通常,人们对可以传染的疾病都会觉得有些恐惧。比如说非典时,人人自危,感冒了都不敢大声咳嗽,生怕被周围的人举报然后送去隔离。在古代,人们甚至将一些染上麻风的病人用火烧死,以图控制疫情漫延。我们知道,传染病的传播,是一些病原体从一个健康人到另一个健康人,再逐步漫延到更多人群的过程。病源体,包括致病菌、病毒,或其它微生物。我们还知道传染病的发生发展,还与人群、病原体和传播途径有关。而与这三个环节同时相关的,还有社会环境和自然环境。
通常,人们对可以传染的疾病都会觉得有些恐惧。比如说非典时,人人自危,感冒了都不敢大声咳嗽,生怕被周围的人举报然后送去隔离。在古代,人们甚至将一些染上麻风的病人用火烧死,以图控制疫情漫延。我们知道,传染病的传播,是一些病原体从一个健康人到另一个健康人,再逐步漫延到更多人群的过程。病源体,包括致病菌、病毒,或其它微生物。我们还知道传染病的发生发展,还与人群、病原体和传播途径有关。而与这三个环节同时相关的,还有社会环境和自然环境。
一种传染病,只会在某种社会人文环境和特定的自然环境下才能发生,而不是全人类都要受这种传染病的影响。我们常在电视新闻上看到非洲某地埃博拉出血热很恐怖,但我们却不用担心,这种致命的病毒必须借助一定的媒介才可能到达其它地区。随着社会环境的不断变化,传染病的构成也发生深刻变化——以前的小孩子经常被麻疹这样的传染病折磨,而因为计划免疫的人工干预,麻疹基本消失。因为人们饲养宠物的数量增加,狂犬病等一些人兽共患病越来越多。由于性观念的巨大变化,以前在中国几乎消失的性病又死灰复燃,以致于我们经常能在街头巷尾的小广告上看到它们。
计算机病毒(注:这里所指的计算机病毒,是指所有恶意软件,并非法学定义的病毒概念),是从生物病毒演化过来的名词,计算机病毒的传播特性非常接近于生物病毒。
因此,我从公共卫生转行到计算机病毒防治的时候,根本没有转行的感觉。计算机病毒的传播同样取决于三个环节:病毒、电脑系统(包括电脑和操作电脑的人)、病毒传播途径,这三者缺少任何一个环节,病毒都不能完成从一台电脑到另一台电脑的传播过程。比如,我的电脑里存储了很多病毒样本,但这些样本我从来不会在真实的系统中联网运行,我也不会将这些样本复制到别的媒介,那这些病毒就不可能传播到其他电脑。
计算机病毒的传播,同样受外在环境的影响,就如沙漠中不会有热带雨林才能生长的植物。计算机病毒的发生发展,也有自身所依赖的生态环境。这很好理解,举例说明:如网购病毒、交易劫持木马横行,如果你从来不在网上购物的话,你的电脑基本上不会受网购病毒的影响。这些病毒根本没有到达你电脑的机会。而有的人特别喜欢欣赏爱情动作片,那他的电脑可能三天两头需要杀毒。
在每年整理年度感染数据时,安全厂商都会对计算机病毒的数量和构成进行分析,总结出影响最大的十大病毒排名。尽管各厂商对病毒的具体命名可能不尽相同,各自捕获的数据也并不一致,但还是可以看出计算机病毒的分布规律。计算机安全厂商对计算机病毒的发展趋势有一个公认的结论:病毒不再是以破坏系统的为目的,而是以经济犯罪为目的。
早期病毒主要表现
前几年,病毒的主要表现是:
1.攻击单个电脑系统
比如CIH,就是要干掉BIOS芯片,将硬盘前若干个扇区的数据抹干净,让电脑不能启动,数据不能访问。funlove病毒就没完没了的感染exe,只到所有exe都被感染了一遍又一遍,最后连病毒自己都快累死了,系统瘫痪了事。
2.攻击网络系统
比如netsky邮件蠕虫,中毒后,给所有联系人发邮件,在附件中传播自身,收件人打开附件,病毒就自动运行,继续不停地给所有联系人发带毒邮件,直到中毒电脑越来越多,直到病毒邮件把邮件服务器硬盘空间占满,邮件服务器彻底歇菜为止。中冲击波之后的电脑,没完没了的重启、崩溃,一台台电脑都成了废铁,正常业务无法进行。
这个时代,病毒作者的真实目的只有一个:技术比拼
病毒作者比的是谁的程序最NB,能把电脑搞死;比谁的病毒传播速度快,几个病毒搞竞争,看谁感染的主机多。病毒作者以玩弄杀毒厂商为乐。比如一些变形病毒,感染一次,换一次特征,还自带编译工具,杀毒软件要恢复被破坏的文件难上加难。
