p> 二、上半年病毒传播趋势
盗号木马的疯狂以及“与时俱进”
09年下半年,“玛格尼亚”(Trojan/PSW.Magania)盗号木马家族曾进行了一轮疯狂地传播,这场声势浩大的“玛格尼亚”盗号木马疫情直到今年2月底3月初才彻底的走向绝迹。当时为了应对该家族木马每天成百乃至上千的变种数量,江民科技针对其提取了启发式检测特征,以此提高了江民杀毒软件对于该病毒新变种的查杀能力,最大程度上遏制其对游戏玩家所构成的威胁。
虽然“玛格尼亚”家族逐渐从人们的视野中淡出,但不法分子却丝毫没有放松对于游戏玩家账号的觊觎。他们摩拳擦掌,又一种采用新技术的盗号木马正在悄悄向用户伸出魔爪。
这种盗号木马不同于传统木马篡改注册表等自启动方法,其采用了更为隐蔽的病毒激活方式。这种盗号木马会篡改系统中一些常用的尤其是游戏正常运行所必需的DLL组件。当这些DLL被正常程序调用运行的时候,会首先加载盗号木马的相关组件,之后再去执行正常的文件功能。或者,直接将正常DLL文件重新命名,然后释放一个假冒的同名DLL去掩人耳目。这样,不仅实现了盗号木马的隐蔽启动,同时也不会影响系统的正常运行,可谓“一举两得”。这种方式算得上是一种颇为符合时势的做法。所谓久病成医,当前在杀毒软件的用户群体中有相当一部分属于“技术型用户”,他们通常都较为熟稔地掌握着一些系统和反病毒工具,对于系统中出现的陌生进程、服务项等都具有较高的敏感度。如果盗号木马依旧保守于传统的做法,无疑于自寻死路。就是在这样的现实环境下,迫使病毒作者不得不去寻找一些非常规的方式,才能更好地实现自身的隐藏,从而提高病毒文件的生存周期。
Kido“刻毒虫”变种的爆发和盛行
自去年年底,互联网就开始被一种名为“Kido”的蠕虫所侵扰。这个病毒是继03年冲击波、震荡波之后,近些年来少有的央及范围达全世界的蠕虫病毒。该病毒可通过CVE-2008-4250“服务器服务远程代码执行漏洞”进行自身的传播,因此对于那些没有为系统及时安装MS08-067所对应补丁的用户而言具有很大的威胁。之前曾经见过一台感染了Kido蠕虫的机器,该系统的用户具有一定的安全意识,在刚刚安装完操作系统便准备通过windowsupdate进行补丁更新,但发现微软的站点无法正常访问。同时,一些安全软件厂商的站点也出现了此种情况,但是可以正常访问其它的网站。后来用户安装了杀毒软件并且进行了全盘查杀,才发现原来是系统感染了Kido蠕虫病毒。
后来经用户回忆,在安装系统的整个过程中,他的电脑始终与公司的局域网处于连接状态。由于这段时间其所在公司网内正在流行这种病毒,因此其在安装系统后尚未修复漏洞和安装杀毒软件这一安全真空阶段内,便成了蠕虫病毒的受害者。
从这个事例中我们不难看出,往往一个疏忽或者麻痹大意,都有可能为病毒入侵系统提供了大开之门。因此建议网民在重新安装系统之前,要将一些容易被病毒利用的漏洞的补丁事先准备好,例如IE的积累更新、MS08-067、最新版本的FlashPlayer插件等。安装系统时要拔掉网线,系统安装后应立即安装事先准备的常见漏洞补丁,同时进行一些简单的系统安全配置,例如关闭自动运行特性、关闭不必要的系统服务、删除默认共享、为管理员账户设置强壮的密码、禁用无用账户等,之后再联网进行其它补丁和软件的安装。
IE漏洞两度掀起波澜
2010年上半年对于IE浏览器来说可谓不甚平静。1月14日,微软发布安全警告称,在当时的IE全系列版本中发现了一个由于访问被删除对象而导致任意代码执行的0day漏洞。这个漏洞分别有一个很好听的中英文名称:“Aurora”(极光)。不过,这个漏洞恰似南美热带雨林中的箭毒蛙一样,在看似美丽的修饰下面却蕴含着极大的威胁。果不其然,1月16日,利用该漏洞的恶意代码便在互联网上初露端倪。恶意代码的公布好比是打开了潘多拉的魔盒,随之变得一发而不可收拾。
