首 页 要闻 发展观察 新闻跟踪 经济发展 减贫救灾 社会发展 全球招标投标 商务资讯 观察思考 发展报告 数字报告 白皮书 中国之窗 世行在中国
专家专栏 政策解读 宏观经济 区域发展
行业动向
行业规划 金融证券
金融法规
贸易发展 工程项目 企业发展
国情公报 经济数据 经济名词 采购商
发展要闻  -外交部:希望美方在台海慎重行事 就渔船遭越南船只抢劫提出交涉 -全国多个地区牛奶涨价 最高涨36% -华尔街逼宫逼出中国央行上调准备金 仍有较大上调空间 股市表现 -首批券商年报亮相 8公司盈利增543% 增幅比较 中石油再破30元 -铁矿石价格谈判陷入僵局 宝钢否认谈判破裂 力拓称双方分歧较大 -北京地区奥运火炬以“和”字为创意进行传递 形象景观发布(图) -建设部:将出台政策严惩哄抬房价 中大恒基原老总被捕高管被抓 -今年春运高峰为1月30日和2月5日 临客名单 机票年前基本全价 -国外网游企业如恶意挑衅 产品将被禁入 国产网游占据2/3市场 -央企高管薪酬:国资委给幅度 企业自定 东航之争垄断问题惹关注
07年中国电脑病毒疫情及互联网安全报告(全文)
中国发展门户网 www.chinagate.com.cn  2008 年 01 月 18 日 
字号:    打印本文章 写信给编辑

二、2007年计算机病毒/木马的特点分析

    1、病毒“工业化”入侵凸显病毒经济

    病毒/木马背后所带来的巨大的经济利益催生了病毒“工业化”入侵的进程。2007年上半年,金山对外发布了病毒木马产业链的攻击特征,在此阶段,病毒木马的攻击通常是针对单个计算机的攻击行为。攻击的手法,一般利用社会工程欺骗的方式,发送经过伪装的木马以及通过网页挂马构造大面积的陷阱。这种攻击需要受害者“配合”,比如需要用户去浏览相应网页或接收和执行相应的程序。

    2007年下半年,一种新的病毒木马攻击手法被广泛利用。攻击过程完全由攻击者一方发起,而且能够获得很高的成功率。他们利用扫描器发现开放端口的联网主机,再使用一种被称为“种植者”的黑客工具,攻击存在这种漏洞的计算机,直接获取远程计算机的管理权限,命令远程主机下载并执行恶意程序。

    然而,还不仅仅如此,一种“工业化”的入侵手段已经在黑客圈广为流传。攻击者把上面那些攻击流程完全自动化,扫描端口、远程入侵、下载木马完全自动化,抓取肉鸡效率仅取决于用于发起攻击的计算机性能和网络带宽。(图5)

  金山07安全报告:“工业化”入侵拉动病毒经济

    对于攻击者来说,在互联网寻找目标并非难事——很容易找到没有采取任何保护措施的盗版XP系统,大量只关心使用不关心安全的电脑使用者。对于这样的系统,需要安装网络防火墙来应对“工业化”的病毒攻击,比如安装金山网镖,可以防止本机被远程攻击成功。这里需要指出的是,windows防火墙的缺省设置对此类攻击完全没有抵抗能力。用户可以按照金山清理专家打分系统的指导,修补系统漏洞,提升电脑系统的安全性。

    2、电脑病毒/木马传播的WEB2.0化

    Web2.0给网民带来全新的上网体验,web2.0的内容源不再由少数专业人士发布,任何人都可以成为内容源的发布者,这为那些别有用心的攻击者提供了更多的机会——各种恶意代码以热门事件为幌子被传输到网络上等待被下载。众多BLOG、论坛、社区、视频网站成为病毒泛滥和传播的温床。

    Web2.0程序本身存在的威胁也是新的安全课题,安全厂商注意到myspace蠕虫和百度空间蠕虫是新蠕虫的代表。跨站点脚本攻击,变得越来越普及,因为黑客们已经发现了这类攻击的作用和好处。攻击者可以在用户毫不知情的情况下造成许多危害,其中包括强迫PC下载非法内容、侵入其他Web站点或发送电子邮件等。利用AJAX,在后台无声无息地传递数据,很难被发现,为AJAX蠕虫隐身传播带来了绝佳的便利!其中百度空间蠕虫源码已经公布。

