- 爱心论坛 (http://zqax.net/bbs/index.asp)
-- 电脑应用 (http://zqax.net/bbs/list.asp?boardid=15)
---- 瑞星2007上半年电脑病毒安全报告 (http://zqax.net/bbs/dispbbs.asp?boardid=15&id=22292)
-- 发布时间:2007/7/27 10:18:27
-- 瑞星2007上半年电脑病毒安全报告
报告概要:脆弱的互联网 疯狂的电脑病毒
瑞星公司的统计、研究表明,目前的互联网非常脆弱,各种基础网络应用、电脑系统漏洞、Web程序的漏洞层出不穷,这些都为黑客/病毒制造者提供了入侵和偷窃的机会。普通网民的基础上网应用包括浏览网页(搜索)、网上银行、网络游戏、IM软件、下载软件、邮件等,都存在着或多或少的安全漏洞,除了其自身的安全被威胁之外,同时也成为病毒入侵电脑系统的黑色通道。
于此同时,病毒产业链越来越完善,从病毒程序开发、传播病毒到销售病毒,形成了分工明确的整条操作流程,这条黑色产业链每年的整体利润预计高达数亿元。黑客和电脑病毒窃取的个人资料从QQ密码、网游密码到银行账号、信用卡帐号等等,包罗万象,任何可以直接或间接转换成金钱的东西,都成为黑客窃取的对象。
通过分工明确的产业化操作,中国大陆地区每天有数百甚至上千种病毒被制造出来,其中大部分是木马和后门病毒,占到全球该类病毒的三分之一左右。
最初的病毒制造者通常以炫技、恶作剧或者仇视破坏为目的;从2000年开始,病毒制造者逐渐开始贪婪,越来越多地以获取经济利益为目的;而近一两年来,黑客和病毒制造者越来越狡猾,他们正改变以往的病毒编写方式,研究各种网络平台系统和网络应用的流程,甚至杀毒软件的查杀、防御技术,寻找各种漏洞进行攻击。除了在病毒程序编写上越来越巧妙外,他们更加注重攻击“策略”和传播、入侵流程,通过各种手段躲避杀毒软件的追杀和安全防护措施,达到获取经济利益的目的。
在2007年上半年瑞星全球病毒监测网截获的所有病毒中,明显针对国内用户、或是明显带有“中国制造”特征的病毒,占据所有病毒总数的37%左右,首度跃居虻谝唬泄舐降厍晌虻缒圆《疚:ψ钛现氐牡厍?BR>
瑞星反病毒专家认为,两种主要因素导致这种现状的产生,一是国内互联网软件和应用存在大量安全隐患,普遍缺乏有效的安全防护措施,二是,国内黑客/病毒制造者集团化、产业化运作,批量地制造电脑病毒。
第一节、电脑病毒疫情统计和分析
一、2007上半年电脑病毒数量统计
2007年上半年瑞星公司共截获新病毒133717个,其中木马病毒83119个,后门病毒31204个,两者之和超过11万,相当于去年同期截获的新病毒总和。这两类病毒都以侵入用户电脑,窃取个人资料、银行账号等信息为目的,带有直接的经济利益特征。从统计数据看来,今年上半年的病毒数量比去年同期增加11.9%。
图1
图2
二、毒王、十大病毒和疫情介绍
根据瑞星公司的统计分析,今年上半年全国约有3500多万台电脑曾经被病毒感染,占到上网电脑数量的一半以上,中国大陆地区已经成为全球电脑病毒危害最严重的地区。
其中,以U盘为主要传播途径的“帕虫”病毒成为新的毒王,“威金”病毒和“熊猫烧香”分列第二、第三位。在各省疫情方面,广东省以368余万台次的数量领先,山东、北京等省市紧随其后。本次统计的前五个省市,染毒计算机都超过了200万台次。
十大病毒排名如下:
1、帕虫(Worm.Pabug;金山:AV终结者;江民:U盘寄生虫)
2、威金蠕虫(Worm.Viking)
3、熊猫烧香(Worm.Nimaya;又称尼姆亚)
4、网络游戏木马(Trojan.PSW.OnlineGames)
5、QQ通行证(Trojan.PSW.QQPass)
