的防范意識����。早在98年KV300+就可以清除CIH病毒,但那時許多人掉以輕心�,沒有及時定期地對計算機進行病毒掃描,還有一部分用戶沒有升級����,加上那時殺毒軟件盜版成風,種種原因聚集在一起�����,導致了99年CIH的大規(guī)模爆發(fā)�����。
對于CIH病毒�����,江民反病毒中心每年都會病毒發(fā)作情況監(jiān)控�,2006年以后,隨著使用以DOS為內核的WIN98和WIN ME操作系統(tǒng)的人越來越少��,CIH已經失去了發(fā)作的系統(tǒng)平臺���,江民反病毒中心連續(xù)幾年對CIH病毒發(fā)作情況進行了監(jiān)測�����,數(shù)據(jù)表明CIH已經開始退出病毒舞臺����。
“梅麗莎” 美麗殺手
1999年在西方國家大爆發(fā)的melissa又稱為“梅麗莎”或者美麗殺手���,是一種word97宏病毒���,專門針對微軟的電子郵件服務器ms exchange和電子郵件收發(fā)系統(tǒng)outlook。該病毒利用outlook全域地址表來獲取信箱地址信息�,并自動給表中前50個信箱發(fā)送電子郵件,并在其后附加一個被感染的文件list.doc,內含大量的色情網址�����。該病毒會在每臺被感染的電腦上重復這樣的動作,在短時間內形成連鎖反應�����,產生大量的電子郵件垃圾���,造成郵件服務器嚴重阻塞以至最后癱瘓��。用戶可以手工在注冊表中添加類似病毒感染的表項���,避免病毒的傳染,或者在發(fā)送電子郵件時不要啟動word文字處理系統(tǒng)��?��!懊符惿碑斈暝斐闪顺^8000萬美元的經濟損失�����。
“求職信” 不死毒王
求職信病毒(wantjob)始現(xiàn)于2001年8月�����,因為病毒中帶有特征字句“I want a good job,I must support my parents.(我必須找到一分工作來供養(yǎng)我的父母)”�,因此被稱之為“求職信”病毒?��!凹彝ァ敝械膸孜弧爸匾钡某蓡T,分別是:Worm.WantJob.61440���、Worm.WantJob.73744���、Worm.WantJob.81936、Win32.Foroux.A
這是一個高危險性的惡性郵件病毒���,因為病毒中帶有特征字句“I want a good job,I must support my parents.(我必須找到一分工作來供養(yǎng)我的父母)”���,因此被稱之為“求職信”病毒。它與Nimda病毒同樣利用了Iframe ExecCommand漏洞�����,使沒有打IE補丁的用戶收到郵件后會自動運行��,具有非常強的傳播性�。
“求職信”不僅具有尼姆達病毒自動發(fā)信、自動執(zhí)行�、感染局域網等破壞功能��,而且在感染計算機后還不停的查詢內存中的進程���、檢查是否有一些殺毒軟件存在。如果存在則將該殺毒軟件的進程終止�。每隔0.1秒就循環(huán)檢查進程一次,以至于這些殺毒軟件無法運行����。該病毒每過8小時就搜尋一切可寫的網絡資源(如局域網的完全共享目錄),隨機產生一個文件名���,加密后把復制過去����。因此感染性極強�。主要特點是通過電子郵件系統(tǒng)進行傳播,感染電腦之后能主動關閉許多殺毒軟件的運行�����,正是這一個特點使得它的傳播速度明顯快于其他病毒��,其次它還能感染通過在局域網與電腦相連接的共享驅動器���。
求職信病毒如果感染的是Windows NT/2000系統(tǒng)的計算機��,即把自己注冊為系統(tǒng)服務進程�,一般方法很難殺滅。它還不停地向外發(fā)送郵件���,把自己偽裝成”Htm、Doc����、Jpg、Bmp����、Xls、Cpp����、Html、Mpg�����、Mpeg“類型文件中的一種�,文件名也是隨機產生的�,很具隱蔽性�����。
該病毒將會自動搜索硬盤�,用內存中的隨機數(shù)據(jù)覆蓋硬盤上的所有文件,因此會給用戶數(shù)據(jù)帶來無法估量的損失�����。
求職信病毒后來也出現(xiàn)了大量的變種���,歷經數(shù)年而不衰�����,一段時間被稱為是“不死毒王”��,直到2005年以后,當木馬盜號病毒成為主流,求職信才很少再被提起過���。
SQL殺手 史上最短小、殺傷力最大的蠕蟲
