在信息安全领域,病毒与反病毒始终是最活跃的两支力量,而一年一度的病毒回顾可谓是安全界的年度大餐,使我们能够在须臾之间便可将一年的病毒现状与流行趋势尽收眼底,为下一年的信息安全建设做一个参考。
“关注行业、检查自己”,永远是企业进行信息安全建设的原则。
◆ 2004,病毒漫舞
◆ 蠕虫遍布整个网络
◆ 木马劫掠真实财产
◆ 脚本病毒甘做幕后帮凶
◆ 2004年毒界“风云”榜
◆ 与毒过招
◆ 防毒路上,还欠缺什么?
2004,病毒漫舞
■ 安天实验室 张晓兵
2004年,病毒依然保持着高速发展的势头,有关资料显示,2004年全年产生的病毒种类已经达到了25000种,大大超过了2003年20000种的病毒产生数量,这其中大部分为没有感染能力的蠕虫、木马类病毒,而像CIH这种可感染的病毒则是少之又少。
2004年的病毒与反病毒的风云际会到底呈现出哪些特点呢?
2004病毒特点
网络病毒仍是主流
不可否认,互联网依旧以超出想象的速度迅速膨胀着,与此同时,无线网、电视网也都得到了长足的发展,IPv6产生了,3G走近了。当这些协议正式推行时,网络的规模和概念都将进行革命性的改变,让我们无从猜测,但有一点是可以确定的,就是在网络时代,网络病毒已经成为病毒家族里的超强音。
网络病毒是一个广泛的概念,它是指通过网页、邮件、即时通信、P2P等网络手段进行传播的蠕虫、木马、黑客程序等病毒的总称。无论从数量上还是发作情况上来看,网络病毒都是2004年最大的“赢家”。去年初的“SCO炸弹(Worm.Novarg/Worm.MYDoom)”大家是否还记忆犹新?该病毒通过邮件疯狂传播,其速度不亚于当年的“求职信”病毒,而去年中的“恶鹰(Worm.Bagle)”与“网络天空(Worm.NetSky)”病毒作者之间互相攻击、竞相推出病毒新变种的现象,也成为2004年信息安全领域一道难得一见的“风景”。
这些病毒的泛滥,说明了网络病毒继2003年以来,继续保持着主流病毒的形象,继续威胁着上网用户的安全。
漏洞病毒风光无限
无独有偶,漏洞病毒继2003年“大出风头”以后,2004年依然是“风光无限”。2003年8月份冲击波病毒的爆发,相信大多数电脑用户已经领略到了这类病毒的威力,而2004年五一期间爆发的“震荡波(Worm.Sasser)”病毒,更使人们不得不再一次重温漏洞病毒带来的噩梦。
漏洞病毒其实是蠕虫病毒家族的一种,由于它本身利用了操作系统的漏洞进行传播,因此也被称为漏洞病毒,这类病毒的特点就是“来势汹汹,去也匆匆”。操作系统一旦出现重大漏洞,就等于所有的电脑用户都为病毒打开了一扇毫无防备的大门,让病毒可以来去自由。另一方面,重大的操作系统漏洞往往是核心程序出现了问题,病毒一旦利用这些漏洞进行攻击的话,就会使用户电脑的操作系统崩溃,从而出现各种怪异现象。因此,只要是漏洞病毒爆发,一定是天下皆惊的。然而,这类病毒由于利用的是漏洞,只要将漏洞堵住,病毒就会立刻失效,当用户及时下载了微软补丁和使用了反病毒厂商免费提供的病毒专杀工具后,它们就会成为过眼云烟,在短时间内消散的。
即时通信、网游病毒全面开花
2004年还有一点也颇引起人注目,那就是即时通信工具大战和网游大战了。在QQ成为即时通信的王者,MSN Messenger成为第二之后,立刻引发了即时通信工具的大战,这种现象使得即时通信立刻成为继邮件之后的又一大平台,从而滋生了大量的即时通信病毒。
可别小看这些年纪轻轻的病毒,它们可是经过了好几代的变异了,从最初只偷盗聊天记录,到后来偷盗用户账号和密码,再到2004年在即时通信工具里发送病毒网址来诱惑用户中毒,这类病毒的能力也越来越强。而新兴的MSN Messenger即时通信工具也陆续出现了类似“MSN射手”、MSN骗子(Worm.MSN.funny)这样的病毒。种种情况表明,病毒编写者开始全面介入这一新兴平台,以后这类病毒将会越来越多。
病毒的商业化趋势明显
2004年,继震荡波之后,比较惹眼的病毒恐怕要算是“网银大盗”系列病毒和“快乐耳朵”病毒了,如果您了解了这类病毒的特性,就会觉得那些网游病毒只是小儿科了。
这类病毒不再拐弯抹角,而是直接盯上了赤裸裸的金钱,就像是一个间谍,会隐藏在用户的电脑中,当发现用户登录网上银行时,便把用户名和密码记录下来,发送到指定的邮件,病毒作者只要定时查看邮箱,便能收集大量的用户网上银行的信息,很轻松就可以登录到网上银行进行现金转账。虽然网上银行为每个用户提供的可转账的资金有限,但是这类病毒一旦泛滥,积少成多,也是一笔很可观的资金,如果这类病毒的编写成风,将会极大地阻碍网上银行这类新生事物的发展。
而在2004年11月下旬出现的“股票窃密者(TrojanSpy.Stock)”则更甚,专门针对数家国内证券公司的网络交易系统编写。如果用户中毒,病毒会窃取用户的股票网络交易账号和密码,从而可以恶意买卖用户的股票,造成用户的资金损失。从这些事例中可以看到,病毒的商业化趋势已经越来越明显。
图1 “快乐耳朵”诱惑用户中招的网站画面
手机病毒在成长中发展
当人们还在争论手机中到底有没有病毒的时候,手机病毒已经悄然降临,成为2004年病毒领域又一道“风景”。
在第一例手机病毒“洪流”沉寂了两年后,手机病毒从2004年6月开始发起了第二次攻击浪潮。
很明显,这次手机病毒都不约而同地盯上了智能手机。2004年年中时出现了“卡波尔(Worm.Symbian.Cabir.a)”、“灰尘(WinCE4.Dust)”、“布兰多(Backdoor.Wince.Brador.a)”等多种智能手机病毒,年终时又出现了可以通过控制PC来向手机发送垃圾信息的“Delf-HA”病毒、影响Symbian手机操作系统的“头盖骨(Skull)”病毒等。
与此同时,Sun公司手机版Java软件的两个漏洞被发现,蓝牙设备的三个重大漏洞也被发现,还有人制作出了能破坏蓝牙设备的蓝牙枪。
反病毒技术的2004
虽然随着反病毒技术的发展,病毒已经成为可以控制的变量,但病毒与反病毒之间的战斗永远也不会结束,它们之间是水涨船高的关系,随着病毒的变异,反病毒公司依然要长时间走着技术革新的道路。
驱动级编程技术得到发展