6、ARP病毒(多个病毒均具有ARP攻击行为,通称为ARP病毒)
7、征途木马(Trojan.PSW.ZhengTu)
8、MSN相片(Worm.Mail.Photocheat.A)
9、梅勒斯(Trojan.DL.Mnless)
10、灰鸽子(Backdoor.Gpigeon)
图3
由于目前流行的各种互联网基础应用、电脑软硬件大都存在一定的安全薄弱环节,电脑病毒有众多的渠道侵入用户电脑。而且随着黑客-病毒产业链臻于完善,黑客和病毒制造者在强大的经济利益驱使下日趋以集团化、产业化的态势批量制造各类电脑病毒。上述若干原因造成目前的新病毒数量迅速增长,而且入侵、攻击和欺骗手段花样翻新,给中国大陆地区的互联网和电脑用户造成巨大的威胁。
-- 发布时间:2007/7/27 10:19:01
--
三、电脑病毒给用户带来的损害
电脑病毒、黑客攻击和流氓软件给用户带来的危害结果如下:
劫持IE浏览器,首页被更改,一些默认项目被修改(例如默认搜索)
修改Host文件,导致用户不能访问某些网站,或者被引导到“钓鱼网站”上
添加驱动保护,使用户无法删除某些软件
修改系统启动项目,使某些恶意软件可以随着系统启动,常被流氓软件和病毒采用
在用户计算机上开置后门,黑客可以通过此后门远程控制中毒机器,组成僵尸网络,对外发动攻击、发送垃圾邮件、点击网络广告等牟利
采用镜像劫持技术,使多种杀毒软件和安全工具无法使用
记录用户的键盘、鼠标操作,从而可以窃取银行卡、网游密码等各种信息
记录用户的摄像头操作,可以从远程窥探隐私
使用户的机器运行变慢,大量消耗系统资源
图4
第二节、互联网用户安全威胁分析
一、基础网络应用成为黑客/病毒的攻击重点
随着互联网各种应用的不断发展,大量的基础网络应用成为黑客/病毒制造者的攻击目标。目前主流的基础网络应用包括:电子邮件、网页浏览、网上银行和证券、网游、下载(迅雷/BT/电驴)等等,都存在各种安全隐患。一方面,这些网络应用自身的安全成为严重问题,特别是各大厂商都趋于将自己的产品发展成为社区、支付/交易平台,因此其账号、密码成为电脑病毒的直接窃取目标;另一方面,这些基础网络应用也成为病毒传输、黑客攻击的主要渠道。
网络应用丰富,可供病毒传播利用的途径越来越复杂。例如:随着网络视频和音乐的发展,U盘、MP3等可移动介质被黑客广泛利用来传播病毒,目前通过U盘传播的病毒占据总病毒数的比例,从2006年的不足10%,上升到2007年上半年的35%左右。
IM聊天软件,仍然是重要的病毒传播渠道和被害对象。自2006年以来,IM厂商在安全性上做出了一定的改善,但由于此类软件的某些功能,在初始设计上就违背了安全性原则,从而导致IM病毒的传播和泛滥。
网络游戏是黑客和病毒侵害的重灾区。网络游戏的虚拟帐号是互联网上可以任意交易的重要物品,多数网游玩家缺乏基本的安全意识和技能,网游厂商不但缺乏安全保护专业技术,而且在保护玩家利益上投入的精力远远不够,这些因素都使得网游玩家饱受病毒和黑客侵袭,束手无策。
网络银行和网络证券交易日益火爆,大量缺乏基本安全意识和防护措施的股民面临极大安全风险。自2006年下半年以来,针对网络银行和证券的木马、后门程序暴增,相对应的是,大量新股民连基本的杀毒软件都未安装,这其中的安全风险不言而喻。
图5
1、光盘、软件和磁带
光盘数据由于具有只读的特性,除非在刻录光盘的时候已经感染了病毒,并把病毒一起刻录到光盘上,否则基本上不会被病毒感染。软盘由于数据量小,容易损坏,目前已经在市场上逐渐被淘汰,通过此途径侵入用户电脑的病毒数量已经少之又少。
2、可移动介质(U盘、MP3、移动硬盘)