2003年1月25日�����,江民快速反病毒應急處理中心成功截獲造成全球互聯(lián)網癱瘓的“SQL殺手”(worm.SQL.helkerm)蠕蟲病毒。這是一個病毒體極其短小,卻具有極強的傳播性病毒��,病毒只用376個字節(jié)的程序���,就使全球互聯(lián)網遭遇到重創(chuàng)����。病毒不破壞文件���、數(shù)據(jù),但是能消耗大量網絡帶寬資源����,使得網絡陷入癱瘓。
江民反病毒專家介紹���,此病毒是利用Microsoft SQL Server的漏洞進行傳播,由于Microsoft SQL Server在世界范圍內都很普及���,因此此次病毒攻擊導致全球范圍內的互聯(lián)網癱瘓,在中國80%以上網民受此次全球性病毒襲擊影響而不能上網���,很多企業(yè)的服務器被此病毒感染引起網絡癱瘓�����。而美國���、泰國���、日本、韓國����、馬來西亞、菲律賓和印度等國家的互聯(lián)網也受到嚴重影響���。這是繼紅色代碼�����、尼姆達�����,求職信病毒后又一起極速病毒傳播案例���。所以“SQL殺手”蠕蟲的出現(xiàn)���,應該成為一個傳奇……
“SQL殺手”病毒能夠大面積傳播的奧秘在于,病毒在入侵未受保護的機器后���,首先取得三個Win32 API地址���,GetTickCount、socket���、sendto���,接著病毒使用GetTickCount獲得一個隨機數(shù)�����,進入一個死循環(huán)繼續(xù)傳播���。在該循環(huán)中蠕蟲使用獲得的隨機數(shù)生成一個隨機的ip地址����,然后將自身代碼發(fā)送至1434端口(Microsoft SQL Server開放端口),該蠕蟲傳播速度極快���,它使用廣播數(shù)據(jù)包方式發(fā)送自身代碼��,每次均攻擊子網中所有255臺可能存在機器�,而受到感染的電腦又開始進行下一輪攻擊��,病毒以255的幾何級倍級傳播��,因此能夠在短短一小時左右迅速傳遍全球�����。
沖擊波
2003年8月12日�����,是繼1999年4月26后又一個讓電腦用戶難以忘記的日子�����。這天��,幾乎所有WIN2000以上操作系統(tǒng)的用戶一連上網就被提示系統(tǒng)將要在一分鐘內重啟���,局域網用戶的電腦也出現(xiàn)同樣癥狀����。截止到今年4月份,據(jù)微軟統(tǒng)計�,這個被命名為“沖擊波”的病毒已經感染了近千萬臺電腦。沖擊波利用微軟操作系統(tǒng)RPC漏洞傳播����,掃描TCP端口,對所有存在漏洞的機器發(fā)送攻擊代碼��,病毒無需進入硬盤�,在內存中即可導致被掃描到的機器頻繁重啟。
一時間����,沖擊波病毒在全球范圍內的泛濫不可遏止,全國上百萬臺計算機���、上千個局域網被感染,并以極快的速度傳播�����。
“這次大規(guī)模蠕蟲病毒的爆發(fā)可以說是2-3年以來國內反應最為強烈的一次”,江民科技董事長王江民在接受新浪科技獨家采訪時表示��,“從江民目前的統(tǒng)計來看�����,本次遭受攻擊的電腦系統(tǒng)主要集中在Windows XP及Windows 2000上��,大概占到60-70%的比例��,另外少量Windows Me及98系統(tǒng)也遭到了不同程度的攻擊”���。
12日上午�����,江民公司率先在國內提交了該病毒的解決方案并及時升級了病毒庫��,同時向國家公安部等相關部門提交了病毒樣本�����。
據(jù)江民公司的技術人員介紹��,沖擊波病毒是一種蠕蟲病毒�,其樣本大小為6176字節(jié),感染的操作系統(tǒng)為Windows2000和XP及2003操作系統(tǒng)��,病毒會下載并運行病毒文件Msblast.exe����,最終將會導致機器停止響應。
王江民認為���,蠕蟲病毒將是互聯(lián)網時期最為肆虐的電腦病毒��,而在今后的時間內�����,可能還會不同程度的爆發(fā)�����。對于本次沖擊波病毒��,王江民表示����,相比之前的CIH病毒����,這個病毒的傳播能力頗強,就象它自身的名字一樣���,基本是按指數(shù)上升的��。
隨著互聯(lián)網信息時代的到來���,網絡安全已經成為企業(yè)和個人不得不面臨的問題,“準確的說�,根本沒有所謂永久性的安全防護措施,對用戶而言�,提高防護意識可能更重要!”