每年反病毒公司都会在年终推出新版的杀毒软件,这些杀毒软件里使用的新技术就成了反病毒技术革新的证据。
驱动级编程技术是2004年KV2005使用的技术,它采用驱动编程的思想,将反病毒引擎从应用层移到了核心层.这样做的好处是使病毒的查杀速度更快,对病毒监控得更彻底。但也会产生不好的影响,就是编程难度增加,如果不经过大量的测试,会给操作系统带来不稳定的隐患。不过,无论怎样,这种技术的产生与应用都是反病毒技术上的一个进步,因为只有同操作系统结合得越紧密,对病毒的防护才会越有效。
单机网络化的趋势开始明显
随着技术的发展和下移,许多原来网络版里使用的技术开始更多地在单机版的杀毒软件中体现,成为2004年反病毒技术上的又一个亮点。
瑞星杀毒软件2005版就是一个典型的例子,其网络黑名单技术使得单机用户能够在局域网环境下很好地防御像FUNLOVE、尼姆达这样通过网络传播的病毒,其漏洞监控技术也为单机用户在局域网中的使用建立起一道防线。
病毒监控技术更加完善
病毒监控技术自产生之时起就得到了反病毒公司的大力推崇,经过几年的发展,成为反病毒的一支重要力量。如果说病毒查杀技术是“亡羊补牢”的话,那么病毒监控技术就是“未雨绸缪”,对用户来说是更加有用的一种技术,于是病毒监控技术的完善便成了2004年反病毒技术的又一话题。
纵观新近推出的新版杀毒软件,给用户留下深刻印象的恐怕要算监控系统了。江民推出了七大监控系统,瑞星则推出了八大监控系统,虽然监控系统越多,会对资源占用越多,但是对于机器配置较好的用户来说,使电脑更安全才是根本。
2005展望:网络争夺战
漏洞病毒依然会是毒魁
就目前的Windows操作系统来说,几千万行的代码、上百万软件工程师共同进行编码,想没有漏洞是不太可能的事情。我们也不得不承认,漏洞病毒依然会是极其厉害的一类病毒。
就像每年操作系统都会出现重大的漏洞一样,2005年也会出现类似蠕虫王、冲击波、震荡波这样极具杀伤力的漏洞病毒。这类病毒不会很多,可能只有一两个,但是却能毫不费劲地造成社会问题。因此,及时关注病毒和漏洞信息应该成为每一个电脑用户的习惯,这样才有可能在漏洞病毒面前不再显得那么脆弱。
浏览器劫持会向纵深发展
浏览器劫持现象在2004年初步形成气候,将会在2005年进行发力。它是指一些恶意程序通过控制浏览器的形式来左右用户的电脑,使用户上网时出现各种问题,这其中就包括曾经名噪一时的脚本病毒和最近新出现的广告插件(ADWare)、色情插件(PornoWare)之类的恶意程序。
ADWare程序在非法侵入用户电脑后,会占用用户大量的网络带宽,使上网速度变慢,而PornoWare则会非法修改用户的长途拨号或网络银行设置,使用户莫名其妙地产生巨额支出。由于这类恶意程序隐藏得很深,用户一般很难发觉,比传统的病毒更具威胁性。
网络钓鱼将引发新的社会问题
最近两年一个新兴的网络问题是垃圾邮件的问题,而2004年及以后,另一个新的热点将会是“网络钓鱼”。网络钓鱼是2004年才出现的新事物,与网银大盗之类的病毒偷盗行为不同,它采用的是“舍不得孩子套不着狼”的战术,利用真实的病毒网址来诈骗用户上当,从而盗取用户的网络银行或信用卡的密码,从而盗取大量现金。
图2 “网络钓鱼”界面
随着网络的发展,这类问题将在2005年进一步扩大,成为新的社会问题。对于这类问题的解决已经不是单纯的用户如何防御的问题了,已经上升到了网络监管的层次。如果能对网络进行规范化管理,会使我们上网的环境更纯洁些。
不管怎么说,热热闹闹的2004年即将过去,回首这一年,病毒依然是我们心中抹不掉的痛,遥望2005年,我们只能说,希望病毒再少些。
一月毒星
MyDoom(Worm.Novarg/Worm.MyDoom)
闪光点:最有领导潜力的病毒
一月的病毒明星要算是MyDoom了,也叫SCO炸弹。它会通过邮件疯狂传播,传播速度不亚于当年的“求职信”病毒,运行时会发送标题为:“Error”、“Mail Transaction Failed”、等内容,附件后缀为“bat、cmd、exe、pif、scr、zip”的病毒邮件。这家伙自产生以来,不断地出现新变种,二月份出现了两个重要变种C和D。截止到年底,共出现了50多个病毒变种,单看它联合所有被感染的电脑对SCO网站发起的攻击,就知道它有多大的领导能力了。
二月毒星
贝革热(Worm.Bagle/Worm.BBeagle)
闪光点:最疯狂的病毒
二月份是贝革热(也称恶鹰)病毒的世界,它也利用电子邮件传播,传播力极强。该病毒有几个特点:第一是会自我升级,每隔一断时间登录一个网址,自动下载新版本;第二是会自杀,它会检测系统时间,如果是2004年2月25日则自动退出系统并停止传播。据猜测,这样做的目的是想测试一下病毒传播的情况,以便改进。该病毒自产生以来,也是变种繁多,目前已经有了将近100个变种。该病毒的特点是传播疯狂、做法疯狂,而且还疯狂地产生下一代。
三月毒星
网络天空 (Worm.NetSky)
闪光点:最虚伪的病毒
虽然网络天空病毒在二月份就已经产生,但它在三月才开始真正泛滥。同前两个月的病毒明星一样,它也是一个通过邮件进行疯狂传播的蠕虫病毒。值得一提的是,该病毒曾在其第11个变种的病毒体里留下“该病毒将是我的最后一个版本”的话,着实让用户松了一口气。而事实上,这只是一句美丽的谎言,之后,它又推出了多个变种,至今病毒变种已经达了40多个。
四月毒星
QQ播客(Trojan.QQMSG.Boker.d)
闪光点:最煽情的病毒
该病毒属于QQ尾巴类病毒,会利用QQ发送例如“……钓鱼岛是中国的领土!!!台湾是中国不可分割的一部分!!!请将此消息发给您QQ上的好友!”等消息,消息后面是一个网址。虽然病毒发的消息很煽情,但是大家千万不要相信,因为这消息后面跟随的是病毒的网址,用户只要一点击,就会中毒,从而再次感染线上的其他好友。该病毒自诞生那天起也产生了80个病毒变种。
五月毒星
震荡波(Worm.Sasser)
闪光点:传播范围最广的病毒
五月可谓名符其实的病毒月,爆发了堪称2004年毒王的震荡波病毒。该病毒利用LSASS漏洞进行传播,只要没有打过该补丁的操作系统都会受到该病毒的攻击,其感染范围和破坏程序都超过了2003年的冲击波病毒。虽然它只产生了7个变种,但是足以让人们记住。而且,五月甚至还有一个好心的病毒作者编写了“震荡波杀手”工具,只可惜它在清除电脑中的震荡波病毒的同时,让用户的系统改受该“杀手”的继续攻击。
