一年前流氓软件肆虐的时期,众多商业公司雇佣程序员编写和电脑病毒拥有类似行为特征的流氓软件,在全社会的声讨和瑞星等安全厂商的努力下,大部分商业公司已经停止了制造、发布流氓软件,但是还有少数公司和流氓软件编写者以更隐蔽、更大胆的方式继续制造流氓软件乃至纯粹的电脑病毒。由于他们在正常的网络和商业社会中拥有大量的资源,能起到黑白两个领域的中间桥梁作用,因此极大地促进了黑客/病毒产业链的发展。
一、黑客/病毒产业链
图7
典型流程(1):黑客侵入个人/企业电脑——窃取机密资料———在互联网上出售——获取金钱。
典型流程(2):黑客侵入大型网站,在网站上植入病毒———用户浏览后中毒,网游账号和装备被窃取———黑客把账号装备拿到网上出售(廉价金块、廉价装备)——获取金钱。
二、模块化、批量制造电脑病毒
从制造病毒技术上说,黑客和病毒制造者大量采用“模块化编写”方法来批量制造新病毒。所谓“模块化编写”,就是黑客把传统上功能齐全的病毒,拆分为不同的功能模块,每个模块都成为单独的病毒。
图8
三、攻击安全软件,和安全厂商直接对抗
三年前,主动攻击杀毒软件的病毒很少见,而目前电脑病毒针对杀毒软件做攻防,已经成为普遍现象,以新毒王“帕虫”、老毒王“熊猫烧香”为代表的大量病毒都加载了攻击杀毒软件的模块。它们通过修改杀毒软件设置、损伤杀毒软件的配置文件甚至直接关闭杀毒软件,造成电脑的防御系统崩溃,从而为所欲为。
以下是上述攻击行为的若干种具体表现:
图9
案例一:病毒修改杀毒软件设置,默认忽略(不查杀)查出的病毒
图10
案例二:病毒修改系统时间让杀毒软件过期,造成该软件无法正常使用
图11
案例三:病毒破坏该IM软件自带的木马查杀模块
图12
案例四:病毒损坏了某杀毒软件的配置文件
四、给病毒加壳躲避查杀
目前,加壳、免杀等技术已经被开始被病毒编写者大量采用。“加壳”就像给病毒文件穿了“马甲”,对于识别能力不强的杀毒软件就会被这件“马甲”蒙蔽,而放过病毒。而“免杀”是指通过特殊技术处理,修改病毒文件,使已知病毒逃过杀毒软件的查杀。
与此同时,一些自动加壳、免杀机也开始出现,甚至实现了商业化。比如黑客、病毒制作者使用较多的“免疫007”就是一种商业化的自动加壳机。该软件作者会每天对软件进行更新,升级频率甚至超过杀毒软件。以使被其加壳的病毒、木马能够躲过最新版杀毒软件的查杀。该软件作者通过销售这种工具获利。
五、社会工程学攻击
所谓“社会工程学攻击”,就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等等不公开资料,为黑客攻击和病毒感染创造有利条件。网络管理人员的素质高低,极大制约了整个网络的安全程度。安全不是技术问题,它是人和管理的问题。由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分。
2007年6月,一个传言在网上流传的很热,据说修改某个注册表的键值,可以让系统运行加快许多倍。实际上,这个键值修改之后,会使整个系统的安全性降低。如果别有用心的黑客大肆传播这样的“系统优化方案”,就可能使许多用户面临安全风险。