“MSN性感鸡”,网络提前遭遇“禽流感”
2005年,禽流感席卷全球,让人闻鸡色变。
而网络上的“禽流感”更是早于现实,从2月3日开始,席卷全球互联网。
2月3日上午,金山、瑞星、江民等国内多家安全软件厂家,接到大量MSN用户中毒信息,一个名为“MSN性感鸡”的病毒迅速在互联网上疯狂传播。msn用户感染后会向所有好友发送病毒文件。MSN性感鸡除了利用MSN向外界发送病毒文件、消耗系统资源外,还会在中毒电脑里放置后门程序,使黑客可以远程控制该电脑,从而使用户面临极大的安全威胁。
在相对平静的2005年网络环境中,“MSN性感鸡”造成危害最严重的一个病毒。随着各大门户网站的即时通讯工具的推出,以及金山加加、盛大圈圈等的加入,病毒制造者利用IM(即时通讯工具)做为传播,已经成为了病毒传播的首选方式。金山毒霸反病毒服务中心整个2005年接到的感染报告中,通过IM工具传播的病毒高达270万次,排在所有病毒之首。这也使的国内IM厂家高度重视,腾讯推出的QQ2005,就在业界率先与杀毒厂商合作,与金山公司合作推出了国际首创的“QQ安全中心”。
金融机构成为网络钓鱼最青睐对象
2005年,美国超过300万的信用卡用户资料外斜,导致用户财产损失,同时,中国工商银行、中国银行等金融机构先后成为黑客们模仿的对象,设计了类似的网页,通过网络钓鱼的形式获取利益。这一现象在2005年以平均每个月73%的数字增长,使很多用户对于网络交易的信心大减。导致年底各家银行对于网络交易安全提高重视。
针这些对愈演愈烈的网上银行诈骗事件,中国人民银行于10月30日向社会公布《电子支付指引(第一号)》,对银行从事电子支付活动提出了指导性要求,对银行针对不同客户在电子支付类型、单笔支付金额和每日累计支付金额等方面作出合理限制。
各杀毒厂家纷纷披露主动防御计划反病毒欲改被动劣势
5月,业界一条以“网络安全惊曝黑幕”为题的报道,在原本还算平静的网络安全行业搅起千层巨浪。这篇报道毫不客气地将杀毒软件比做“过期药”,更将信息安全厂商们斥之为贩卖“过期药”的贩子。随后,国内著名信息安全厂商金山公司对外宣布,其杀毒软件“主动防御(ADP)”业已完成第二层(网络自防御)计划,并且证实该计划已经应用到当天发布的金山毒霸2005中小企业版当中。至此,包括金山、瑞星在内的国内主流信息安全厂商均做出高调反应,表明中国的信息安全厂商正试图扭转在与病毒竞争中长期被动的局面。
“主动防御”更像是一个贴身的保镖,勤勤恳恳、认认真真的监视着周围的可疑人物,让危险总能在最后一刻之前化解。“主动防御”以事实为依据,掌握用户计算机真实的安全状况,在用户还没有意识到之前,能给予用户更多的提示与建议,帮助用户构筑专家级水准的计算机安全防线。它是传统杀毒软件的超集,虽然它也需要传统方法的补充,但它的理念已经超越了单纯的杀毒,而是全面保护用户计算机的安全。它是安全软件未来的发展方向。
流氓软件引起公愤,人人喊打
6月21日,北京市网络行业协会联合新浪、搜狐、金山、瑞星等16家网络和软件企业联合起草了《软件产品行为安全自律公约》,联合承诺共同防范“流氓软件”带给网民的麻烦。随后,在北京市网络行业协会的网站上,接受网民的投诉,引起众多网民的关注与投诉。7月11日,网络行业协会根据网民的投诉,点名公布了10家流氓软件名单,包括了3721、淘宝、e趣、DUDU等家加知名软件。
2005年,间谍软件已经大面积闯入了我们的网络生活中。间谍软件从以前单一的收集用户信息和盗取有价账号等方式扩展到恶意广告。恶意广告的典型特征为:悄悄安装;不易卸载;保护自己使用低层技术与多种软件冲突;随时随地弹出骚扰广告。而目前在国内用户被侵扰最多的间谍软件就是恶意广告和盗号木马。90%以上的网民都直间或间接的受到此类间谍软件的侵扰。
狙击波,与时间赛跑的病毒
8月15日,金山公司率先截获了被称为历史上最快利用微软漏洞攻击电脑的病毒“狙击波”,危害程度直指当年的震荡波。在随后的24小时内,变种迅速,出现多个变种,给相对平静的2005年网络环境,带来阵阵涟漪。该病毒源自欧洲芬兰,之后在欧洲迅速流传。其中在美国蔓延,美国国会、美国有线电视台(CNN)、美国广播公司(ABC)、纽约时报等重要企业和政府机构遭受此次蠕虫狂潮的袭击,并造成部分网络瘫痪。在国内,华南地区尤其是广州地区的个人及企业用户中毒的较多。
名人、热点新闻成为病毒载体
2005年8月30日,被全国关注的“超级女声”总决赛进行之际,一个借着“超级女声”的名气传播的QQ病毒现身网络,盗窃用户的信息。“超级女声”也成为了2005年带毒的明星、热点事件最为突出的事件,其前后,包括:拉登、羽泉、周杰伦、禽流感、伦敦地铁爆炸等等,也成为了一个特别的现象。每当网上出现热点新闻或者热点人物的时候,各病毒监测中心的精神也都高度集中,不知道下一个遭毒手的会是哪一个?