六月毒星
卡波尔(Worm.Symbian.Cabir.a)
闪光点:最时尚的病毒
虽然它还是一个概念型的病毒,但却标志着智能手机病毒开始正式登上病毒的舞台。病毒运行会感染采用Symbian操作系统的诺基亚型手机,并能通过手机的蓝牙功能进行传播感染。这是全球首个完全在智能手机上运行并感染的蠕虫病毒。该病毒最早出现在欧洲,发作时会在手机上显示“CARIBE-VZ/29A”字样,并且在Symbian操作系统的系统目录下释放多个病毒体,但并没有对系统产生破坏动作。即使如此,用户也得小心了,因为很可能会出现更多的有破坏性的病毒。
七月毒星
拉兹(Trojan.Win32.Lasta)
闪光点:最“安全”的病毒
七月的拉兹病毒是数据保护行业的一个耻辱。它利用了某系统保护和还原软件的漏洞,当用户使用这类保护软件进行系统恢复时,并不能将该病毒恢复掉,而下次用户以为系统是干净的要再次保护时,该病毒就会被做为正常的程序进行保护。这样一来,该病毒就相当于多了一个保护膜,更加难以清除了。而事实上,它曾经使数千个电脑用户中毒,可谓“人小鬼大”。该病毒至今只产生了11个病毒样本。
八月毒星
布若达(Backdoor.Bardor.A)
闪光点:最有“前途”的病毒
布若达是全球第一个可以让攻击者远程控制被感染手机或智能设备的病毒。它会感染采用ARM处理器、Windows CE操作系统的智能手机,在被感染设备中开设后门。利用它,攻击者不但可以偷窃中毒手机里的电话号码和电子邮件,还可以对其进行远程控制,运行多种危险指令。该病毒依然是一个概念型的病毒,只能由攻击者通过电子邮件或其他手段诱骗用户下载并运行。但根据国外媒体报道,该病毒出现后,已经开始有人利用电子邮件销售这个病毒的客户端,卖病毒的人声称,任何人都可以购买该病毒用来控制别人的手机。如果这种情况泛滥的话,将是智能手机用户的又一场灾难。
九月毒星
快乐耳朵(Trojan.Happyear)
闪光点:最无耻的病毒
快乐耳朵并不会使人快乐,因为它的出现,九月成了网上银行的噩梦。它首先会通过邮件进行传播,会发作大量标题为“快来看看我的偷拍作品”的邮件,声称自己是一个酒店的经理,偷拍了大量的社会丑恶现象,然后放在一个网站中。如果用户要看的话,需要下载一个插件。随信件还有一个链接地址,如果用户感兴趣点击了该地址的话,就会链接到发信人所说的那个偷伯网站,并且确定会提示用户下载播放插件,但此时您下载的并不是什么插件,而是病毒。不过,这些都不算什么,病毒真正的目的是盗窃用户网上银行的密码。它运行时会时刻监视用户的动作,如果用户这时登录某银行的网上银行系统时,就会被偷走用户名和密码。
十月毒星
MSN骗子(Worm.MSN.funny)
闪光点:最可气的病毒
该病毒可以通过QQ和MSN传播,病毒运行时会向线上好友发送“Funny.exe”的文件,用户点击后就会中毒。中毒后,病毒会屏蔽937个主流网站,使用户无法访问,更有甚者,还有可能会造成Windows 98系统崩溃,让那些爱上网的人因无法上网而气愤之极。该病毒的出现表明了即时通讯平台作为继邮件之后又一个主流通讯平台,也同样成了病毒的温床。
十一月毒星
股票窃密者(TrojanSpy.Stock)
闪光点:最富有的病毒
它是专门针对数家国内证券公司的网络交易系统编写的木马病毒,与偷盗网上银行密码的“快乐耳朵”相比,它可谓是大巫见小巫了。用户中毒之后,病毒会窃取用户的股票网络交易账号和密码,从而可以恶意买卖用户的股票,造成用户的资金损失,因此,该病毒成了2004年名符其实最富有的病毒。而且,随着网络的发展,这种直接偷盗金钱的病毒将会越来越多。
十二月毒星
圣诞骗子(Worm.Zafi.d)
闪光点:最“博学”的病毒
就在圣诞节快要到来时,利用圣诞节进行传播的病毒也出现了。尽管这种手法并不新奇,但在节前的一段时间里,对于广大网民来说,仍然是很难防范的。“圣诞骗子”其实是2004年6月出现的网银大盗病毒的一个变种,会以发贺卡的名义欺骗用户上当。病毒侵入用户电脑后,会开设后门,使黑客们可以远程控制这些中毒电脑。而且,它还是一个“博学”的病毒,自带了15种欧洲语言,当向不同国家的用户发送携带病毒邮件时,会采用相应国家的语言,从而大大增强自己的欺骗性。
蠕虫遍布整个网络
■ 上海 马木留克
2004年依然是一个蠕虫泛滥的年代,从年初的MyDoom、NetSky,到利用Windows本地安全验证子系统服务(LSASS)问题的Sasser,一年中互联网的大部分带宽中都充斥着蠕虫发送的垃圾信息,造成的损失是非常惊人的。
传播走老路
整体来看,2004年出现的蠕虫中的大部分利用和传播的方式都是以前的套路:利用系统漏洞或者使用诱骗手段。蠕虫的编写者很少通过蠕虫来证明他的技术高明,所以,并没有看到像当年MSSQL蠕虫那样“简洁而优美”的代码,相反给人的感觉是某些情况下,病毒编写者似乎是早已编好了蠕虫的各个部分,只是等待着出现“好用”的漏洞作为传播的途径而已。
以Sasser(震荡波)为例,它的传播途径是微软安全公告04011中描述的Windows本地安全验证子系统服务的一个远程溢出漏洞。在该漏洞的远程利用程序公布后不久,这个蠕虫的第一个版本便开始在网上肆虐。与MSSQL蠕虫不一样,它不是一个“常驻内存”的蠕虫,而是一个文件性质的蠕虫。对漏洞的利用仅仅是得到一个Shell,然后在这个Shell上进行操作,从攻击端下载蠕虫程序的副本,在新感染的机器上执行,以便传播。Sasser蠕虫与2003年流行的Blaster(冲击波)传播的方式和行为非常类似,不同的是一个是通过tftp方式传播蠕虫副本,而另一个通过自带的ftp方式来传播。较之2003年,Sasser及其他利用相同漏洞进行传播的蠕虫破坏力没有Blaster强,原因除了用户的安全意识提高和部分地区对端口的限制以外,漏洞本身的局限性也是一个重要的因素。
