2008年上半年計算機病毒、木馬的特點分析

【賽迪網-IT技術報道】

1、下載器病毒首次成互聯網最大威脅

下載器病毒是近年來新出現的一種病毒類型。該類型病毒與木馬不同，一般本身並不具備盜取用戶信息等行為，而是通過破壞殺毒軟體，然後再從指定的地址下載大量其他病毒、木馬進入用戶電腦，進而通過其他病毒木馬實現其非法目的。

據金山毒霸全球反病毒監測中心統計，2008年上半年發現的新病毒中下載器病毒增長最為迅猛，已經成為木馬的主要源頭之一。

從上半年的10大病毒列表可以看出「機器狗」、「磁碟機」、「AV終結者」等病毒，其程序的主要功能是破壞電腦「保安」系統，利用各種手段破壞殺毒軟體，然後啟用另一個主要功能：瘋狂下載多種多樣的木馬，由攻擊發起者定制下載列表，可隨時更新所下載木馬的版本和數量。下載器和盜號木馬的區別在工作重點不同，前者是手段，後者去實現入侵的目的。

下載器病毒可以說是病毒流程化入侵的第一步。一旦用戶電腦遭遇下載器病毒入侵，通常電腦內將會發現幾種甚至幾十種木馬，而且這些木馬將幾乎涉及市面上所有流行的在線遊戲的盜號木馬，危害非常嚴重。

2、第三方軟體漏洞成病毒攻擊熱點

第三方軟體，通俗講既非系統本身自帶的軟體（含操作系統本身和自帶的應用程序），其他包含應用類軟體均可稱為第三方軟體；例如：QQ、Adobe Reader等。

第三方軟體漏洞是指一些第三方軟體，由於自身軟體設計的原因，在他們提供給IE的組件上，存在一些漏洞，而這些漏洞會被黑客以及惡意網站利用；在用戶瀏覽網頁過程中，通過漏洞下載木馬病毒入侵用戶系統；進行遠程控制、盜竊用戶的帳號和密碼等，從而使用戶遭受到損失。

隨著微軟操作系統的安全性的日益加強以及用戶對系統漏洞警惕性的提升，病毒已經很難再利用系統漏洞大施拳腳，而第三方流行軟體的漏洞越來越多地被病毒利用。以Adobe Flash Player漏洞為例，Adobe Flash Player 9 .0.115 在播放惡意構造的swf時，會自動下載一個可執行文件並執行，而swf文件可能會自動下載一個病毒下載器並運行，然後再由這個病毒下載器下載其他預先指定的木馬程序，危險指數非常高。

3、病毒與安全軟體之間的對抗日益加劇

縱觀08年上半年的一些流行病毒，如機器狗、磁碟機、AV終結者等等，無一例外均為對抗型病毒。而且一些病毒製作者也曾揚言「餓死殺毒軟體」。對抗殺毒軟體和破壞系統安全設置的病毒以前也有，但08年上半年表現得尤為突出。主要是由於大部分殺毒軟體加大了查殺病毒的力度，使得病毒為了生存而必須對抗殺毒軟體。這些病毒使用的方法也多種多樣，如修改系統時間、結束殺毒軟體進程、破壞系統安全模式、禁用windows自動升級等功能。

08年上半年，病毒與殺毒軟體對抗特徵主要表現為對抗頻率變快,週期變短,各個病毒的新版本更新非常快,一兩天甚至幾個小時更新一次來對抗殺毒軟體。

自07年以來，病毒流程化攻擊的特點越發明顯，而流程化攻擊的重要一步就是對抗安全軟體。病毒進入用戶電腦後，首先終止安全軟體的運行，使殺毒軟體無法正常運行，進而下載大量其他病毒到用戶電腦中，給用戶的個人網絡財產安全帶來嚴重威脅。

4、 「老」病毒氾濫 「明星」病毒減少

近年來，類似魔鬼波、熊貓燒香、灰鴿子等重大惡性病毒，憑借其傳播廣泛、破壞性強等特點，迅速成為病毒「明星」，為廣大電腦用戶所「熟知」。然而隨之而來的各大安全廠商的追殺，廣大用戶的喊打，很快這些「明星」病毒就會被打壓下去，病毒作者也會面臨身陷囹圄的危險。因此一些重大的惡性病毒出現的機會在逐步減少。而與此相對應的，單個病毒、木馬只入侵幾千台電腦，甚至只入侵指定的某個IP地址段內的電腦，雖然這類病毒的攻擊範圍很小，但針對性更強，而且由於同類病毒的總量龐大，因此破壞性也是不容忽視的。