1月19日,江民科技首次监测到了利用“极光”漏洞进行的挂马事件。而随后几天的监测数据表明,利用该漏洞进行恶意程序传播的站点开始出现猛增的态势,由此导致每天监控到的恶意网站数量较漏洞出现之前增加了数倍。原本显得疲态毕露,甚至依赖于多年前老旧漏洞的网页挂马再次找到了兴奋点,不法分子们如同“久旱逢甘露”一般趋之若鹜地投身到了新一轮的挂马大潮之中。
鉴于事态紧急,微软打破了每月推出安全更新的惯例,破例于北京时间1月22日凌晨推出了MS10-002号安全公告及相应补丁以对此漏洞进行修复。补丁的推出可谓将处于水深火热之中的广大网民及时地解救了出来,这从根本上降低了利用该漏洞进行挂马的成功率,势必也会严重地影响挂马者的积极性。不过据江民科技的监控数据显示,利用该漏洞进行的挂马行为依旧密集,这种情况一直持续到了3月18日,之后利用该漏洞的挂马便进入了消沉的阶段,仅偶有零星的挂马页面会再度利用这个已然大势已去的0day漏洞。
补丁的推出对于终结“极光”漏洞起到了至关重要的作用,不过这还不是导致“极光”消褪的全部原因。致使“极光”失色的另一重要因素,是挂马者们又觅到了“新欢”――“CVE-2010-0806”。这个漏洞不像“极光”有着一个美丽的名字,其标准的国际化漏洞编号命名仿佛直接警示着每个人,这势必又是一个将在全世界范围内掀起惊天波澜的0day漏洞。
这个漏洞与“极光”一样,同样是由错误地引用被删除对象而导致,微软于3月9日向江民等MAPP成员通告了该漏洞的相关信息。仅仅在3天之后,江民科技便监测到了利用“CVE-2010-0806”漏洞进行的挂马事件。上次漏洞的迅速修复,如同给刚刚热闹起来的挂马泼了冷水一般,令不法分子心有不甘。不难想象,挂马者必定会借助这次漏洞事件来继续之前未能实现的非分之想。恶意站点的数量再次猛增,新漏洞迅速成为了挂马者们争相追捧的对象。这一次挂马者们从许多方面都下了功夫,比如,加密最终的恶意程序,并且在下载后通过shellcode进行解密。利用一些管理不严格的动态域名服务商频繁地更换二级域名,以此躲避杀软厂商的围剿等等。显然,挂马者们通过各种手段和方式,妄图增加漏洞利用的成功率和相关恶意程序的生存几率,从而在最大程度上谋取非法的经济利益。
由于种种原因,微软原计划于4月份的例行安全更新中修复这一漏洞。但或许是考虑到IE6、7用户量众多,由此造成的社会影响较为广泛,微软再次打破惯例,于3月31日发布了MS10-018号安全公告及对应补丁,从而彻底帮助用户免遭漏洞的侵害。虽然从补丁发布至今已经过去了3个多月,但时至今日该漏洞依旧是挂马者的首选,相应的挂马页面也是屡见不鲜。这点从利用该漏洞的“CVE-2010-0806”攻击者脚本病毒一直稳定在周、月疫情统计中前5名甚至前三甲上便可见一斑。不过,自6月末至今,“CVE-2010-0806”攻击者脚本病毒便表现出了持续的下跌,逐渐的淡出了流行病毒的排行。
IE桌面快捷方式遭遇真假李逵
IE浏览器是上网冲浪不可或缺的组成部分,它是用户进入互联网的接口,是丰富内容得以展现的平台。首页是用户开启IE之后最先获取到的内容,其可能对用户后续的上网行为产生不同程度的影响。在互联网经济越发火热的今天,其更是成为了相关利益群体的必争之地。特别是对于那些依靠流量、推广而生存的小型站点而言,如何设定并牢牢守住用户的IE首页,更是事关自身存亡的头等大事。于是,IE首页绑架便出现在了网民的生活中。