具体分析过LSASS问题的朋友都知道,这个漏洞是一个典型的栈溢出问题,尽管有两次机会可以获得控制权,但编码的限制使得攻击者无法找到一个对所有版本都通用的返回地址(最好的情况也就是能够针对几个不同语言的所有Windows 2000/XP或者是针对不同语言下某几个特定的SP版本),使得利用该漏洞的蠕虫的传播成功率大打折扣,这也是很多受害者在其影响下,仅仅是看到了一个倒计时的关闭系统对话框,而没有成为蠕虫的另一个传播源的原因。
除了利用系统本身缺陷传播的蠕虫以外,常规的通过邮件或者其他途径传播的蠕虫也非常多,例如NetSky/Bagle的各种变形版本、MSN/QQ尾巴等。前者通过添加蠕虫副本至邮件附件中,不断发送并诱使收件人打开并执行来传播;后者则是通过一些在线聊天工具的文件传送功能,通过传送蠕虫的副本和诱使对方执行来进行传播。这一类蠕虫利用的不是具体的某一个漏洞,而是利用人们的好奇心和信任来达到传播的目的。较之利用漏洞的蠕虫而言,这一类的蠕虫对平台或版本不那么敏感,影响的范围相应也要广很多,但是由于传播的环节中需要人为参与(比如点击执行),所以传播的速度不如利用漏洞进行主动攻击的蠕虫快。
弱口令和其他的漏洞也是蠕虫传播的一个途径,不过蠕虫通常不会单独针对弱口令或某个不太常见的漏洞进行攻击,而是结合了许多种传播途径进行传播,例如AgoBot(高波)。从感染的情况来看,这一类蠕虫的泛滥程度不逊于前面两大类蠕虫,像弱口令这样由于用户本身造成的问题,相比打几个补丁而言要难解决得多,因而也很难杜绝此类蠕虫的大量传播。
个人用户是攻击重点
2004年,蠕虫的主要攻击对象还是个人用户,因为人的因素始终是安全中非常薄弱的一环。利用社会工程学进行传播的蠕虫要获得控制权,必须有人为的参与在里面——至少需要收件人浏览一下邮件或者打开运行附件中的恶意文件。尽管遭受了Mellisa、Sircam的袭击以后,人们还是会一如既往地轻信,也使得每年都有换汤不换药的蠕虫出现。现在流行的邮件、IRC、MSN、QQ等都有相关的针对个人用户的恶意蠕虫,蠕虫的制造者也是瞄准了个人用户这一大块,流行什么软件就针对什么制造蠕虫,只要在技术上没有困难,相信还会有很多新的蠕虫会源源不断地出现。
相对个人用户而言,专门针对服务器的蠕虫似乎还没有这么厉害,比起前些年CodeRed横行的时期,2004年服务器遭受的打击要小得多。这一类蠕虫的一个重要特点是要依赖于系统漏洞,比如之前的IDQ、Webdavx之类。2004年,虽然安全公告中依然有只针对服务器版本的漏洞报告,但是并没有与之相关的exp公布,而蠕虫制造者也没有能力自己编写这一部分,所以利用新漏洞专门针对服务器的蠕虫几乎没有。还有一点,在微软每公布一个重要的服务器漏洞之后,几乎都有对应的蠕虫,这客观上促使了网管们及时去打补丁修正bug。蠕虫制造者也很清楚这一点,也许是出于传播面积的考虑,很少有蠕虫会利用以前的漏洞,顶多是整合到传播模块中来,只是把它用作多种传播手段中的一项。
明天的蠕虫
密切关注漏洞
目前,蠕虫有一个非常明显的趋势,那就是每一个重大的安全漏洞都对应一个(种)危险的蠕虫,比较明显的例子就是Blaster和Sasser。在一个危险的漏洞出现后,从公布细节到大范围地打上补丁,中间往往间隔非常长的一段时间。这期间,可能有某些人出于特殊的理由公布了这个漏洞的利用方法甚至是代码,客观上促成了蠕虫的产生。因为蠕虫制造者等待的可能就是这样一个传播的手段,倘若该漏洞的影响范围很广,那这个蠕虫可能传播的范围就越广,这正是蠕虫制造者所希望的。利用代码公布以后,只需要一些很简单的手段就可以制造出一个蠕虫来,从技术角度而言,Sasser乃至之前的Blaster,不过是把漏洞利用的手工方式变成自动方式而已,其行为就像一个攻击者在用很高的速度来入侵其他机器,并没有很高的编程技巧。蠕虫泛滥后,大部分的机器都打上了补丁,传播速度也就降下来了,所以虽然来势凶猛,去得也很快。
有些危险的安全漏洞并没有造成蠕虫的泛滥,很多情况下是由于技术的原因,譬如GDI+的问题(微软安全公告04028),这是一个堆溢出的问题,小范围内有蠕虫传播,但由于通用性的原因,并没有大面积的影响。可以想象的是,如果蠕虫制造者的水平有所提高,那么这一类的漏洞以后也会非常凶猛,因为就技术的角度而言,堆溢出的问题能够被做得比普通的栈溢出更为通用,对应蠕虫的传播范围也会很大。
与后门相结合
蠕虫的另外一个趋势是与后门相结合。很多蠕虫在传播中获得了系统的控制权后会留下一个后门供可能的攻击者进出,这也表明蠕虫制造者已经由以前仅仅为了出名或是技术原因而编写蠕虫,转变为带有其他特殊目的而编写蠕虫。
通过人这一个薄弱环节传播的蠕虫每年都有,以前是,今后肯定也会有。利用邮件等方式,攻击性不是那么强,甚至有些被动传播的意味,然而人却们往往受不了看似来自熟悉地址的信件或是类似porn、free等字眼而打开附件,如果不能在短时间内提高个人用户的素质和警觉性,以后很多年内还会有一部分蠕虫通过邮件等类似社会工程的方式传播。而这种邮件除非是获得了确定的样本,否则在大范围泛滥之前,目前技术下的杀毒或是反蠕虫软件是没有办法完全预防的。
未来切入点
抛开道德等其他方面,单纯从技术角度来分析这一系列泛滥得极其厉害的蠕虫的话,可以看到它们在技术上没有什么突破,也没有什么创新点可言。比起2003年“补漏洞”的蠕虫或者更早的宏病毒,2004年的蠕虫无论在创意、技术甚至程序员的功底上都有很大的差距。蠕虫似乎发展到了和互联网当初“快鱼吃慢鱼”类似的地步——不在于写的东西有多么的“好”,只要能够在极短的时间内完成,就会造成更大范围的影响,这一点在Sasser的出现上表现得非常明显。
值得一提的是,对于GDI+的漏洞,尽管相对应的蠕虫传播面积比较窄,但也是蠕虫编写者对通过堆溢出方式来获得控制权,进而进一步传播的一种尝试。在栈溢出漏洞报告步伐逐渐减慢的情况下,一些不太好利用的系统漏洞可能会一跃成为蠕虫制造者青睐的新传播手段。而且,随着技术的发展,看似不好利用的漏洞很有可能会出现更加通用的利用方法,在传播范围和速度上不见得比以前利用通用性较好漏洞来传播的蠕虫差。
从早期的Morris蠕虫到现在,基本上能够想到的传播方式蠕虫都做到了。如果说早期的蠕虫制造者仅仅是炫耀技术的话,现在的蠕虫制造者恐怕更多的是发泄不满或者是为了出名吧。就当前的技术看来,蠕虫基本上把所有入侵的手段都自动化了(基于Web的入侵方式除外)。