根据瑞星公司的统计数据,2007年上半年,有大约三分之一的病毒可以通过U盘传播。在windows系统下,当U盘、MP3、移动硬盘等移动介质插入电脑时,系统会自动播放光盘上的电影、启动安装程序等,该功能给普通用户带来了很大方便,但这也成为用户电脑安全最为脆弱的地方,移动介质上的病毒会直接进入用户电脑。
2007年6月初,“帕虫”病毒开始在网上肆虐,它主要通过MP3(或者U盘)进行传播,感染后破坏几十种常用杀毒软件,还会使QQ等常用程序无法运行。由于现在使用MP3(U盘)交换歌曲和电影文件的用户非常多,使得该病毒传播极广。截至6月中旬,向瑞星求助的“帕虫”病毒受害用户已经接近十万人次。
而且,2007年上半年的许多病毒都借鉴了“帕虫”病毒的编写手法、传播方式等,很难被彻底清除。根据瑞星客户服务中心的提供的数据,“帕虫”病毒在上半年十大病毒中综合排名第一,成为新的毒王。
-- 发布时间:2007/7/27 10:19:46
--
3、网络软件和网络应用复杂而脆弱,病毒侵入电脑的途径增多。
随着迅雷下载T下载、网络视频等新兴软件和网络应用的兴起,其用户群变得几乎与传统的QQ聊天用户、网络游戏用户一样庞大,这些软件相对复杂,而且某些功能在先天设计上就违背了软件安全的原则,从而导致病毒通过这些软件侵入用户电脑的几率增大。
用户群庞大,安全性能薄弱,这就意味着病毒侵入用户电脑的途径增多,互联网安全风险增大。
3-1、web浏览器(IE、Firefox)
浏览器是大家使用最频繁的互联网工具,但是目前主流浏览器都存在各种漏洞,无论是微软的IE还是FireFox。正是由于使用浏览器的人最多,所以浏览器也就成为了黑客的主要攻击目标。
黑客利用浏览器的漏洞,可以进行下列形式的攻击:
网页挂马
所谓“网页挂马”,指的是黑客自己建立带毒网站,或者攻击流量大的现有网站,在其中植入木马、病毒,用户浏览后就会中毒。由于通过“网页挂马”可以快速的批量入侵大量计算机,非常快捷的组建僵尸网络、窃取用户资料,因此“挂马”成为利欲熏心的入侵者的首选入侵手段。
“挂马”的方法花样翻新,层出不穷。任何一个可以被入侵者利用来“挂马”的网络应用都没有逃过入侵者的魔爪。从Iframe包含,到利用JS文件调用网页木马,以至于在CSS文件中插入网页木马,或者伪装成图片,甚至利用SWF,RM,AVI等文件的弹窗功能来打开网页木马,都成为入侵者运用娴熟的技巧。
黑客们为了迅速的传播网页木马、感染更多的计算机,使用了各种手段:从最原始的手工配置,到大量制造脚本木马,这些木马原本只用来开启服务器后门,现在则加入了“批量挂马”的功能。
当脚本木马侵入网站服务器之后,就会自动搜索硬盘上的所有网页文件,在其中批量插入网页木马,这样,当用户访问带毒网站时,就会被病毒感染。同时,这些被植入网站的木马病毒还特别智能化,它能够智能判断访问者使用的操作系统、浏览器等信息,找出其中可能存在的漏洞,然后执行针对每种漏洞的攻击程序。
网站服务器一旦被侵入,则“批量挂马”的恶意木马会密密麻麻遍布所有的网页文件,普通网络管理员清除时极为烦琐。
ARP攻击
ARP地址解析协议是一种常用的网络协议,每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址一一对应,如果这个表被修改,则会出现网络无法连通,或者访问的网页被劫持。
在普通用户看来,只要小区内有一台机器中毒,则自己访问新浪、百度等大网站就都会带毒,危害极为严重。根据统计,ARP类病毒给全国用户造成了巨大影响,在上半年十大病毒中排在第六位。
黑客利用ARP协议存在的缺陷,侵入某台电脑之后发送ARP欺骗攻击数据包,造成局域网内所有用户在访问网络时,收到的都是带毒的网页。如果中毒电脑是位于数据中心内的服务器,则其所在vlan内的其他网站服务器在响应用户的http请求时,返回的页面也将带毒,这样遭受危害的客户端机器会以几何级数迅速增多,危害极为严重。