震蕩波 不平常的五一
2004年5月1日�,人們正沉浸在五一長假的快樂當中,震蕩波病毒開始發(fā)難����,其攻擊手段與沖擊波如出一轍,仍然是利用微軟操作系統(tǒng)漏洞以及開放的端口從內存到內存對連在網上的電腦進行攻擊的���,一時�����,反病毒公司的熱線電腦響聲四起��,反映自己奔四電腦比586還慢�����,上不了網�����、頻繁重啟的求助電話一個接著一個����,“震蕩波”病毒在短短12天時間內,即接連出現(xiàn)6個變種�,感染了全球約1800萬臺電腦,損失高達5億美元�����。
4月13日到4月29日�����,江民反病毒專家們剛剛截獲并消滅了專偷網上銀行資金的病毒“網銀大盜”病毒,5月1日�,國家計算機病毒應急中心發(fā)現(xiàn),一種利用微軟操作系統(tǒng)漏洞的蠕蟲病毒正在對互聯(lián)網發(fā)起攻擊�,并陸續(xù)接到江蘇���、寧夏��、北京����、黑龍江�、遼寧和廣東等地區(qū)用戶報告。憑著與計算機病毒多年的實戰(zhàn)經驗���,專家們認為這個病毒潛在的危害巨大�,病毒利用的是Windows LSASS的一個已知漏洞(MS04-011)�����,被攻擊的計算機會出現(xiàn)系統(tǒng)頻繁重啟的現(xiàn)象�����,與去年大面積爆發(fā)的沖擊波病毒危害十分相似。反病毒專家們擔心的是����,雖然去年4月份微軟就發(fā)布了這個漏洞補丁,但我國仍有相當部分用戶沒有打上這個漏洞補丁�。
當日,國家計算機病毒應急處理中心緊急與以江民為首的我國反病毒通道廠商聯(lián)系�����,要求反病毒廠商緊急升級殺毒軟件病毒庫��。江民國內率先響應了國家應急中心的指示����,以最快速度升級了KV系列殺毒軟件病毒庫,并在江民反病毒資訊網發(fā)布了病毒技術分析報告以及相關解決方案��。
網銀大盜 網上銀行大劫難
2003年4月21日���,一條平時不為人關注的計算機病毒新聞登上了京城各大報刊的頭版�����,江民反病毒專家發(fā)布消息稱����,他們截獲一種專門盜取某網上銀行用戶名和密碼的木馬病毒,這種病毒會在用戶計算機中創(chuàng)建可執(zhí)行文件與掛鉤和發(fā)信模塊文件�����,并修改注冊表����,病毒在系統(tǒng)啟動時即可運行�����。病毒主程序開啟2個計時器�,計時器1每隔3秒鐘檢查是否有常用反病毒和防火墻軟件運行,一旦發(fā)現(xiàn)則立即終止這些進程����,同時還自動回寫病毒注冊表項和病毒文件。計時器2每隔0.5秒搜索用戶的IE窗口���,如果發(fā)現(xiàn)用戶正在"某網上銀行"的登錄界面����,則嘗試竊取注冊卡號和密碼。一旦成功�����,就把竊取到的信息保存到共享內存中����,電腦與網絡再次連通后,木馬就會把共享內存中保存的用戶賬號和密碼通過電子郵件發(fā)送給病毒作者�。
“網銀大盜”系一種間諜軟件,屬于木馬類病毒��,該病毒利用某網上銀行系統(tǒng)漏洞����,偷取網上銀行用戶銀行卡號和密碼,并自動發(fā)送給病毒作者���。截止犯罪嫌疑人被捕時�,該犯罪團伙已成功竊取資金4.8萬元 ����。在江民及某網上銀行技術人員的努力下,該病毒于4月中旬即被查殺���,某網上銀行也已經進行了緊急技術升級�����,堵上了這個漏洞�,避免了一場即將發(fā)生的網上銀行浩劫,保護了某網上銀行用戶上千億萬資金安全�����。
證券大盜
2004年11月25日��,江民反病毒中心截獲“證券大盜”木馬病毒(Trojan/PSW.Soufan)���。該木馬可以盜取多家證券交易系統(tǒng)的交易賬號和密碼,被盜號的股民帳戶存在被人惡意操縱的可能�����。