以前出现IIS的Unicode以及二次解码问题的时候,有蠕虫利用过,不过后来也没有进一步的发展,主要的原因想必还是技术的制约,因为通常情况下通过Web方式得到的控制权限比较低,而且获得权限的方式比较复杂,单纯通过自动化的手段还不太容易实现。
2004年以来,看起来极有可能做成蠕虫的是dvBBS等一系列.asp程序上传的问题,可能因为影响范围和程序设计的难度,并没有相应的蠕虫出现。将来,也可能出现利用广义上的注入漏洞来传播的蠕虫,存在这一类问题的程序很多也很广,完全可以成为蠕虫制造者的下一个目标。
我们可以简单分析一下,寻找目标主机可以通过搜索引擎(比如google),这一点不存在困难;如果获得执行的权限,传播文件也有很多方式(比如ftp或者是vbs等脚本来下载文件或者其他),这一点上也不存在困难;惟一的难点就在获得控制权限,而获得控制权限中比较麻烦的是注入点的选择与确定,蠕虫制造者也需要结合启发式的搜索或者干脆穷举来攻击并传播。一旦这方面的技术难题得以解决,也许我们就能看到一种全新的蠕虫出现,这也是短时间内我们极有可能看到的“新突破”。其他的CGI问题,由于范围或通用性的原因,不太可能被蠕虫制造者利用,脚本的解析器出现重大安全漏洞除外。
结合系统漏洞的蠕虫,在可以预见的未来估计也会发生比较大的变化。除了前面说的堆溢出等不太容易利用的漏洞可能会被用作传播手段以外,也许还会出现一些通过内核溢出来传播的蠕虫,这在技术层面上已经没有任何问题,关键就要看是否有相应的漏洞以及利用程序被公布。
除了传播的手段以外,蠕虫的隐蔽性也许会成为蠕虫制造者下一个关注的部分,各种rootkit技术可能会被用在蠕虫自身的隐藏上面,不久的将来我们或许会迎来查杀更加困难的蠕虫。
当然,如果所有用户都有很好的安全意识,蠕虫编写者肯定不愿意花费太多精力去写一个没用的程序,蠕虫也无法如此肆虐。只是,距离蠕虫消失的那一天,恐怕还有相当长的一段路要走。
木马劫掠真实财产
■ 北京 八杯水
2004年出现的木马从技术上以及目的性来看,都比前几年有很大变化。为了大家能对特洛伊木马有一个整体的认识,我们先从2004年以前的木马谈起。
2004年以前:远程监控为主体
在2004年以前,提起特洛伊木马,人们首先会想到的是“冰河”、“BO”、“YAI”以及“Sub7”等,它们均属于远程监控类软件。要想发挥作用,木马的服务器端程序和客户端程序必须同时存在,而且,木马本身不具备繁殖性和自动感染的功能,所以大多情况下都需要诱骗受害机器的使用者自己运行木马程序,木马开始在伪装上下文章。
这一时期出现的木马程序在传播上大多可以分为三类:
◆通过电子邮件直接发送。邮件主题具有一定的诱惑性,诱惑用户自己点击执行附件中的木马程序服务器端。
◆通过下载网站捆绑在正常的程序中。这段时期,网上出现了大量的exe捆绑工具(EXEBinder),这种工具可以把一个木马程序和一个正常的软件捆绑在一起。
◆利用操作系统漏洞直接下载运行。
除了这三大类之外,2004年以前还出现了可以感染exe文件的木马程序,比如YAI(You and I)和冰河的一个变种。这类木马由于在技术上存在一定限制,数量很少,但却改变了木马不具备传染特性的概念。
这一时期也出现了具有特定功能的木马,比如一些QQ盗号木马。它们的功能不是远程监控,而是隐藏在受害的计算机中伺机记录QQ密码,并将它发送到释放木马者指定的信箱。
总的来说,2004年以前的木马主要目的还是远程监控,已经具备了一些狡猾的伪装手段和基本的隐藏技巧。
2004年:功能细化,
具备反安全软件特性
功能进一步细化
2004年的木马在功能上发生了很大的变化,真正的远程监控木马只占很小的比例,木马的功能开始细化。2004年流行的木马按功能可以分为五大类:网游木马、广告木马、即时通信木马、网络银行木马及后门程序。
随着近几年网络游戏业的迅速发展,网上虚拟装备、财产成为黑客们猎取的对象,网络游戏盗号木马大量涌现。这类木马一旦感染用户的计算机,就会自动记录用户网络游戏的账号和密码并发送给木马使用者,木马使用者通过出卖盗取的虚拟装备、人物账号谋取利益。由于偷盗网络游戏账号具有很大的诱惑性,您甚至可以在网上买到定制的网游木马。
2004年9月初,国内发现了一例专门窃取网络银行账号的木马“网银大盗”,也称“快乐耳朵”。它是专门针对某银行网上业务个人版编写的,可以取得该行网络银行专业版的数字证书、密码和账号,能够在网上实现完整的盗窃资金过程,对用户的危害极大。11月26日,众多反病毒公司又截获了针对数家国内证券公司的网络交易系统编写的可以窃取用户的股票网络交易账号和密码的“股票窃密者”木马(又名“股票盗贼”、“证券大盗”)。
网游木马和网络银行木马的出现揭示了木马的发展趋势:现阶段的木马越来越向着直接获取经济利益的方向发展。病毒作者编写即时通信木马和广告木马同样也是受到利益的趋势。即时通信木马以“QQ狩猎者”(也叫“QQ尾巴”)木马为代表。感染这类木马后,QQ会自动发送诸如“http://xmc.******.net快去看看,您感兴趣的消息”之类的消息。当其他用户登录消息中的网站,他的计算机就有可能感染这个病毒,也会自动发送这类消息。通常,这些网站上还包含有广告木马,感染这类木马的计算机的IE首页会被锁定为含有病毒的网站而无法修改,并且还会定期弹出广告窗口。即时通信木马和广告木马的目的就是为了提高网站的访问量,但频繁发送消息和弹出广告已经严重干扰了用户正常的上网和办公。
技术复杂性大幅提升
2004年木马在功能上发生变化的同时,其技术也变得越来越复杂化,开始具有更高的隐蔽性和对抗安全软件的能力。
(一)传播渠道的变化
从传播方式看,2004年的木马主要通过两大渠道传播。
一是即使通信软件与含有恶意代码的网站相配合,那些频频更新、变种数以百计的“QQ尾巴”木马、2004年10月份大肆传播的Worm.MSN.Funny(又称“MSN骗子”)病毒都是利用即时通信软件自动发送广告消息传播的典型木马,2004年发现的几个偷盗“传奇”网络游戏账号的“武汉男生”木马变种也是利用这种方式传播的。