典型攻击过程图示:
图6
黑客侵入一台Web服务器后植入网页木马,使用ARP病毒感染该服务器,该服务器开始向网络内其他服务器发起ARP欺骗攻击,修改同一网络内其他服务器向客户端响应的服务数据,导致其他服务器本身虽然没有感染病毒,但是通过网关向客户端返回的http数据均被插入网页木马。
位于一个企业网络内的主机A在访问该中毒服务器时,被网页木马所带的ARP病毒感染,于是也在企业网络内发起ARP欺骗攻击,ARP病毒修改了本网内所有主机访问外部网络的http数据,在所有http页面中插入了网页木马,主机A成为传播ARP病毒的帮凶,通过这种方式,该病毒将会迅速传播。
-- 发布时间:2007/7/27 10:20:33
--
再加上病毒制造者结合电子邮件传播、USB设备传播、IM软件传播、局域网共享传播、入侵大型网站“挂马”等传播方式,病毒可以在很短的时间内影响整个互联网。在感染用户计算机以后与安全软件对抗,窃取用户资料、破坏计算机系统是该类蠕虫的危害所在,可以造成极大的经济损失。
C、利用浏览器漏洞进行“钓鱼网站”诈骗
无论IE还是firefox(火狐),都在不断出现各种各样的漏洞,例如:有的浏览器漏洞可以让黑客在网页中插入恶意代码,有的可以让浏览器显示错误的网址。黑客可以向用户发送邮件或者QQ消息,让他点击某个网址。这个网址的URL看上去是个著名网站,打开之后显示的页面也像那个网站,但其实是黑客自己建立的钓鱼网站。
黑客往往会搭建虚假的银行、购物(如Ebay、taobao)等钓鱼网站,骗取用户的账号、密码等信息谋取利益。
3-2、网络下载软件
随着迅雷、快车、BT、电驴等新兴下载方式的流行,黑客也开始把其当作重要的病毒传播手段。这三种下载方式有着共同的技术特点,在先天设计上就存在安全上的薄弱性:
无中心神经网络结构
这些软件没有关键节点(中心服务器),任何点都有可能向外传播病毒,即使删除某些源病毒文件,这些文件也会在整个P2P网络中存在,不易清除。
任何一个节点都有可能从相邻的节点感染病毒,大大增加了用户感染病毒的几率。
传播快速有效
由于具备网状的特殊结构,病毒的传播很方便。
利用社会工程学的病毒,传播得更加有效。黑客只要把病毒文件起一个诱惑性名称(如性感照片),自然会有人搜索到,然后进行下载。
每台计算机既能下载,又能共享自己的文件给别人,有些病毒会自动把自己伪装成热门资源,放在共享文件夹里欺骗用户下载。
针对三种软件不同的特点,黑客也采用了不同的利用手法:
BT一般用来下载网络电影,而BT种子的发布网站,轻易就能有数十万、上百万的浏览量,黑客往往会在这些BT种子站植入木马,用户浏览后就会中毒。有时黑客干脆把病毒伪装为BT种子,起个《激情***》、《劲爆***》等诱惑性的名字,诱骗用户下载。
电驴的搜索功能比较强,如果用热门搜索词当作病毒文件的名字,则有很大可能被搜索到并下载,用户下载后就会中毒。
迅雷和快车的下载速度非常快,黑客往往会把病毒和热门软件、热门电影捆绑在一起,用户在下载前无法辨别其中是否含有病毒,下载运行后即会被感染。同时,热门的资源发布站点可以聚集大量的人气,而这些网站往往是个人成立的中小型网站,很容易被黑客攻破植入病毒。
对于病毒利用下载软件进行传播的问题,很多厂商并没有提起应有的重视,致使一些带毒文件长期存在,被数以万计的人下载。由于P2P软件本身的特点,即使源带毒文件被删除,其他用户还可以从别人的电脑下载到,这大大增加了病毒存在的时间。黑客使用P2P软件当作传播途径,不用攻击网站、不用付出很大代价,就可以把病毒散播出去。
尽管目前下载软件厂商在安全方面也采取了一定的措施,例如提供专门的木马查杀工具、病毒清除模块,但是他们缺乏安全技术积累,缺乏针对恶性病毒快速响应的技术实力,也提供不了整体的安全解决方案,用户面临的安全问题亟待解决。