據(jù)江民反病毒專家介紹���,病毒運行后�����,自動監(jiān)控一些特定的金融證券網站頁面�����,當病毒監(jiān)測到包含多家券商名稱的網站標題窗口時���,就開始使用鍵盤鉤子程序自動記錄用戶登陸信息���,包括用戶名和密碼,同時�����,病毒還通過屏幕快照將用戶登陸時窗口畫面保存為圖片�����,在記錄達到一定次數(shù)后����,將記錄的信息和圖片通過電子郵件發(fā)送給病毒作者。
江民反病毒專家何公道認為��,該病毒可能造成的危害在于����,黑客可以惡意操縱被盜的股票�,將某高價股票高買低賣�,然后使用自己的賬戶將同一股票低買高賣,賺取中間的差價���,給被盜股民帶來巨大的損失�����。更為狡猾的是���,“證券大盜”病毒每次運行后即“自殺”,并刪除自身在系統(tǒng)中留下的文件����,達到消毀“罪證”的目的����,“作案”手段十分隱蔽。
令人吃驚的是��,2006年5月14日���,新華社報道�����,據(jù)公安部門偵察���,截止到犯罪嫌疑人被捕時�,證券大盜病毒作者已利用“證券大盜”病毒程序�����,在不到2個月時間里�,截獲股民股票賬戶、密碼���,盜買����、盜賣股票價值1141.17萬元����,非法獲利38.6萬元。5月9日下午,南昌市中級人民法院一審以盜竊罪判處主犯張勇無期徒刑�����,從犯王浩����、鄒亮分別被判13年和12年有期徒刑。證券大盜給人們留下深深的思考�!
敲詐者
2006年6月11日,國內首例旨在敲詐被感染用戶錢財?shù)哪抉R病毒被江民公司反病毒中心率先截獲���。該病毒名為“敲詐者”(Trojan/Agent.bq)����,病毒可惡意隱藏用戶文檔����,并借修復數(shù)據(jù)之名向用戶索取錢財。 “敲詐者”給中毒的電腦用戶帶來了巨大麻煩�����。山東某公司財務部電腦感染了“敲詐者”�����,導致財務報表莫名失蹤���,用戶不得已緊急飛往北京尋求數(shù)據(jù)恢復�����。廣州某從事鞋業(yè)國際貿易的網友因感染該病毒��,導致一筆巨額外貿訂單丟失�����,白白損失數(shù)十萬元����。而唐山某銀行的用戶也因為感染了敲詐者�,導致單位工資報表被隱藏,一時難以恢復�����?���!扒迷p者”病毒可謂作惡多端����,一時網上人人喊打�����,被病毒侵害丟失巨額外貿訂單的網友“大叔”甚至極端地在網上發(fā)帖��,稱要懸賞十萬嚴懲名為“歐陽俊曦”的病毒作者���。
據(jù)國內率先截獲“敲詐者”病毒的江民科技反病毒工程師介紹��,僅江民反病毒中心已接到110余例用戶中毒求助報告��,而全國估計至少有數(shù)千人感染該病毒�����,目前該反病毒中心已截獲該病毒的7個變種��。新華社6月19日報道�,經過病毒留下的線索和技術分析�,江民反病毒工程師鎖定了一網名為“俊曦”的人�,懷疑此人即為“敲詐者”病毒的作者��。據(jù)“俊曦”在MSN上留言���,他傳播病毒不過是為了“買點面包充饑”?����!翱£亍弊苑Q是有著二十年編程經驗的程序員�����,以前沉溺于技術賺錢不多得不到周圍人承認��,現(xiàn)在感覺“經常用左腿走路累���,突然換右腳感覺快多了”��,暗示編寫程序不如編寫病毒賺錢�����。他還透露將掀起“更大的風暴”�。 另據(jù)介紹,病毒作者還透露“敲詐者”病毒是2006年6月6日制作完成并傳播的��,而這一天恰好是西方國家的魔鬼日����,病毒作者對此頗為自得,自稱事前并無預謀���,如此巧合“似有神助”�����。