二是通过蠕虫病毒释放,这是国外一些病毒作者的惯用手法,许多国外的病毒在成功感染计算机后都会在受害的计算机上留有后门程序。这种方法目前也已经逐渐被国内的病毒作者所采用。
(二)隐藏手段的变化
从隐藏手段看,2004年的木马采用的随系统自启动项的名称更具欺骗性,启动方式也更加复杂。
目前的木马大多采用和系统文件相近的文件名进行伪装,比如采用rund11.exe(用数字1伪装成字母l)、Svch0st.exe(用数字0伪装字母o)作为生成文件的名字。更有一些木马干脆采用和系统文件相同的名字,但所在位置与正常文件不同,这样用户就很难注意到它的存在了,甚至连专业的反病毒专家也弄不清微软自己的一些文件究竟应该放在Windows的目录还是Windows下面的系统目录中。
由于木马采用了和正常文件近似或相同的文件名,用户经常会对这类文件麻痹大意,就让木马有了可乘之机。
(三)启动方式的变化
在启动方式方面,2004年的木马采用了更多的先进技术。许多自动修改IE首页、反复在搜索页和收藏夹中添加恶意网站地址以及浏览正常网站时自动弹出恶意网站广告的木马都以IE的插件形式随IE的启动自动运行。这种方式被称为IE浏览器捆绑或浏览器劫持。
(四)文件格式的变化
在文件格式方面,许多木马制作成DLL或OCX文件,使用Rundll32.exe运行。这样做的好处有二,其一是可以使木马的启动方式变得隐蔽,不易被发现;其二是目前杀毒软件对DLL文件的内存查杀能力不强,正常模式下往往难于清除这类木马,使之可以更好地执行。
(五)反安全软件特性
2004年的木马普遍带有反安全软件的特性,多数木马都会查找内存中杀毒软件和个人防火墙软件的进程,并结束这些进程,使之失效。
实际上,结束安全软件进程并不是一个新的技术,但这两年该技术被普遍采用,2004年出现的许多木马都具备这个功能。同时,木马还利用其他手段躲避安全软件的查杀,比如用DLL格式文件运行来躲避内存杀毒、自动检测、卸载或删除反病毒软件等。
总的来说,2004年的木马不再像早些时候那样,为了追求功能全面而臃肿复杂,开始针对用户真实财产,功能单一但非常有效。
未来:务实为主
从2004年的木马发展就可以看出,目前的木马越来越“务实”,以直接获取真实财产的偷盗类木马大大增多。
通过对过去几年的木马发展趋势可以判断出未来木马的发展趋势。
具备病毒特征的木马大量涌现
现在的木马可以说是“为达目的不择手段”,传统的“木马是装作有用程序的一类恶意程序,不主动进行感染和传播”的定义已经变得片面,类似MSN骗子病毒就同时具备木马和病毒的双重特性。
为了能够迅速地将木马种植在尽可能多的计算机上,未来的木马将大量采用计算机病毒技术,也就是说木马本身就是蠕虫病毒,反过来讲蠕虫病毒也具有木马的功能特征,木马和病毒之间将没有明显的区分界限。
利用操作系统漏洞的木马逐渐增多
不光只有病毒会利用操作系统的漏洞,越来越多的木马也开始利用这些漏洞进行传播,尤其是一些IE浏览器的漏洞,允许木马在未经用户许可的情况下自动下载并运行。
早些时候的iframe漏洞、2004年弄得人心惶惶的JPEG溢出漏洞以及年底出现的网页元素处理溢出漏洞都属于这种情况。同时,由于宽带在中国的普及,利用远程攻击漏洞进行传播的木马也会出现。
对抗反病毒软件和个人防火墙软件的技术升级
在对抗杀毒软件方面,未来的木马不会简单地只结束杀毒软件的进程或者卸载杀毒软件,因为这种做法实际上已经暴露了自身,有经验的用户马上会察觉到系统的异常。
新的木马可能会针对杀毒软件的弱点进行编写,比如删除杀毒软件的病毒特征库,使有些杀毒软件加载病毒库不成功并不会进行告警。这样,杀毒软件看似正常运行,实际已经无法对木马、病毒进行查杀,变成木马的“帮凶”。
同时,为了躲避杀毒软件的追杀,未来还可能会出现能够变形的木马。举个简单的例子(只是一个概念,可行性有待研究):木马可能内置源代码和编译器,每次随机地对源代码进行自动改写并释放,然后用内置的编译器重新编译。对杀毒软件来说,每次重新编译的木马都是一个新的变种,对它们的查杀将会变得十分困难。
在对抗个人防火墙软件方面,目前已经有一些概念性的软件出现,FireHole就是其中一个(http://keir.net/firehole.html)。它的原理是创建一个DLL文件,并将这个文件放置在一个被防火墙信任的程序中,比如IE浏览器,那么这个DLL文件对网络的访问便不会被防火墙拦截。即使有一些谨慎的用户设置了他们的防火墙,使浏览器只能在指定的TCP80端口连接,但这个惟一开放的端口也足以保证该DLL文件进行通信。
木马功能智能化
传统的木马通常只通过捕获用户键盘操作来窃取用户的密码,目前不少软件(如腾讯QQ)采用通过软键盘输入账号、密码的方式来防止这类偷盗情况的发生。未来的木马会自动检测用户是否开启软键盘,通过Hook技术捕获用户的鼠标操作,并根据鼠标点击顺序截图并发送到黑客的邮箱中。
脚本病毒甘做幕后帮凶
■ 北京 晓兵
脚本病毒想必大家都不会陌生,“美丽莎”、“快乐时光”、“万花谷”都是恶性脚本病毒的代表。脚本病毒的出现使得病毒编写的门槛大大降低了,稍具电脑知识的用户经过简单的学习就可以轻松编写出这种病毒来,其破坏性却丝毫不比传统病毒差。
随着技术的发展,脚本病毒也像其他病毒一样不断地产生着新种类。
曾经的辉煌
虽然脚本病毒出现的时候并不算短,但是人们真正听到“脚本病毒”这个称呼还是最近几年的事,因为最早的脚本病毒只有一种情况,就是利用微软Office系统提供的宏功能进行编制的病毒,也称宏病毒。后来,随着JS、VBS这样真正的脚本编程语言的出现,脚本病毒这个名称才被正式提出来。虽然宏病毒随着Office 2000的宏安全机制的出现而走向没落,但是它在脚本病毒的历史上却统治了相当长的一段时间。