3-3、即时通讯软件
即时通讯软件是用户上网主要使用的工具,最新的调查统计表明,QQ在网民中的使用比例高达91.8%,其次是MSN(28.3%)。对于国内网民来说,QQ的使用率甚至已经超过了手机(89%)和固定电话(84.3%)。而且这些用户之间沟通频繁,使用率极高,这使即时通讯软件成为病毒重要的传播途径。
以QQ类IM软件为例(淘宝旺旺、新浪UC等可能面临同样的问题),主要的安全风险如下:
IM软件程序本身可能出现漏洞,安装之后可能破坏系统的整体安全。当IM软件出现漏洞时,即使该软件自身不运行,它制造的漏洞也可以使操作系统的安全性降低,使得黑客可以轻易入侵。
-- 发布时间:2007/7/27 10:24:56
--
黑客可以编写“QQ尾巴”类病毒,通过IM软件传送病毒文件、广告消息等。现在很多木马都带有QQ尾巴功能,一旦侵入用户电脑,就会自动向QQ好友发送垃圾消息,例如:“嘿,老同学,我给你点播了一首好听歌,存在手机里啦,你拨打*****就可以收听”,其实这个号码是收费的,用户拨打之后就会被扣走数十元。
病毒利用IM软件自动发送带毒网址,用户浏览这些网站后就会中毒;或者发送钓鱼网站的网址,试图骗取用户的银行账号、支付宝账号等信息。
黑客可以通过病毒或其它手段截取IM软件聊天的信息,如果用户通过IM软件发送信用卡信息、银行账户等,就可能会被黑客窃取。
IM软件密码本身是黑客窃取的重要对象。例如,由于6位、7位QQ号可以在网上卖出很好的价钱,从而成为黑客眼红的目标。他们往往编写专门的QQ木马,通过进程注入、键盘钩子、读取内存等手段窃取QQ密码;而淘宝旺旺等IM软件同时和网上交易、支付平台关系密切,则更成为黑客窃取的重要目标。
IM软件群文件共享、IM软件用户空间中往往带有恶意文件和恶意网址,用户很容易中毒。
修改版IM软件(如珊瑚虫版、去广告版、显IP版等)的安全威胁。一些网友对某些IM软件的原版程序不满意,往往自行修改其各种功能并在网上发布。有些版本中存在安全漏洞,会对安装后的系统造成一定的损害。甚至,有的中小网站下载的修改版QQ中直接捆绑了病毒和木马。
MSN聊天软件的安全风险与QQ类软件相似,但是由于使用MSN的多数是商务人士、学生、白领等阶层,存在着自身的安全风险特点:
MSN账号常常使用hotmail、passport等绑定,在最近流行的网络交友社区中,用户往往把自己的hotmail信箱当成登录账号。而新兴的WEB 2.0交友社区,通常是一些中小型网站,在安全上缺乏响应的考虑,有些交友网站干脆就是“流氓网站”,他们会出售用户的MSN账号来牟利。
2006年6月,“中国缘”网站利用购买到的MSN账号信息,通过MSN机器人向用户大量发送骚扰性广告信息,遭此骚扰的用户达到千万。2007年2月,“中国缘”网站再次利用垃圾邮件、MSN消息等方式大规模骚扰MSN用户。
2、利用MSN传播病毒。黑客可以模拟用户的操作,利用MSN自动发送病毒文件,用户接受运行该文件后就会中毒。
2007年6月,“MSN相片”蠕虫病毒爆发,它主要通过MSN疯狂传播,电脑中毒后会自动发送MSN消息给线上好友,并且传播一个压缩的文件夹(病毒文件),用户如果接收运行后,就会导致电脑瘫痪。
3-4、网络游戏
网络游戏是网络上最重要和广泛的应用之一,据统计,2006年中国网络游戏玩家为3112万人,接近经常上网的网民数的50%。由于网络游戏装备、虚拟财产可以很方便的在网络上出售,换来丰厚的利润,因此成为黑客窥测的主要目标。
根据瑞星的统计,在2007年上半年截获的新病毒中,木马和后门病毒超过11万个,这些病毒绝大多数与网络游戏有关。在2007年上半年十大病毒中,游戏相关病毒占据了3个。密码失窃、装备被盗卖,已经成为网游玩家最为头疼的问题。
