2004年上半年,通过电子邮件传播的蠕虫病毒来势汹汹,几个主要的病毒变种也以相当高的频率交替出现。同时,病毒的传播途径多样化,功能综合化的特点日益突出,另外,越来越多的病毒利用局域网共享这一途径进行传播,并给病毒的清除带来一定的困难。病毒在躲避杀毒软件和防火墙等安全防护软件方面也日渐升级。在2004年上半年,病毒主要呈现下列特征。
1、蠕虫数量多危害大
2004年上半年的统计数字表明,病毒排行榜的前几位全部被“蠕虫”占据,出现的新病毒中,蠕虫数量也在半数,大有一统江山之势。不难看出,由于此类病毒具有编写简单、传播范围广、速度快等优势,它仍然是病毒设计者的首选。
2、病毒邮件来势凶猛
在上半年,通过电子邮件传播的病毒占了绝对的优势,“网络天空”(Worm_Netsky.A)、“贝革热” (Worm_Bbeagle.A)、“小邮差”(Worm_Mimail.A)等病毒势头强劲,它们扩散范围广、传播速度快,这些病毒和它们的多个变种无一例外都是依赖于电子邮件进行传播的。
病毒通常情况下以电子邮件附件的形式到达,在运行后得以传播和扩散。然而,有一个现象应当提起我们的主意,这些病毒邮件的附件绝大多数都需要用户点击运行附件,病毒才能得以运行,从而实施感染和进一步的传播。所以说,病毒持续的大范围传播,在很大程度上是用户病毒防范意识薄弱而造成的。病毒防范意识的提高对遏制病毒的传播和扩散也是至关重要的。
3、漏洞仍是病毒瞄准的方向
在上半年,利用微软漏洞传播的病毒主要有“震荡波” (Worm_Sasser.A) 及其5个变种,以及“高波”(Worm_AgoBot.A)及其变种。
“震荡波” (Worm_Sasser.A)是利用微软的LASSA(MS04-011)漏洞进行传播,类似于去年8月份“冲击波”(Worm_MSBlast.A)病毒,并且也在病毒出现后不久出现了“震荡波杀手”,这一点与“冲击波杀手”的出现也有雷同。“震荡波”再出现初期也形成了一定的影响,波及的范围较广,但相对于“冲击波”而言要好了很多。这主要是由于病毒出现在“五一”假期,很多企业在休息期,没有使用计算机和网络,同时通过各种媒体的及时通报,用户做了相应的应对措施,并且在经历了“冲击波”后,一些用户也提高了警惕和处理病毒的能力。
“高波”病毒是通过RPC DCOM缓冲溢出漏洞进行传播,也就是“冲击波”所利用的漏洞,病毒最初在去年8月出现,在3、4月份的时候一个新变种的出现导致了一定数量的感染。
另外,3月份出现的“维迪”(Worm_Witty.A)病毒。利用美国ISS公司产品的安全漏洞,感染破坏使用运行该公司产品的主机,也属于利用漏洞进行传播的病毒。值得一提的示,该病毒是在漏洞公布的第二天就出现了,几近于“零攻击”。
4、网络共享传播导致重复感染
现如今,网络共享已经成为病毒传播的一个重要途径,越来越多的病毒运用了这种手段。有些病毒还使用了弱密码攻击的方法,所以用户关闭一切不必要的共享之外,还要在共享的时候设置复杂的密码,不给病毒可乘之机。
1999年出现的FunLove病毒,至今仍凸显其强大的生命力。病毒本身并不具备自动发送电子邮件的功能,而是通过网络共享在局域网中传播,而且在网络内部清除起来还存在一定的困难。在清除的过程中,局域网中只要有一台机器尚存余毒,病毒便可再次感染整个网络,很多企业都遇到过这种重复感染的现象。
特别是在企业的网络中,只要有一台计算机没有及时修补漏洞或更新杀毒软件,整个局域网便岌岌可危,随时都可能成为病毒宰割的对象。病毒一旦伺机而入,就会导致企业的网络遭受病毒的侵袭。也正是由于此种现象的存在,使得病毒的生命期得以延长,我们也就会看到出现的病毒四年多的FunLove病毒仍不得根除。