在技术为王的时代,社会文化差异并不怎么影响病毒传播:一个新的蠕虫病毒出来之后,在很短的时间内传遍全球。许多纯英文的蠕虫病毒邮件一样传到很多中国人的电脑,不管这个人懂不懂英语,他都会受英文病毒邮件的影响。冲击波病毒只用几天时间就分布在世界各地,而SQL蠕虫王更快,诞生后几个小时,韩国互联网就全面崩溃,又过了几小时,网络中传递的数据包,绝大多数是病毒自动传输的垃圾数据。就好比北京大堵车的局面,几小时后漫延到全球各个城市。下图展示的是sircam邮件蠕虫发现数小时后在全球的分布情况。
在技术为王的时代,你会发现,不同安全厂商所列举的病毒构成基本吻合,十大病毒排名也是如此,全球各安全厂商的统计结果大致差不多。因为网是连在一起的,蠕虫病毒又具备主动通过互联网传播的特性。病毒在传播时,只要是windows操作系统,不管这个windows系统用的什么语言都一样会感染。
Symantec曾经盘点过十大最具威胁的病毒,其中的大多数为中国网民所熟知。
再看现在,几乎找不到病毒作者这么干,破坏性病毒凤毛麟角。病毒作者几乎都将目标盯上了每个受害者的钱袋子、每台电脑上存储的个人信息、商业情报、每台电脑可以贡献的流量、点击等等。每感染一台电脑,病毒作者都想取得最直接的经济利益。由此,安全厂商们越来越清晰地观察到,一个以病毒生产、传播而滋生的黑色产业链日益壮观。
参考2010年中国安全厂商总结的十大病毒:
除了震网是网络战的工具,kido是蠕虫病毒,三个厂商总结的年度十大病毒里,再也找不到以破坏为目的的病毒了。
对照前几年,病毒的传播正在发生深刻变革。与病毒所依赖的环境巨变密切相关。列举一下吧:
1.Windows 防火墙集成之后,冲击波、震荡波之类的蠕虫病毒再难掀起大的波澜。
2.Windows内置的Outlook Express漏洞、IE漏洞和Office Outlook的安全漏洞不断被修补。那些仅预览邮件就立刻中毒的情况已不覆存在。Office 宏安全性不断改进,宏病毒接近消失。
网络应用的不断拓展,IM和社交网络取代邮件系统成为最为广泛的应用。邮件病毒、宏病毒的生态环境发生巨变。随着IE版本升级,IE越来越安全,网页挂马攻击,已差不多完全失效(在中国是个例外,大量盗版用户死守IE6,网页挂马在中国的消亡是因为金山网盾类的防御工具非常有效。)
由于病毒生态环境的巨变,那些能够主动复制传播的感染型病毒、蠕虫病毒逐步丧失大面积传播的基础,能够在全球范围内传播的病毒越来越少见。
病毒的传播方式,从依靠网络主动复制传播,转变为以网民行为所主导。病毒的传播与网民的行为密不可分,金山网络在年度安全报告中,将最易受病毒攻击的网民归纳为五类:网络视频爱好者、游戏玩家、外挂使用者、热门软件爱好者、电子书爱好者、偏好使用U盘交换文件的用户。
由于病毒更依赖网民的主动点击行为进行传播,病毒的中外分布差异变得更有文化特征:中国网民大概不会对英文网页有多少兴趣,老外玩Facebook、Twiiter,中国人则喜欢人人网、开心偷菜、QQ聊天和新浪围脖。同样,外国人也不会对中文社交网络有多少兴趣。例如,Symantec、Panda、微软都曾报告假杀毒软件危害严重,在病毒总感染量的大约5%左右,假杀毒软件一年骗财5000万美元之多。
但中国杀毒厂商却没有报道假杀毒软件对中国网民有什么影响。原因很简单,中国网民使用软件的付费意愿很低,谁会上假杀毒软件的当呢。
一个简单的例子也可以说明国内外厂商对计算机病毒的关注点存在较大差异:
2010年12月5日,金山捕获了一款可对抗“云安全”的伯虎木马,该木马借“bohu高清影音”播放器传播,木马用比较流行的“SEO+色情网站”手段。即首先通过一些热词或色情信息,如“大笑江湖”“激情小电影”等,将用户吸引至恶意页面,下载专用播放器后中毒。
1月16日,AVG发布来自微软恶意软件保护中心的报告,在中国出现一个通过视频插件方式传播的Bohu木马病毒,它不但可以绕过各种杀毒软件的查杀。甚至还能直接阻断杀软跟“云”之间的沟通,阻止杀毒软件的和服务器的联系和升级。
2011年2月16日,赛门铁克安全响应中心近期检测到Trojan.Bohu木马病毒。
总结一下:
1.计算机病毒和生物病毒的传播规律很相似;
2.计算机病毒作者早期的目的是技术比拼,现在以经济利益为首要目标;
3.计算机病毒的生态环境发生巨变,蠕虫病毒、感染型病毒、宏病毒丧失生存土壤,病毒传播的速度和范围都趋于下降;
4.病毒传播方式,从主动在网络中复制传播,转变为依赖网民的鼠标点击,与网民的行为嗜好密切相关。网民的文化差异,决定了病毒传播的中外差异;
5.文化差异与目标用户的差异,也造成了中外杀毒厂商关注点的不同。