针对上述安全问题,网游厂商也采取了一定的安全举措,例如开发针对本游戏的木马专杀工具,使用硬件随机密码生成器(如盛大密宝),加大人工投诉的处理速度等。但是,这些措施在本质上并不能保证用户的安全。
木马专杀工具的安全风险:根据瑞星统计,2007年上半年被截获的木马和后门类病毒超过11万,任何一个专杀工具都不可能涵盖如此庞大的病毒库;偷窃网游账号密码的病毒每天都会出现数百个,这要求厂商具有极高的病毒分析能力和处理能力,网游厂商不具备这样的能力;最重要的是,专杀工具本身不具备自我保护能力,很容易就病毒干掉,这样的措施根本无法保护用户安全。
硬件随机密码生成器:加密和解密,是黑客生活最为重要的部分。硬件密钥比单纯的网络密码要安全许多,但还是存在一定的安全风险。并且,由于硬件密码生成器采用U盘作为介质,导致其成本长期居高不下,很多用户出于省钱的考虑而放弃此种类型保护。
-- 发布时间:2007/7/27 10:27:27
--
受理玩家投诉、各种绑定等人工措施:由于互联网的发展,黑客窃取账号、装备、虚拟货币之后,可以在极短的时间之内出售获利,人工处理往往会迟滞很久;同时,网游盗号、欺诈等大量发生,给网游厂商的客户服务部门带来了沉重的压力,这种“发生后处理”的方式根本无法保护用户的利益。
3-5、网上银行和网上证券
随着股市的火爆,2007年上半年,有关网络银行和股票帐户的病毒数量一直呈上升趋势。而且,上半年入市的新股民中,很多属于中老年用户,他们对计算机和网络缺乏基本的安全概念,在遭受病毒侵害后也面临更大的安全损失。
网络银行和证券用户的安全风险:
许多用户缺乏基本的安全概念,在电脑上根本没有安装杀毒软件,或者安装之后长久不升级。
网络炒股和银证通转帐需要多个密码,包括资金密码、交易密码等,普通用户很难记清楚。于是,很多用户在开户之后不修改初始密码,或者使用生日、电话号码当作密码,并且股票帐户、资金帐户使用同一个密码,这样很容易被黑客窃取或猜出。
券商对用户的安全提不起足够的重视。在券商提供的专用炒股软件中,通常都包含了专用的安全模块,但这些模块很可能很长时间不升级,比如某大券商的股票下单软件,安全模块病毒库的最新日期居然是2006年9月,这样极其容易被黑客利用。
网络支付的便利化,使得黑客可以轻易划走帐户里的资金。很多银行都开展了促进网络银行使用的工作,用户只需要在网上输入银行卡号和密码,就可以转走资金用于网络支付。而卡号和密码都可以用木马病毒窃取到,这样的“便利”严重违背了安全性原则。
在可以预计的未来,网络支付、网络银行、证券等将得到长足的发展,而安全性将成为发展道路上最大的障碍。
3-6、电子邮箱
电子邮箱(Email)是最为基础的互联网应用之一,它不但使用人数广泛,而且往往和信用卡、支付帐户等进行了绑定,电子邮件的安全问题如果解决不好,将会严重影响到整个互联网的安全和稳定。
电子邮件的安全风险:
很多病毒在侵入用户电脑后,都会自动向外发送带毒邮件,用户打开这些邮件后就会中毒。由于客户端邮件软件和网络浏览器存在多种漏洞,这就使得用户无论是通过客户端接收邮件,还是用WEB方式打开邮件,都可能遭受病毒附件的侵扰。电子邮件已经成为黑客传播病毒最为重要的渠道之一。
黑客往往会通过电子邮件发送钓鱼网站、带毒网站等,用户点击电子邮件中的不良网址后,就可能中毒,或被骗取银行账号、信用卡账号等信息。
黑客可以通过病毒或其它手段截取电子邮件的内容,如果用户通过邮件发送信用卡信息、银行账户等,就可能会被黑客窃取。
随着网络银行、网络支付的兴起,很多用户把自己的电子邮件和银行账户、支付帐户进行了绑定,如果用户的电子邮件帐户被人侵入,则与其绑定的私人信息都可能被窃取,这给邮件用户带来了很大的安全风险。