手机病毒过百
11月15日,金山反病毒监测中心向国内智能手机用户发出预警在手机上传播的病毒已经跨越100个大门,达到102个。自从2004年6月第一次发现在手机上传播的病毒以后,手机恶意程序的数量大幅提升。目前手机病毒主要采用蓝牙、电子邮件、链接PC以及浏览互联网下载安装软件等多种方式传播。以损坏联系人名单、损耗电池、盗取资料和浪费话费等破坏为多。
为了应对越来越猖狂的手机病毒,金山公司于11月7日在国内率先推出了自主研发的手机杀毒软件——金山毒霸手机版(Kingsoft Mobile Secrity)杀毒软件,广大用户可以通过金山毒霸手机版专题免费下载,软件试用期为3个月。金山毒霸手机版具备运行在PC上的杀毒软件所有的必备功能,支持Windows Mobile与Symbian手机操作系统,不仅仅可以查、杀流行的手机病毒,对运行在手机上的宏病毒也能彻底清除。此外,金山毒霸手机版已经开始酝酿手机短信诈骗防范功能。
中国安全软件与国际接轨
11月17日,国际安全软件行业的重要会议,AVAR 反病毒大会第八届年会在天津经济技术开发区举行。这次AVAR反病毒大会在国信办、公安部和天津市政府的支持下,由国家计算机病毒应急处理中心、天津经济技术开发区、天津市信息办、天津市科委和天津市公安局等单位承办,这是AVAR年会首次在中国大陆举行。今年反病毒大会的主题是“从有线拓展到无线安全,从技术追求蜕变为网络犯罪”。来自美国、俄罗斯、法国、日本、冰岛、韩国等反病毒领域的专家做了精彩的报告。
在国际业界更多的关注中国安全事业的同时,国内通用软件也积极的走出国门,与世界接轨。9月14日,国内安全软件的重要厂商金山公司,率先走出国门,宣布正式进入日本市场,并同时发布了金山毒霸日文版。日本媒体对于金山公司此次大规模进军日本市场给予了高度关注。会场座无虚席,包括日本NHK电视台、日经新闻社等八十多家主流媒体参加了发布会并予以报道。日本最大的电视台NHK在当晚以高度的关注的态势介绍了这次新闻发布会的情况,足见其对中国通用软件公司第一次进入日本市场的重视程度。该新闻以“日本用户接触到大量中国品牌的软件产品的日子,已经不远了”作为结束语。截至2005年11月,金山毒霸在日本的安装量已经超过50万。
金山、瑞星、赛门铁克集体转向互联网应用
12月6日,金山、瑞星、赛门铁克三家杀毒厂商不约而同地选择了同一天作为新品发布日期。几大杀毒厂商经过对2005年的病毒趋势分析,在2006年新品发布中,纷纷加大了针对互联网的应用产品。
回顾2005年的“安全状况”,除了“MSN性感鸡”、“狙击波”引起一定的关注之外,在2005年利用漏洞的病毒已经逐渐不再唱主角了。对电脑用户安全的最大威胁已经让位于以商业为目的,以欺骗用户为手段,严重干扰人们日常工作、数据安全和个人隐私的各类间谍软件。据《金山2005年安全报告》显示,间谍软件的危害已经超越传统病毒,成为互联网安全最大的威胁,感染率由2004年30%激增到2005年的90%。网络钓鱼事件更是层出不穷,这使得杀毒软件的发展方向将由传统的反病毒机制转向了捍卫全面的互联网安全。
2005年12月9日,中国互联网协会在“中国互联网协会反垃圾邮件协调小组”的基础上正式成立中国第一个在行业内最具代表性的反垃圾邮件组织——“中国互联网协会反垃圾邮件工作委员会”,该工作委员会的成立意味着中国反垃圾邮件事业迈上了新的台阶。反垃圾邮件工作委员会由政府、商务网站共同创立。来自安全软件业界的金山公司、诺顿公司成为了理事会成员,为工作委员会提供技术方面的支持。