早先绑架IE首页多是通过修改系统相关注册表项来实现。这一方法最早可以追溯到上个世纪,其实现方法已经不再是个秘密。大多数具有注册表监控的软件可以很好的对其进行监控和防御,因此不法之徒也便不再对其加以利用。
后来不法分子们开始隐藏桌面上的IE浏览器图标,并且释放假冒的IE浏览器快捷方式。由于两者看上去极为相似,最开始不容易引起用户的怀疑。不过由于其打开IE后会自动访问某些站点,而用户又没有发现注册表相关键值被篡改,因此很容易联想到是IE快捷方式存在问题。这类伪造的IE快捷方式具有“.lnk”扩展名,同时其右键菜单内容也不同于正常快捷方式,由此便露出了马脚。很快,这种方式的有效性也便失去了。
随之,又一种更加顽固的伪造IE快捷方式的方法出现。不法分子会在注册表Namespace项下添加相关键值,以此仿冒出不可通过右键菜单进行删除的IE快捷方式。由于其不具有扩展名,同时右键菜单内容也可以仿冒正常的IE快捷方式,从而更加具有迷惑性。这类快捷方式由于不便删除,因此表现得较为顽固。但是众多安全软件厂商都推出了自己的清理工具,从而再次切断了不法分子的生财之道。
恶意推广变本加厉,脚本病毒凸显灵活多变
不法分子不曾放弃对非法利益的追逐,因此没有停下技术创新的脚步。Windows系统强大的功能,使得脚本的应用也随之丰富多样。同时,由于脚本语言灵活的表述方式,使得加密变形也显得十分容易,因此对于变种的查杀而言也造成了不小的难度。
5月份江民科技曾捕获到一个名为“JS毒器”变种gzn的脚本病毒。该病毒运行后会在正常程序文件夹下生成经过加密的恶意脚本并调用运行。恶意脚本运行后,首先会在注册表中创建自定义的扩展名,并且获取桌面上快捷方式的名称等信息,之后会在桌面上创建同名、同图标的假冒快捷方式。以后每当用户通过这种恶意快捷方式启动应用程序时,便会在后台首先执行指定的脚本。指定的脚本在运行后,会在IE收藏夹和桌面上创建大量的Internet快捷方式,以此诱导用户对指定的站点进行访问。这些快捷方式即使被用户删除,也依然会在用户点击假冒快捷方式之后被重复创建,从而令用户难以摆脱。不过对于一些有经验的用户而言,只要在发现桌面假冒快捷方式的奥秘之后,还算是不难处理。
越是容易处理的病毒,其生命周期和实际效果就越会受到限制,因此病毒作者会不断对技术加以变革和创新,从而增强病毒的生存能力和使用效果。仅仅过了不到一个月,这种JS脚本病毒便出现了最新的变种。其变种可谓是无所不用其极,已然大大的超越了前辈的作为。
该病毒的最新变种经过多重加密处理,运行后会将“开始”菜单下所有应用程序、系统程序的快捷方式篡改为随机扩展名的恶意脚本文件(不同于之前变种仅有的单一扩展名),由于其图标仍旧保持原来的样式,因此十分具有迷惑性。这些伪装成快捷方式的恶意脚本在运行后,会首先判断所运行的进程是否为几款常见的网页浏览器。如果是,则会在进程名之后添加骇客指定的URL并且调用运行,从而以此种方式实现首页的绑架。由于该病毒会在注册表中生成大量随机的注册表项目,因此会给手动清除工作造成很大的不便。另外,由于桌面和开始菜单下的所有快捷方式都无一例外的被篡改,病毒清除后需进行的恢复工作也较为繁杂,否则仍会对用户的电脑操作造成干扰。该类病毒由于变种繁多,导致一些清理软件并不能完全的将被篡改的快捷方式彻底恢复。如果用户不慎点击了残留的恶意快捷方式,仍旧会激活藏身于系统文件夹中的母病毒,致使不断被重复感染,令用户难以摆脱侵害。
本文来源:天空软件 作者:佚名