二、系统漏洞带来的安全问题
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,它可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说,比如在Intel Pentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题,这些都可能被攻击者使用,威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。
漏洞会影响到很大范围的软硬件设备,包括操作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。
-- 发布时间:2007/7/27 10:28:31
--
漏洞问题是与时间紧密相关的。操作系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。
典型例子:ANI病毒
2007年4月,微软浏览器的“动画图标文件栈溢出漏洞”被曝光,其影响包括vista在内的windows主流操作系统产品。在微软发布补丁之前,利用该漏洞的攻击方法已经在互联网上传播,并且出现了利用该漏洞的“ANI蠕虫”病毒。
“ANI蠕虫”病毒的传播手段和危害方式和臭名昭著的“熊猫烧香”病毒类似,但是由于其使用的是微软尚未发布补丁的漏洞进行传播,具有更强的危害性,瑞星为此发出2007年第一个“橙色安全警报”(二级)。
微软内部早已接获存在该漏洞的报告,却未能及时发布补丁,类似的已经被安全研究人员发现但微软没有提供补丁的安全漏洞并非只有这一个,如果掌握漏洞细节的不是有良知的安全厂商而是恶意入侵者的话,恶意攻击行为与蠕虫便会随之出现。
事实上,“熊猫烧香”、“ANI蠕虫”等病毒之所以猖獗,是因为它们充分利用微软的漏洞,并采用了一些特殊的手段。例如,熊猫烧香会在中毒机器的网页文件中加入恶意代码,如果中毒机器正被网络编辑使用,则这些文件被上传到网站之后,就会让浏览网站的人中毒。
由于当时许多门户网站的编辑使用的电脑也被此病毒感染,导致这些门户网站带毒,数百万用户浏览网站后中毒。
三、Web程序安全漏洞愈演愈烈
由于Web程序员的疏漏,存在SQL注入漏洞的网站是如此之多,这是当前入侵者入侵服务器的主要途径,入侵Web服务器并窃取机密信息,利用控制的Web服务器来“挂马”的行为大都通过SQL注入攻击来进行。
2007年7月初,一个沙特阿拉伯的少年黑客成功侵入微软英国网站,贴上一幅儿童摇沙特阿拉伯国国旗的照片,把网站上原来的内容覆盖掉。这个黑客入侵利用的就是SQL注入漏洞。显然,不单单是微软,大多数使用数据库的网站都面临这一威胁。
除了SQL注入漏洞以外,XSS跨站脚本攻击也有愈演愈烈的趋势,由于往年对XSS漏洞不够重视,大量的大型网站存在该问题,利用XSS漏洞进行攻击在结合“社会公程学”手段以及方便的即时通讯软件后产生巨大的危害。
病毒制造者侵入带有XSS漏洞的大型网站,植入病毒,将网站链接通过IM软件传播,即可导致大量用户上当并感染病毒。由于这些大型网站被多数用户信任,使得用户更有可能受到欺骗,访问这些带毒网站后中毒。
许多大型网站,包括MySpace、谷歌和雅虎都曾经吃过XSS漏洞的苦头,随着Web2.0的流行,网站上可以插入脚本的地方如此之多,众多初创的Web2.0站点忙于发展,不愿意在安全问题上花费更多的时间,这使那些热门网站成为黑客最容易利用的互联网软肋。
第三节、黑客/病毒群体行为和产业链分析
