江民发布年度病毒疫情报告 病毒“以胖为美”

2011年1月28日,国内领先的计算机反病毒厂商江民科技发布2010年度病毒疫情报告。2010年度,计算机病毒呈现七大流行趋势,其中,为了对抗"云安全"反病毒技术,许多病毒开始纷纷给自身"增肥",把病毒文件增大至几十上百兆,以逃避杀毒软件"云查杀"技术。

江民科技2010年度网络安全报告显示,2010年度,计算机病毒呈现如下七大流行趋势。

一、流行木马的技术蜕变

除了频繁变种,最高时达到每天出现一百多个变种之外,一些游戏盗号木马开始在技术上寻找突破。2010年,盗号木马开始采用一种更加隐蔽也更加保全的做法:篡改一些游戏运行时必须加载的系统DLL文件来实现自身的启动。这一做法源于Windows程序加载文件的机制不合理问题,即不去验证加载的程序是否合法,而仅仅按照一定的路径优先级顺序寻找、加载文件名匹配的文件。盗号木马的母程序通常会篡改系统DLL中的指定函数,或直接在DLL中加入新的节,之后修改入口代码,从而实现指定恶意代码的运行。如此一来,即实现了隐秘的自启动,又不会影响正常的系统功能,可谓"一举多得"。受此类盗号木马青睐的系统DLL文件包括"imm32.dll"、"d3d8.dll"、"dsound.dll"、"ksuser.dll"、"comres.dll"等。

二、"刻毒虫"变种久盛不衰

"刻毒虫"变种家族在今年也一直保持着流行状态。该蠕虫自2008年底开始流行,至今仍旧活跃在各个阶段的统计数据当中,甚至其个别变种的传播势头丝毫不逊于新病毒。至今为止,该家族已产生近千个变种,是2003年以来感染面积最大的蠕虫病毒。"刻毒虫"变种会通过MS08-067漏洞在局域网内进行主动传播,如果网内存在未安装相关系统补丁的联网计算机则会立即中招。另外,其还可以通过U盘等移动存储设备进行传播,如果用户在使用此类设备前没有经过查毒操作或习惯于通过双击方式打开的话,便会增加感染的风险。正是由于"刻毒虫"充分地利用了多种传播方式,从而为其大面积、持久的流行带来了可能。

三、IE桌面快捷方式遭遇真假李逵

IE浏览器是上网冲浪不可或缺的组成部分,它是用户进入互联网的接口,是丰富内容得以展现的平台。首页是用户开启IE之后最先获取到的内容,其可能对用户后续的上网行为产生不同程度的影响。在互联网经济越发火热的今天,其更是成为了相关利益群体的必争之地。特别是对于那些依靠流量、推广而生存的小型站点而言,如何牢牢地控制住IE首页更是事关自身存亡的头等大事。于是,IE首页绑架便出现在了网民的生活中。

早先绑架IE首页多是通过修改系统相关注册表项来实现。这一方法最早可以追溯到上个世纪,其实现方法已经不再是个秘密。大多数具有注册表监控的软件可以很好的对其进行监控和防御,因此不法之徒也便不再利用。

后来不法分子们开始隐藏桌面上的IE浏览器图标,并且释放假冒的IE浏览器快捷方式。由于两者看上去极为相似,最开始不容易引起用户的怀疑。不过由于其打开IE后会自动访问某些站点,而用户又没有发现注册表相关键值被篡改,因此很容易联想到是IE快捷方式存在问题。这类伪造的IE快捷方式具有".lnk"扩展名,同时其右键菜单内容也不同于正常快捷方式,因此很快便露出了马脚。随之,这种方式的有效性也便失去了。

之后,又一种更加顽固的伪造IE快捷方式的方法出现。不法分子会在注册表Namespace项下添加相关键值,以此仿冒出不可通过右键菜单进行删除的IE快捷方式。由于其不具有扩展名,同时右键菜单内容也可以仿冒正常的IE快捷方式,从而更加具有迷惑性。这类快捷方式由于不便删除,因此表现得较为顽固。但是众多安全软件厂商都推出了自己的清理工具,从而再次切断了不法分子的生财之道。

四、脚本病毒强大多变

Windows系统强大的功能,使得脚本多样的应用成为可能。同时,由于脚本语言灵活的表述方式,使得加密变形也显得十分容易。不法分子正是看到了这些,才不断疯狂地利用脚本病毒进行经济利益的牟取,方法也可谓无所不用其极。