    对于普通的电脑用户来说,根本无法从众多内容源中区分威胁。金山毒霸2008和金山清理专家的网页防挂马组件,可成功拦截后台“非法”的下载行为,减少用户因浏览网页而感染病毒的机会。

    3、黑客技术与病毒技术的广泛协作

    2007年ARP病毒广为人知,其实在更早的时候,ARP攻击行为已经令企业网管头疼不已。比较常见的是部分“传奇盗号木马”,当局域网中某台计算机中了这个木马,会向局域网发送大量ARP数据包,该木马对局域网的影响超出了盗号造成的破坏,表现为网络通信时断时通,网速变慢。07年的ARP欺骗,已经不再局限于此,通过劫持网络会话,可以在正常计算机上网时,插入特定恶意代码,强令未中毒的正常计算机浏览指定网站或下载病毒木马。

    更为严重的是,这种攻击行为已经扩散到从客户端到内容源服务器之间的所有环节。攻击者利用黑客技术入侵广域网路由,导致某地区所有计算机访问网站时下载木马或强行弹出广告。攻击者还会攻击内容源服务器所在的局域网,当黑客成功入侵内容源服务器所在网段的某台主机后,再利用ARP欺骗劫持会话,造成所有访问该内容源的客户机下载病毒木马或者弹出广告。(图6)

  金山07安全报告:“工业化”入侵拉动病毒经济

    ARP攻击利用的是网络传输协议的漏洞,只有修改网络协议才能从根本上解决这一问题,目前情况下只能做到缓解,其中很多工作要靠网管员来解决。普通用户能做的,是利用现有工具尽可能保护自身不被攻击,或者自己不要感染了ARP病毒去攻击其它计算机。金山ARP防火墙提供了简单的解决方案,可在一定程度上应对ARP攻击的挑战。(图7)

  金山07安全报告:“工业化”入侵拉动病毒经济

    4、病毒入侵“流程化”

    2007年,病毒攻击手段的流程化迹象日益突出。大量病毒进入用户电脑后首先终止杀毒软件的进程,导致用户电脑失去任何安全屏障;接下来,病毒将肆无忌惮地下载大量盗号类木马到用户电脑内;最后驻留在用户电脑内的盗号木马伺机作案,盗取用户的网银、网游帐号密码以及其他个人机密文件。

    以AV终结者为例,该病毒进入用户电脑后,开机时可自动加载,并“绑架”安全软件,令大量杀毒软件、系统管理工具、反间谍软件不能正常启动。同时监视活动窗口的关键字,发现带“杀毒”等字样的,就立即关闭窗口。在用户对其束手无策的情况下,AV终结者疯狂下载木马、后门程序,进而窃取用户相关资料和帐号信息。

    5、病毒传播突显“长尾”理论

  金山07安全报告:“工业化”入侵拉动病毒经济

    在2007年度的10大病毒中,几乎无一例外,具有变种多的特征。很多人以为AV终结者是一个病毒,实际上是一大批具备相似现象的病毒集合。下半年很多用户知道Auto病毒,不少人认为这是一种病毒,而事实上,利用U盘的自动运行功能传播的病毒成百上千,这些病毒还具备Av终结者的特征。

    AV终结者、Auto病毒、木马下载器泛滥,和一两年前相比,病毒传播的趋势发生了巨变。现在的情况是,每个盗号团伙释放的木马,只影响或入侵部分网络,而不象以前那样尝试入侵所有的网络终端。因为是人为释放的结果,盗号团伙可以很容易的控制木马更新版本,以逃避查杀。位于这个“长尾”下被入侵的计算机总数相当庞大。

    这种状态下,对杀毒软件的挑战是越来越多的病毒木马难以被监测网捕获,或者在捕获这些木马前,这些木马有着较长的生存时间。杀毒软件更快更准的捕获这些病毒,将会给用户提供更多的安全。到目前为止,杀毒厂商和制毒贩毒者之间猫捉老鼠的游戏,还远未终结。