从瑞星公司的统计、研究数据来看,黑客/病毒产业链在近一两年有进一步的发展和完善,窃取的个人资料从QQ密码、网游密码到银行账号、信用卡帐号……等等,任何可以换成金钱的东西,都成为黑客窃取的对象。同时越来越多的黑客团伙利用电脑病毒构建“僵尸网络”(Botnet),用于敲诈和受雇攻击等非法牟利行为。
由于互联网上的病毒地下交易市场初步形成,获取利益的渠道更为广泛,病毒模块、僵尸网络、被攻陷的服务器管理权等等都被用来出售,很多国内黑客开始利用拍卖网站、聊天室、地下社区等渠道,寻找买主和合作伙伴,取得现金收入,整个行业进入“良性循环”,使一大批人才、技术和资金进入这个黑色行业。
-- 发布时间:2007/7/27 10:29:24
--
一年前流氓软件肆虐的时期,众多商业公司雇佣程序员编写和电脑病毒拥有类似行为特征的流氓软件,在全社会的声讨和瑞星等安全厂商的努力下,大部分商业公司已经停止了制造、发布流氓软件,但是还有少数公司和流氓软件编写者以更隐蔽、更大胆的方式继续制造流氓软件乃至纯粹的电脑病毒。由于他们在正常的网络和商业社会中拥有大量的资源,能起到黑白两个领域的中间桥梁作用,因此极大地促进了黑客/病毒产业链的发展。
一、黑客/病毒产业链
图7
典型流程(1):黑客侵入个人/企业电脑——窃取机密资料———在互联网上出售——获取金钱。
典型流程(2):黑客侵入大型网站,在网站上植入病毒———用户浏览后中毒,网游账号和装备被窃取———黑客把账号装备拿到网上出售(廉价金块、廉价装备)——获取金钱。
二、模块化、批量制造电脑病毒
从制造病毒技术上说,黑客和病毒制造者大量采用“模块化编写”方法来批量制造新病毒。所谓“模块化编写”,就是黑客把传统上功能齐全的病毒,拆分为不同的功能模块,每个模块都成为单独的病毒。
图8
三、攻击安全软件,和安全厂商直接对抗
三年前,主动攻击杀毒软件的病毒很少见,而目前电脑病毒针对杀毒软件做攻防,已经成为普遍现象,以新毒王“帕虫”、老毒王“熊猫烧香”为代表的大量病毒都加载了攻击杀毒软件的模块。它们通过修改杀毒软件设置、损伤杀毒软件的配置文件甚至直接关闭杀毒软件,造成电脑的防御系统崩溃,从而为所欲为。
以下是上述攻击行为的若干种具体表现:
图9
案例一:病毒修改杀毒软件设置,默认忽略(不查杀)查出的病毒
图10
案例二:病毒修改系统时间让杀毒软件过期,造成该软件无法正常使用
图11
案例三:病毒破坏该IM软件自带的木马查杀模块
图12
案例四:病毒损坏了某杀毒软件的配置文件
四、给病毒加壳躲避查杀
目前,加壳、免杀等技术已经被开始被病毒编写者大量采用。“加壳”就像给病毒文件穿了“马甲”,对于识别能力不强的杀毒软件就会被这件“马甲”蒙蔽,而放过病毒。而“免杀”是指通过特殊技术处理,修改病毒文件,使已知病毒逃过杀毒软件的查杀。
与此同时,一些自动加壳、免杀机也开始出现,甚至实现了商业化。比如黑客、病毒制作者使用较多的“免疫007”就是一种商业化的自动加壳机。该软件作者会每天对软件进行更新,升级频率甚至超过杀毒软件。以使被其加壳的病毒、木马能够躲过最新版杀毒软件的查杀。该软件作者通过销售这种工具获利。
五、社会工程学攻击
所谓“社会工程学攻击”,就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等等不公开资料,为黑客攻击和病毒感染创造有利条件。网络管理人员的素质高低,极大制约了整个网络的安全程度。安全不是技术问题,它是人和管理的问题。由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分。
2007年6月,一个传言在网上流传的很热,据说修改某个注册表的键值,可以让系统运行加快许多倍。实际上,这个键值修改之后,会使整个系统的安全性降低。如果别有用心的黑客大肆传播这样的“系统优化方案”,就可能使许多用户面临安全风险。