在脚本病毒的发展中期,欢乐时光病毒可谓是一座里程碑,它开创了感染式网页病毒的先河,并在一夜之间传遍整个世界,该病毒是脚本病毒发展的重要产物。在它之前虽然也有一些网页脚本病毒出现,但是都未成气候,让大多数人认为脚本语言的编程能力有限,对网页病毒的破坏性都还持怀疑态度,也就在这时候,欢乐时光病毒出现了。它采用VBS脚本语言进行编写,隐藏在网页中,当用户中了该病毒之后,病毒便会将用户系统中所有的网页文件都感染上病毒代码,该病毒不但可以在传染的过程改变大小,而且还能将自己作为信件的模板文件发送出去,还会删除系统中的所有可执行程序,使整个系统崩溃。可以说,欢乐时光病毒将脚本网页病毒推入了一个新时代,从此,编写这类脚本病毒的人越来越多。
此后,经过短短一年的发展,脚本病毒又出现了两种新的形式,一种是利用系统文件夹可配置属性的RedLof病毒,另一种就是通过修改注册表来破坏用户系统的万花谷、网页炸弹、极限女孩等病毒。由于这类病毒的泛滥,各大反病毒公司都推出了自己的注册表修复工具,也正是随着这些工具的产生,使得曾经辉煌一时的脚本病毒逐渐走向没落。
退居幕后
现在,脚本病毒又出现了一种新的形态,就是成为木马病毒的帮凶。
编写病毒离不开编程语言,而编程语言的一个基本原则是,编程语言越高级,编程就越简便,但是能实现的底层功能也就越有限,因为语言被层层封装,已经失去了灵活性。脚本语言是封装级别极高的语言,它本身的破坏是比较有限的,因此从2003年开始,脚本病毒开始退居幕后,甘心做起了木马病毒的帮凶,像2004年的“快乐耳朵”病毒就是一例。
这类病毒首先会给用户发送一些带有诱惑性标题的邮件,当您感兴趣并链接那个网址时,就已经落入了病毒的圈套。该网址的首页就是一个脚本病毒,他们一般会利用系统的网页漏洞偷偷地给用户系统安装一个木马,或者告诉用户缺少一个插件,希望用户点击下载,其实这个插件就是一个木马病毒。当木马病毒溜到用户系统后就开始完成开后门、偷密码等“地下”工作,给用户带来很大的安全隐患。
从这里我们看到,在这个讲究合作的年代,脚本病毒也开始与传统的木马进行合作,这种合作很可能是病毒作者同时使用两种编程语言编写,然后再进行组合,也可能是两个病毒小组之间协作完成的。
假到真时真亦假
网络是一部永远向前发展的永动机,而随着网络环境的变化,脚本病毒也一定会发生某些改变,它的明天是怎样的呢?
首先,一个逻辑上的发展趋势就是脚本病毒会越来越趋向于被动传播这样一种方式,就像上面分析的那样,脚本病毒的编写方便和功能上的先天不足,导致它在未来这个防毒体系已经比较完善的世界中只能扮演一个帮凶的角色,将会出现更多利用脚本病毒传播木马程序这种模式的病毒。
其次,将会出现越来越多的网络诈骗性质的脚本病毒。这类病毒会给用户发送一些含有伪造内容的邮件,比如说用户的网上银行账户和密码已经过期之类的信息,当用户信以为真点击给出的链接时,则会出现与真的网上银行一样的虚假网页,该网页会提示用户输入自己的用户账号和密码,其实用户的资料这时已经被发送到了另一个邮箱,病毒作者只要定时收集这些信息,便能轻松窃取到用户的网上银行的资金。在未来,这种以诈骗为目的脚本病毒将会越来越多。
当然,当一些新的应用产生后,必然会有新的病毒随之而来。正所谓“魔高一尺,道高一丈”,无论未来病毒如何发展,总会有解决它的方法。
2004年毒界“风云”榜
据统计,美国企业2003年因计算机病毒导致的损失约一百三十亿美元。加州的市场研究公司预估,2004年的损失金额将更高,可能接近一百七十五亿美元。如果从全球来看,2004年病毒所带来的损失该是多么庞大的一组数据啊!
谁有如此能力,谁在2004年里的毒海里掀起巨浪?请看2004年的毒界“风云”榜。
2004年毒界“风云”榜
奖项 获奖者 得奖理由 得奖感言
最“佳”男主角 NetSky网络天空病毒 历久不衰 子孙(变种)满堂,分身有术。
最“佳”女主角 Social Engineering社交工程 魅力无法挡 垂涎欲滴,鼠标忍不住想咬一口。
最“佳”新人 18岁的德国青年Sven Jaschan 全球瞩目 震荡波病毒作者,最好的18岁生日礼物。
最“佳”动作设计 Bot遥控程序 从不说“不” 黑客坐以待“币”,傀儡计算机坐以待毙。
最“佳”视觉设计 Phishing网络钓鱼 维妙维肖 钓大户,创“钱”程。
最“佳”置入式行销 Spyware间谍软件 神出鬼没 找我卧底就对了。
最“佳”剧情片 MyDoom、Bagle和NetSky之间的口水战 自编自导 隔空照样打得火热。
最“佳”替身演员 手机垃圾短信 一字千金 离间亲友,反目成仇,够霹雳。
最“佳”美术设计 JPEG图片 金玉其表 将这个荣耀与漏洞计算机分享。
最“佳”男主角:NetSky网络天空病毒
得奖理由:历久不衰
NetSky不同于它的死对头Bagle那样不断衍生出变种病毒,在传说中的作者德国18岁少年被捕入狱后,自4月28日Worm_NetSky.AB之后,就没有产生新的变种。但这并没有削弱该病毒的影响力,几乎每个月的十大病毒排行榜中,NetSky都名列前茅。
主要劣迹:
自2004年2月现身以来,NetSky变种家族每个月都进入趋势科技实时病毒监控中心的十大病毒排行榜,其中有八个月夺得毒王“宝座”,是2004年度长跑冠军。
得奖感言:
子孙(变种)满堂,分身有术。
最“佳”女主角:社交工程
得奖理由:魅力无法挡
黑客作案得逞的关键往往脱离不了“性、贪婪与恐惧”的主题,所以,社交工程(Social Engineering)这种操控计算机使用者间接破坏计算机的手法在病毒攻击行动中开始担任重要角色。而且,只要有一个人抗拒不了本身的好奇心而打开了带毒邮件,病毒就可能在所在的网络上大行肆虐。
主要劣迹:
◆著名的市调分析机构Gartner在11月公开研究报告中表示:未来10年内可能躲过IT监控、攻破计算机网络的最大风险就是“社交工程(Social Engineering)”。
◆1到3月,MyDoom行骗天下。2004年第一季度感染冠军MyDoom采用仿冒退件通知、信件无法正常被开启、自动开启应用程序以及假装是txt纯文字文件的ICON等手法,创下高感染率。
◆9月,MSN一日之内满地开花。MSN“花木马”病毒仅是恶作剧:“请放一朵玫瑰在MSN名字之前,为死于俄罗斯恐怖行动中的孩童哀悼”的信息,9月9日就像连锁信一般地通过MSN实时通讯满地绽放。翌日却有人指称其中含有病毒,大家又通过MSN要互相通知把“花”连根拔除。还好事后证实是虚惊一场,但若真有其事,这就是成功地运用社交工程的一大典型呢!