“敲詐者”病毒案例引起了公安部及廣東省公安廳領導的高度重視�,廣州警方成立了專案組��,迅速鎖定了病毒制造者歐陽某����,并于7月3日晚9時許,在廣州白云區(qū)某小區(qū)內將犯罪嫌疑人抓獲�����,當場查獲作案工具計算機2臺以及手機卡和銀行卡一批�。從案發(fā)到偵破僅用了19天時間��。
熊貓燒香
2006與2007年歲交替之際��,一名為“熊貓燒香”的計算機病毒在互聯(lián)網上掀起軒然大波�����。從去年12月首次出現(xiàn)至今,短短一個多月����,病毒已迅速在全國蔓延,受害用戶至少上百萬����,計算機反病毒公司的熱線電話關于該病毒的咨詢和求助一直不斷,互聯(lián)網上到處是受害者無奈的求助���、怨恨��、咒罵���,電腦里到處是熊貓燒香的圖標,重要文件被破壞�,局域網徹底癱瘓�����,病毒造成的損失無法估量����。
1月18日����,國內最大的計算機反病毒廠商江民科技監(jiān)測到,“威金”病毒新變種“熊貓燒香”仍在瘋狂傳播����,上演著最后的瘋狂。江民科技監(jiān)測發(fā)現(xiàn)����,近階段該病毒的傳播手段更是無所不用其及,繼一些IT專業(yè)門戶及資訊網站成為病毒幫兇后���,一家普及率非常高的影音播放軟件網站也感染了該病毒���,用戶點擊網頁即可中毒?���!靶茇垷恪辈坏梢越K止大量的殺毒軟件和防火墻程序�����,而且還禁止用戶使用GHOST恢復系統(tǒng)�,通過U盤�����、共享文件夾��、系統(tǒng)默認共享��、IE漏洞���、QQ漏洞、系統(tǒng)弱口令等等多種途徑傳播��,局域網中一臺機器感染�����,可以瞬間傳遍整個網絡����。
江民反病毒專家介紹��,導致病毒快速傳播目前存在三大原因���。一個大量的企業(yè)用戶使用國外殺毒軟件,而國外殺毒軟件對于此類國產病毒響應速度特別慢���。二是一部分網站編輯或網站管理人員本身機器感染了病毒�����,由于病毒能夠修改HTML文件����,當他們把受感染文件上傳到服務器后����,訪問者點擊此類受感染網頁即中毒。三是病毒綜合利用了多種漏洞和傳播途徑����,如利用微軟MS06-014漏洞感染HTML文件,通過QQ最新漏洞傳播自身,通過網絡文件共享����、默認共享、系統(tǒng)弱口令����、U盤及移動硬盤等多種途徑傳播。
磁碟機
近日���,越來越多的企業(yè)用戶向江民反病毒中心求助����,稱他們的企業(yè)網絡正在遭受病毒侵襲��,電腦運行緩慢����,出現(xiàn)系統(tǒng)藍屏����、死機等現(xiàn)象,可執(zhí)行文件被病毒感染���,整個網絡安全面臨嚴重的病毒威脅��。
江民反病毒工程師經提取病毒樣本分析后認為��,多數(shù)企業(yè)都遭受了同一病毒“千足蟲”(又名磁碟機)病毒侵害��。千足蟲(磁碟機)早在去年就被江民反病毒中心截獲�,近期頻繁變種,大有卷土重來之勢����。“磁碟機”病毒能夠利用多種手段終止殺毒軟件運行����,并可導致被感染計算機系統(tǒng)出現(xiàn)藍屏、死機等現(xiàn)象�����,嚴重危害被感染計算機的系統(tǒng)和數(shù)據(jù)安全��。與其它關閉殺毒軟件的病毒不同的是��,該病毒利用了多達六種強制關閉殺毒軟件和干擾用戶查殺的反攻手段�����,許多自身保護能力不夠強壯的殺毒軟件在病毒面前紛紛被折。
江民反毒專家何公道認為����,磁碟機病毒是近幾年以來發(fā)現(xiàn)的病毒技術含量最高、破壞性最強的病毒�,其破壞能力、自我保護和反殺毒軟件能力均十倍于“熊貓燒香”��。磁碟機病毒的發(fā)作標志著計算機病毒進入了驅動病毒時代�����。