6月份江民科技曾捕获到一个脚本病毒。该病毒会将"开始"菜单下所有应用程序、系统功能的快捷方式篡改为随机扩展名的恶意脚本文件,由于其图标仍旧保持原来的样式,因此十分具有迷惑性。这些伪装成快捷方式的恶意脚本在运行后,会首先判断所运行的进程是否为几款常见的网页浏览器。如果是,则会在进程名之后添加骇客指定的URL并且调用运行,从而以此种方式实现首页的绑架。由于该病毒会在注册表中生成大量随机名称的项目,因此会给手动清除工作造成很大的不便。另外,由于桌面和开始菜单下的所有快捷方式都无一例外的被篡改,病毒清除后需要进行的恢复工作也较为繁杂,否则仍会对用户的电脑操作造成干扰。该类病毒由于变种繁多,导致一些清理软件并不能完全的将被篡改的快捷方式彻底恢复。如果用户不慎点击了残留的恶意快捷方式,仍旧会激活藏身于系统文件夹中的母病毒,致使不断的被重复感染,令用户难以摆脱侵害。

五、恶意快捷方式成为病毒启动之匙

2010年7月中旬,微软发布安全公告称其在Windows Shell中发现了一个可以导致远程代码执行的漏洞。利用此漏洞十分容易,只需要精心构造一个指向恶意程序的快捷方式,并且将其与恶意程序放置在同一目录下即可。当被感染系统用户使用Windows资源管理器浏览包含该快捷方式的目录时,便会自动触发该漏洞并导致恶意程序的运行。微软对这个漏洞发布预警的时间是7月16日,仅仅过了一周的时间,利用该漏洞的恶意程序便被应用在实际的攻击当中。

2010年9月,一个名为"超级工厂"的蠕虫病毒借用包括此漏洞在内的多个系统漏洞秘密潜入我国,并迅速引起国家相关部门以及各大反病毒厂商的警惕。该病毒之所以会造成如此大的反响,是因为其会对指定的工业控制软件进行感染,以此实现对工业生产过程的控制和破坏,从而造成严重的干扰和影响。据说该病毒曾成功地破坏某国的铀浓缩设备。在相关部门的努力以及各大厂商的配合之下,该病毒并未在我国大面积的流行。但由此可见各种系统漏洞足以成为病毒在世界各地恣意漫游的"通行证",足以成为唤醒病毒的"还魂草"。

六、网购木马初露端倪

网络购物的兴起,为广大网民带来便捷和实惠的同时,也让无孔不入的不法分子嗅到了其中的机会。相比较之前依靠盗取游戏、即时通讯软件账号等以"量"取胜,且日渐颓靡的牟利方式而言,网络购物这块更为诱人的蛋糕显然更能吸引他们的注意力。据江民反病毒中心的统计数据显示,2010年全年新增网银木马近400个,较2009年上升了约6%。仍处于活跃状态的网银木马近600个,较2009年增长了约一倍。

七、病毒以"胖"为"美"

通常情况下,病毒文件的体积都比较小巧,这样不仅体现了病毒作者在编程方面的功力,同时也利于病毒的传播和隐藏。但是2010年病毒的"增肥"风却渐渐的兴起,越来越多的病毒不再一味的追求"骨感",而是将体积扩大至原先的成百或上千倍之巨。数十兆甚至上百兆的病毒文件听起来甚是令人感到惊愕,这般体积似乎已经和一些视频文件相当。当然,病毒作者如此而为之并非无聊之举或一时兴起,他们最主要的目的即是为了对抗越发流行的"云查杀"。

通常情况下,云查杀会利用MD5或类似技术对文件进行安全检测。如果一个文件被标识为恶意或可疑,那么它只要改变自身的MD5值即可绕过"云查杀"的检测。而在程序中填入一些无用的指令或者代码即可实现MD5的改变。同时,由于填充后的文件体积过于庞大,一些"云查杀"会自动略过这些文件,致使这些恶意程序不被扫描或收集到,从而增强了其生存几率。可见,一些针对"云查杀"性能的优化设计在改善了用户体验的同时,也给了病毒以苟且偷生的机会。

据江民反病毒中心的监测显示,此种体积庞大的病毒在"云查杀"广泛流行之前也曾经出现过,但在2010年则表现出增长的势头。因此我们可以看出,病毒作者也在时刻关注着反病毒技术的发展,并妄图求得在夹缝中生存的机会。我们也不难看出,"云查杀"作为一种新兴的技术形式,其尚未达到完全成熟或可以绝对信任的程度,传统的基于本地的反病毒产品仍然具有不可替代的作用,同时也是一切"云查杀"的基础。