◆11月,阿拉法特死亡之谜。阿拉法特于2004年11月11日在法国巴黎附近的贝尔西军医院逝世,他的真正死因引起多方揣测。很快,出现了一个以“Latest News about Arafat!(阿拉法特的最新消息!)”为信件主题的病毒“Worm_Golten.A”。该病毒在内文里叙述“Hello guys!Latest news about Arafat!Unimaginable!”,并分别附上两个.emp图片延伸格式附件,其中Apafat_1.emf文件名附件内果真含有阿拉法特葬礼图片,这是病毒利用障眼法,让受害者没有防备心地开启第二个附件,一旦使用者开启Apafat_2.emf附件,病毒就会利用Windows XP的Metafile漏洞钻入系统。
得奖感言:
垂涎欲滴,让鼠标忍不住想咬一口。
最“佳”新人:18岁德国青年Sven Jaschan
得奖理由:全球瞩目
据德国Stern杂志的访问内容,18岁的Sven J.是从2004年1月才开始写计算机病毒。Sven坦承,撰写了29种网络天空NetSky病毒的版本和三个震荡波Sasser版本。
主要劣迹:
5月,让全球动弹不得。澳大利亚铁路,上万旅客滞留站台;德国银行被迫改用手写完成各种业务;英国海岸警备局的计算机无法运转,工作人员不得不用纸条来记录事故;芬兰某银行关闭120家分行达数个小时;德尔塔航空公司约40个航班无法准时起飞。
得奖感言:
最好的18岁生日礼物。(注:Sven Jaschan 在18岁生日当天把该程序放网络上)
最“佳”动作设计:Bot遥控程序
得奖理由:从不说“不”
Bot是黑客暗中出租计算机攻击他人并牟利的新武器,一个口令,傀儡计算机齐动员,动作整齐。
主要劣迹:
◆7月,Bot成为新兴诈骗行业。来自英国的报导指出,有一个由青少年人组成的新兴行业正盛行:“出租可由远程恶意程序任意摆布的计算机”,这些受控制的计算机称之为“傀儡(Zombie)”计算机。数目小自10台大到3万台。
◆ 9月,挪威被迫关闭IRC。挪威ISP“Telenor”因为察觉IRC(Internet Relay Chat)已成为1万多台个人计算机组成的攻击网络的指令中心,因此关闭了IRC服务器。
◆ 10月,四万美金花钱消灾。网络安全机构SANS表示,傀儡计算机已被黑客当作用来勒索的工具,尤其是线上赌博网站,若要避免服务器因DoS而瘫痪,代价是付给黑客4万美金。
◆ 11月,生意谈不成,瘫痪对方网站。美国司法单位起诉一位公司负责人,该涉嫌人因为生意没做成,涉嫌雇用网络黑客利用Bot程序瘫痪另一家公司的网站。被害者至少损失了二十万美元。
得奖感言:
傀儡计算机坐以待毙,黑客坐以待“币”。
最“佳”视觉设计: Phishing网络钓鱼
得奖理由:惟妙惟肖
仿冒金融机构官方页面相似度近100%,靠得再近,也看不出来哪里不对劲。诈取受骗者银行账号、私人密码,得逞率极高。
主要劣迹:
◆IDC在2004年10月发布的《2004年亚太地区的安全威胁》(不含日本)的报告指出,网络欺诈行为“网络钓鱼”(Phishing),已经对亚太地区从事电子商务的企业造成严重的安全威胁,成为成长速度极快的非暴力犯罪行为之一,知名金融机构是其锁定目标。
◆美国 ParentyConsulting主席Thomas Parenty在2004年5月香港举办的“信息安全博览会”表示:逮捕“Phisher”的成功率只有七百分之一 。
◆ 9月,假橘子真诈骗。一个中国网站以“gamannia”的名字作为网域名称,并放上游戏橘子的Logo企图瞒天过海。该假网站谎称配合政府打击诈骗,要求玩家输入资料进行核对,借机盗取游戏序号。事实上,游戏橘子的网域名是“gamania”,冒牌网站则在字母中间多了1个“n”。
◆ 10月,网络钓鱼进入第二代,不再完全依赖电子邮件。早期的网络钓鱼信件以英文为主,而且文法错误百出,使用者只要不点选信中的链接,就不会上钩。不过,目前网络钓鱼的辨识度愈来愈低了,甚至不用电子邮件当钓饵,可以说是第二代的网络钓鱼。比如,Troj_Bancos.cp这个特洛伊木马会监控Internet Explorer的浏览行为,以获得记录受害者的IE上网行为,一旦窗口标题符合设定的银行字符串,就会制造几可乱真的登录网页,要求输入个人密码等敏感资料。这些资料汇整于特定文件夹后,将利用电子邮件自动发送给黑客。而且,每一笔资料被寄出后,会自动删除,来去不留痕迹。
◆ 11月,到天堂钓鱼。一封冒称“天堂II营运团队”的诈骗信件以“关于您的账号涉嫌盗号”为电子邮件标题,声称收件者的游戏序号已被盗用,为了保护被盗玩家的利益,要求输入相关账号信息,否则三日内将永久停用该账号。
◆ 11月,利用Google等着大鱼上钩。当网络购物者利用Google搜索他们要购买的商品时,会被引导到某网站,并指示用户点击产品图片。一旦点击后,并不会看到广告上的产品,而是指向了一个自动解压缩的.zip文件,并自动安装特洛伊木马,以窃取个人金融资料。
得奖感言:
钓大户,创“钱”程。
最“佳”置入式行销:Spyware间谍软件
得奖理由:神出鬼没
宛若网络侦探社,Spyware间谍软件起初是利用用户安装软件时潜入用户的系统,并利用多半用户未仔细阅读同意书的习惯,规避责任。后来进展到与垃圾邮件共同犯案,比如鼠标点选垃圾邮件的“remove it”时,间谍软件即进驻计算机。
主要劣迹:
◆根据National Cyber Security Alliance调查报告指出,91%的PC遭受间谍软件入侵,但1/3受访者认为遭受网络攻击的机会,比中乐透彩或被雷打到机率低。美国国家网络安全联盟和美国在线公司10月25日联合发布另一项雷同调查报告亦指出,在某个用户运行缓慢的计算机上,居然有1000多个“间谍软件”。难怪有厂商推出情人间谍软件,监看情人与网友的交谈。
◆ 6月,WebMoney锁定50家银行。WebMoney专门窃取个人网络银行的相关信息,在使用者访问近50家银行网站时,测录键盘窃取密码,并把得手的信息回传到某个黑客网站。
◆ 7月,Tenget.A带您去Shopping。Tenget.A这个间谍软件化身为网址工具列(browser helper),或者是随着E-mail的网址链接而来,一旦执行就会修改IE设定,当受害者在浏览器上端网址列输入auto.search.msn.com