    如何打破病毒和杀毒的僵局,金山毒霸的研发人员在探索全新的反病毒方法。首先使用网络爬虫技术,自动收集互联网出现的二进制程序;其次,在金山毒霸2008中,独有的三维互联网防御体系,通过行为拦截技术,发现并上报危险程序;通过自动化分析与人工分析相结合,对收集上来的程序进行快速甄别。利用该技术,缩短了金山毒霸对病毒、木马的响应时间。

    6、病毒传播方式多样化 相互模仿严重

    病毒/木马制作模仿现象严重,一些病毒制作者将现有的病毒制作技术进行重新的搭配,使其获得更大的危害程度。2007年公布的10大病毒中,“灰鸽子”对应“网络红娘”,“熊猫烧香”对应“瓢虫”,他们只是在出现的时间不同,其传播和危害的方法都如出一辙。

    互联网的高速发展带来病毒制作技术的不断翻新,但制作创意更易被病毒作者所接受。在熊猫烧香出现时间和瓢虫病毒出现时间之间,也同样出现了很多相似的病毒,如:“神奇小子”,这说明“熊猫烧香”的病毒制作创意受到了病毒作者的追捧,到年底“瓢虫”这一“改良”后的“熊猫烧香”差一点就成为毒王。

    近年来病毒/木马泛滥的主要原因是制作门槛的降低,许多的黑客网站提供了相应的教学方法,让VXer(病毒作者的简称)大量出现,而今年这种通过创意模仿并改进的病毒的增多更加成为一个较鲜明的特点。相比病毒/木马的传播和破坏在技术上的改进,制作病毒的“创意”可能会成为病毒/木马界新焦点。

    除了上述六大特点外,2007年,各类病毒百花齐放,以各种传播方式不断进攻互联网,其中三大类病毒的数量明显增多:

    1、对抗杀毒软件和破坏系统安全设置的病毒明显增多

    对抗杀毒软件和破坏系统安全设置的病毒以前也有,但07年从AV终结者病毒爆发之后,此类病毒便频繁出现。主要是由于大部分杀毒软件加大了查杀病毒的力度,使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样,如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。

    2、利用可移动磁盘传播的病毒明显增多

    随着可移动磁盘技术的不断发展,以及可移动磁盘价格下降,拥有可移动磁盘的用户也大量增加,病毒也开始趁机作乱,除了蠕虫,普通的木马很多也会通过可移动磁盘进行传播,主要方式是复制一个病毒体和一个Autorun.inf文件到各盘。如果用户插入可移动磁盘,可移动磁盘将会被感染,然后当可移动磁盘插入另一台机器,Autorun.inf发生作用,启动病毒感染计算机。

    3、感染型病毒持续增多

    感染型病毒曾经是Dos时代病毒的特点,进入windows之后,感染型病毒的量下降很多。但随着2006年的维金和2007年初的熊猫烧香病毒“风靡”全国之后,从金山毒霸病毒监测系统显示,感染型病毒不断增多,除了传统的感染方式,还新增了如瓢虫、小浩等覆盖式感染,这种不负责任的感染方式将导致中毒用户机器上的被感染文件无法修复,带来毁灭性的损坏。因此建议用户使用正版杀毒软件,并开启实时监控,能够在病毒运行起来之前将其查杀。

来源: 中华网
   上一页   1   2   3   下一页  



相关文章:
“证券大盗”电脑病毒十一期间有可能发作
MSN病毒新变种隐蔽发展 "肉鸡"构建僵尸网络
"爱国病毒"与"谢谢中国" 哪个更"可怕"?
计算机病毒:近期需严防专"窃密病毒"
中国计算机病毒应急中心发现利用MSN传播的新病毒
破坏数百万台电脑 熊猫烧香病毒制造者被起诉
"中国制造"病毒跃居全球第一 比去年同期增加11.9%
图片新闻:
07年12月大中城市房屋销售价涨10.5% 北京涨17.5%居前(附表)
过早泄漏消息海外集体涨价 中国07年计划外成品油进口亏4亿
更多 >>

观察与思考
2008年公务员考试资讯大全/ 考研资讯大全
· 企业所得税内外合一
· 08年经济金融行业形势分析预测
更多>>
中国发展报告
中国外商投资报告/ 国民经济与社会发展公报/ 07年上半年各省市GDP
· 中国环境统计数据大全(中英文版)
· 中国企业国际化战略报告2007蓝皮书
更多>>