垃圾邮件的泛滥,占用了网民们本来就不大的信箱空间,使得真正有用的E-mail要么因为信箱已满而进不来,要么淹没在一大堆的垃圾邮件中。为了处理这些垃圾邮件还得让网民搭上不少宝贵的上网时间,总之空耗大家的时间、精力和钱财。更重要的是,垃圾邮件往往散布一些不确切的、夸大其词的消息,干一些骗人钱财的勾当,有的已经触犯了法律,它们对现实社会的危害也随着网络的日益普及而逐渐显现出来。
金山公司岁末公布“2005年十大病毒”
近日,金山毒霸反病毒中心根据金山毒霸全球反病毒中心、金山毒霸客户服务中心以及金山毒霸运营部门的联合统计,对外公布了“2005年十大病毒”。根据十大病毒名单的分析:2005年利用漏洞攻击的病毒已经不再唱主角,病毒的发展及危害呈现新的传播方式及破坏方式,不过漏洞攻击依然是混合型病毒常用的一种攻击方式。
报告显示:2005年,1月到10月,金山反病毒监测中心共截获或监测到的病毒达到50179个,其中木马、蠕虫、黑客病毒占其中的91%,以盗取用户有价帐号的木马病毒(如网银、QQ、网游)为主,多达2000多种,如果算上变种则就要超过万种,平均下来每天有30个病毒出现。
金山公司根据金山毒霸客户服务中以及金山毒霸全球反病毒中心提供的数据,总结出的2005年度十大计算机病毒包括:
QQMyRun (Worm.QQmsgMyRun.a)
传奇木马(Troj.PSWLMir)
台湾女孩(JS.Twgirl(Mht exploit)
MSN性感鸡(Worm.MSNLoveme.b)
罗伯特Hack.RBot(Blaster exploit)
灰鸽子(Win32.Hack.Huigezi)
狙击波(Worm.Zotob/Worm.Mytob)
书虫(Win32.Troj.QQMsgBook)
恶鹰 (Worm.Beagle)
10. Rootkit (Win32.Troj.Rootkit)
在这一年里,互联网虽然没有受到类似于去年的“振荡波”等恶性病毒的大面积侵害,而蠕虫病毒、间谍软件、网络钓鱼、木马病毒等就像“平静水面下的暗流”,不经意间即给电脑用户造成巨大的损失。具体呈现以下特征:
即时通讯平台成为病毒传播的温库
2005年即时通讯平台成为病毒的温床,攻击QQ、MSN的病毒大量衍生。例如攻击QQ的QQmsgMyRun、QQmsgBook已经成为了今年攻击QQ的毒王,而年初的“性感鸡”则是攻击MSN的典型病毒,在年初的互联网大兴风浪。病毒制造者利用即时通讯工具传播病毒,多是以重大事件、执点新闻和人物来欺骗用户,从而达到传播、感染的目的。
利益驱动病毒的产量
因为利益的驱动,以及网络游戏迅速成为网络生活的重要组成部分,因此导致网游木马的迅速衍生,大量的网游也造就了大量的网游木马,在本年专业的网游制作队伍大量出现,并通过互联网进行买卖。
漏洞仍是最大危胁
漏洞仍然是蠕虫病毒的最常规手段,从今年来看,出现了最新的漏洞利用攻击方式。分别是“狙击波”(Worm.Zotob)利用的“MS05-039 即插即用服务漏洞”,以及年底才出现的利用“MS05-051 分布式事务处理协调器服务漏洞”的“大师”(Worm.Dasher)。随着漏洞攻击代码在网上的详细公布,造成的后果便是迅速被多种病毒利用,作为传播的手段。
网站的漏洞——脚本病毒,木马、黑客的帮凶
脚本病毒已经不再作为攻击系统的主要方式,而转而成为了各种木马、黑客的辅助工具。2005年脚本病毒出现了一个非常重要的现象,这便是互联网本身的安全问题,本年度大量网站被黑,政府网站、娱乐网站、个人主页等等无一例外,被注入的大都是JS.Twgirl等一类的脚本病毒,当用户访问此类网站时就会激活JS.Twgirl,从而下载木马、黑客等恶意代码,遭受各种病毒侵袭以及安全威胁。
邮件蠕虫——寻找更新的传播方式