計算機病毒從2006年開始�,又有了重大的發(fā)展。病毒的目標已經從以前的炫耀技術徹底轉向經濟利益�,網絡上流行的病毒大都是盜號竊密的木馬病毒,而病毒技術也日新月異��,病毒通過Rootkit技術和映象劫持技術隱藏自身的進程�、注冊表鍵值�����,通過插入進程、線程避免被殺毒軟件查殺�,通過實時監(jiān)測對自身進程進行回寫,避免被殺毒軟件查殺���,通過還原系統(tǒng)SSDT HOOK和還原其它內核HOOK技術破壞反病毒軟件�����,其中僅映象劫持技術就包括“進程映像劫持”�、“磁盤映像劫持”����、“域名映像劫持”、“系統(tǒng)DLL動態(tài)連接庫映像劫持”等多種方式�����。目前幾乎所有的盜取網絡游戲賬號的木馬病毒都具備了以上一種以上的技術特征���,幾乎所有最新的程序應用技術都被病毒一一應用��,電腦一旦感染病毒����,普通用戶根本無能力徹底清除,只能求助專業(yè)技術人員�����。未來的計算機病毒將綜合利用以上新技術�,使得殺毒軟件查殺難度更大。
伴隨著互聯(lián)網的高速發(fā)展����,病毒也進入了愈加猖狂和泛濫的新階段,并呈現(xiàn)出了以下幾個特征:
1�����、病毒的種類和數(shù)量在迅速增長:
江民公司2008年1月2日發(fā)布的《2007年度病毒疫情報告》中顯示表明:截止到2007年底�,江民反病毒中心共截獲新病毒總數(shù)為36萬3000余種,較06年增長501%��。截止到2007年12月份�,病毒累計感染計算機 3441萬4793 臺,其中78%以上的病毒為木馬�、后門。而僅2008年上半年�,江民反病毒中心共截獲新病毒206439種,1至6月全國共有9871681臺計算機感染了病毒�����。目前江民反病毒中心日處理病毒數(shù)量達到最高達到上萬種。
2���、傳播手段越來越廣泛:
木馬���、病毒通過移動存儲設備、網頁掛馬��、網址欺騙�、視頻文件傳播、部分知名軟件的漏洞等進行瘋狂傳播�。
3、病毒的技術水平越來越高:
病毒制造者不斷更新著病毒的制造技術��,不斷推出病毒的新變種�����,利用新的技術手段隱藏自身進程���,通過加殼和免殺技術終止殺毒軟件的運行�,逃避殺毒軟件對于病毒的查殺����,達到傳播有害程序���、破壞數(shù)據(jù)文件、非法竊取利益的目的��。更值得關注的是��,進入2008年以來���,大部分主流病毒技術都進入了驅動級�,開始與殺毒軟件爭搶系統(tǒng)驅動的控制權��,從而控制殺毒軟件�,致使殺毒軟件功能失效。
4��、病毒的危害越來越大:
更多的木馬和病毒破壞電腦系統(tǒng)�����、造成死機���、藍屏����、數(shù)據(jù)丟失���、竊取用戶賬號密碼等�,給用戶造成巨大的損失和破壞����。熊貓燒香、機器狗�����、ARP病毒���、磁碟機這些病毒迅速在互聯(lián)網上瘋狂傳播����,被感染的計算機數(shù)量急速增長�����,嚴重影響著個人用戶和企業(yè)用戶的信息安全���。
二十年來�,從DOS病毒到WINDOWS病毒,從單臺電腦之間傳播到到網絡傳播����,轉播載體從軟盤到光盤再到現(xiàn)在的移動存儲,反病毒與病毒的較量從來沒有停止過����,江民反病毒專家們隨時都處于備戰(zhàn)狀態(tài)。反病毒在明處���,病毒在暗處���,沒有人可以預知下一個病毒會在什么時候出現(xiàn),而反病毒工作者的責職及使命所在就是:消滅每一個病毒在萌芽狀態(tài)���,防止其進一步的傳播和爆發(fā)���,讓更多的電腦用戶能夠安全、愉快地使用互聯(lián)網���。
|