下載器病毒的氾濫導致了一些「老」病毒枯木逢春。2008年上半年，病毒下載器數量猛增，這些下載器一旦成功進入用戶電腦，大量的木馬將蜂擁而至。在這些木馬中，有很多是早在幾年前就能被殺毒軟體清除掉的老木馬。但由於下載器在下載木馬之前已經將電腦內的安全軟體屏蔽掉，因此即使這些能夠被殺毒軟體查殺的老木馬也能夠很「安全」的完成盜取用戶信息的目的，這也從另一個方面促使黑色產業鏈的從業者加強了以破壞殺毒軟體為目的的程序開發。

5、「新型」病毒黑色產業鏈逐步形成

製造木馬、傳播木馬、盜竊賬戶信息、第三方平台銷贓、洗錢，常規的病毒黑色產業鏈在2008年上半年開始正在發生新的變化。伴隨著病毒製作技術的進步，病毒產業鏈也隨之發生變化，新型產業鏈在技術上也呈現出分工明細的趨勢,例如專門對抗殺軟的病毒,專門下載其它病毒的downloader類別的病毒,專門的盜號功能等。

製作網馬－－入侵眾多中小企業網站，篡改網頁內容，植入各種網馬－－部分提供電影下載、軟體下載、聊天交友、圖片視頻等網站出售流量－－有人會在各種社區、論壇、博客、貼吧發佈訪問此類網站的廣告鏈接，以吸引更多的訪客去下載這些網馬－－盜號木馬程序設計者，這些人專職開發針對各種網絡遊戲的盜號木馬、網銀木馬－－各種帶有遠程控制功能的木馬設計者，此類程序可實現遠程控制中毒的電腦，利用中毒電腦發起拒絕服務攻擊。

隨著病毒產業鏈的日趨完善，病毒產業鏈的最末端－－洗錢的平台也在逐步多元化。眾多12590業務的非法經營者，可通過盜來的QQ號等信息大量發送垃圾消息，總有眾多不明真相的網民被騙；採用非正當手段進行網絡商業活動，比如購買DDoS服務攻擊競爭對手；僱傭DDoS攻擊的工作室對目標客戶發起攻擊，再上門推銷所謂的反DDoS產品。廣泛存在的網游虛擬財富交易市場，市場裡的眾多買方本身也曾是黑色產業鏈的受害者。

網馬，通常是故意利用瀏覽器漏洞或瀏覽器插件漏洞入侵，通常是木馬下載器，一般是先中網馬，然後由這個木馬下載器下載更多的其它木馬。

出售流量是指病毒製造者為快速傳播木馬，需要找流量大的網站進行掛馬，如果病毒製作者自己做一個網站，想達到高流量，不是一件容易的事，最簡單的方法是花錢買流量。隨著黑色產業鏈的深化，流量也在逐步集中到某些實力雄厚的人手中，這些人可以用比別人更高的價格收購流量，進而在利用病毒進行牟利。

6、社會工程學的攻擊手段成病毒入侵的重要途徑

（1）利用熱點事件

當用戶上網搜索一些當下比較流行的信息或電影的時候，如「艷照門」、「色戒」等，搜索到的網頁中很多都是帶毒的，這是不法分子利用人的心理而設的圈套。

（2）利用用戶對好友的信任通過即時聊天工具傳播

隨著聊天工具的安全防範措施，這類攻擊已經不是主流，但還存在，有些病毒會通過QQ、msn等聊天工具自動向好友發送帶毒信息或病毒文件。

（3）釣魚網站

釣魚網站也是一種常用的攻擊手段，如www.jx2dbt.com是一個外掛的官方網站，而www.jx2dbtwg.com是釣魚網站，但釣魚網站做得跟官方網站一模一樣，使得不少用戶瀏覽了釣魚網站或者下載了釣魚網站的文件，導致中毒。另外一種方式不需要帶毒，如銀行的釣魚網頁，用戶在登錄的過程中，他會先記錄下帳號和密碼，然後再進行登錄到正確的網站，而此時你並不知道你的帳號密碼等信息已經失竊。

（4）捆綁軟體

一些病毒會感染或者修改正常共享軟體的安裝包，使得用戶在網站下載安裝這些軟體時感染病毒。另外一些病毒則直接替換掉下載鏈接的文件。

（5）高流量帶毒鏈接

流量高的網站是可以用來賣錢掛病毒的，因此很多流量高的網頁會被用來掛病毒。這類網站以黃色網站居多。

（6）江湖騙術

一些網絡社區、聊天群裡出現的騙子，往往會花言巧語誘使你接受打開對方發送的文件，以照片(其實是病毒文件)為典型。

(