5、病毒功能综合化
多数病毒集多种功能于一身,与黑客、木马技术的融合,使得病毒的危害更大。另外,很多病毒感染系统后,会开放TCP或UDP端口,以允行攻击者向该端口发送信息或实施其它操作,给系统安全带来严重的隐患。开启的端口,也有可能成为之后病毒传播的又一途径。比如病毒Worm_Dabber.A就是利用“震荡波” (Worm_Sasser.A)留下的后门进行传播。
6、病毒家族化特征显著,变种出现的时间间隔越来越短
今年春节期间出现的病毒,“网络天空”(Worm_Netsky.A)、“贝革热” (Worm_Bbeagle.A)等,在出现后的短短几个月中,每个病毒的变种数量就有三四十个至多,变种出现的速度也是前所未有的,时间间隔越来越短。在一段时间内,甚至达到一天一个变种出现的现象。变种如此迅速的出现,也导致了网络混乱,病毒邮件满天飞的现象。
而且,变种通常还会在先前版本的基础上作一些改进,使其进一步完善,传播和破坏能力不断增强。
7、病毒之间的资源竞争
病毒编制者为了比拼实力,加速传播,抢占系统资源,在编写病毒时相互之间进行攻击。比如“网络天空”(Worm_Netsky.A)和Mydoom病毒,就会删除对方生成的注册表键值或是停掉对方的进程,以达到占有资源和自我传播的目的。
8、想方设法躲避反病毒软件的追踪
病毒多数还会终止反病毒软件和防火墙的相关进程,甚至用病毒文件覆盖相关文件或是将其删除,从而使计算机失去最基本的病毒防护。
另外,很多病毒在向外发送带毒电子邮件的时候,会避开一些反病毒机构和厂家的邮件地址,这样一来,就避免了他们通过此种途径获取病毒样本。
9、网上银行业务成为新的焦点
几年来,网上交易逐步被大众接受和认可,网上银行业务也随之蓬勃发展,日趋成熟。我国网上银行用户有近千万,每年通过网上银行流通的资金超千亿。然而,与此同时,在利益的驱动下,病毒的编制者也调转矛头,开始在这一领域兴风作浪。
2003年6月4日出现的“妖怪”病毒的变种Worm_Bugbear.B,把世界范围内的1200家银行作为攻击目标,企图通过计算机盗窃公司在这些银行的账号和密码。一些安全专家认为,这可能是首例主要以一个单独经济部门为目标的互联网袭击事件。事件发生的同时也引起了我国相关部门的高度重视,但由于病毒针对的企业多在美国,因而对我们基本上没有形成影响。但这一事件的出现,向我们敲起了警钟。
2003年10,在澳大利亚的ANZ爆发的案件中,其网上电子银行登陆界面被复制,原网站被植入了注册屏幕程序,该网站被别的网站从后台进行了链接,用户登陆网站时输入的个人信息就被窃取了。病毒编制者可以在得到合法用户的信息后,利用其进行非法的活动。
2004年4月18日,我国出现偷取国内某银行行个人网上银行的帐号和密码的木马Troj_HidWebmon.A,并再次日出现其变种。接下来还出现了一些此类病毒。这类病毒通常会使用截取用户键盘输入的方式获取用户的个人信息,包括网上银行的帐号和密码等,并将窃取到信息发送到指定的邮箱。虽然获得了账号和密码并不足以盗取被窃者的存款,但在通过其它途径获得数字证书等信息后,病毒的制作者就可以登陆网上银行并窃取用户存款了。其中该病毒的Troj_HidWebmon.A制造者已被南京玄武区公安局抓获。截止犯罪嫌疑人被捕时,该犯罪团伙已成功窃取资金4.8万元 。
基于互联网的开放性,可以想见,网上交易、网上银行等业务的安全性时时刻刻受到威胁,尤其是在利益驱动之下,针对此类业务的计算机病毒和网络安全事件也必将愈演愈烈。
国家计算机病毒应急处理中心
(责任编辑:宋红伟)
|