传统的邮件蠕虫随着网络生活的丰富,也出现新的传播方式,以今年最臭名昭著的“恶鹰”病毒来说,病毒将用户邮件地址收集到服务器,当出现新变种时会对这些邮件地址发送病毒邮件,使用户只要收到过“恶鹰”的某一个变种就会继续收到以后的变种。
驱动技术——病毒新趋势
病毒驱动技术的使用,是病毒技术的提高,也成为了病毒发展的一个全新的趋势。特别是对病毒自身的保护上做足了功夫。病毒通过驱动技术实现了隐藏进程、隐藏文件、隐藏注册表加载项,在正常系统中完全看不到病毒的综迹,给查杀病毒带来了巨大的困难。
根据对本年病毒的总结,金山反病毒监测中心预测在未来的2006年里:
以利益驱动的病毒(木马、黑客)会成为主流,这一类的病毒数量和病毒感染量将会占到80%以上,为此将出现更多的网游、网银盗号木马、病毒。
即时通讯平台继续成为病毒传播的温床,可能再添新的欺骗手段,这将与网络钓鱼同步进行。每年都有新装机、新系统,用户都有可能忘记修补旧的系统漏洞和新系统漏洞的出现,因此系统漏洞仍是蠕虫病毒的主要传播手段之一。
邮件蠕虫与网络钓鱼合而为一,蠕虫病毒从病毒技术驱动转向利益驱动,可以看到今年“恶鹰”收集邮件地址的做法不仅仅是一种传播手段,大量的邮件地址会给作者带来不小的利益。
Rootkit系统底层驱动技术继续为保护病毒自身不断发展和应用,也向如今的反病毒技术提出新的挑战。
网站被黑跟着被利用于传播病毒,将是2006互联网网站最不不可忽视的安全问题。
附:2005年十大病毒档案
1、 QQMyRun (Worm.QQmsgMyRun.a)
这是一个通过QQ传播的蠕虫病毒。该病毒首先会检查系统是否已经感染了该病毒,如果已经感染了就不再感染,弹出一个窗口结束运行;否则会将多个病毒文件释放到系统目录,修改.exe和.txt的文件关联到病毒文件,使得每次打开.exe和.txt文件时,病毒都会被运行一次。该病毒会关闭还原精灵,从注册表中删除某些启动项。当用户中了该病毒之后,如果使用QQ聊天,则该病毒会自动向好友发送病毒文件,诱骗用户运行。
2、传奇木马(Troj.PSWLMir)
病毒首先会尝试关闭一些常用病毒防火墙和一些反木马程序,如天网防火墙、木马克星等。在操作环境中将自己注册为系统服务,然后就挂钩系统的鼠标和键盘消息,截取用户的传奇帐号信息,并将这些帐号信息发送到木马种植者预定的邮箱。传奇木马病毒由于有利益的支持,导致许多恶意者加入编写的行列,到目前为止已经有多达10000种以上的变种,不仅仅盗取传奇游戏戏,还盗取其它热门网络游戏的帐号和密码。
3、台湾女孩JS.Twgirl(Mht exploit)
这是一个利用特殊格式的JS脚本代码编写的木马下载程序,可以在用户访问网页时自动下载木马并立即执行。利用MHTML Exploit的IE安全系统漏洞在下载木马时不会出现任何的提示消息框。多种木马使用此病毒来做为下载器,放置到互联网的网页中。当未打上IE安全系统漏洞补丁的用户访问此类网站时就会感染,并且会感染该病毒自动下载的木马,造成更大的损失。
4、 MSN性感鸡 Worm.MSNLoveme.b
这个病毒曾在2005年春节期间大规模爆发,着实调动了人们的神经。它通过MSN通讯工具进行传播。用户误运行后,会在浏览器中显示一张烤鸡图片,性感鸡的名字也由此得名。而在显示图片的同时,病毒还会悄悄释放一个Rbot后门程序,从而控制感染机器。该病毒还会禁止用户使用.CMD和.EXE命令行程序,及鼠标右键。并且会将感染机器的音量调到零,使用户无法听到声音。
5、罗伯特Hack.RBot(Blaster exploit)
这是一个后门病毒,被黑客广泛使用,用于控制感染机器。所谓的僵尸网络,也
大都是通过这个病毒建立的。很多蠕虫(如:性感鸡等),在传播自身的同时也会从互
联网下载并运行该病毒,用于控制被感染机器。而且其自身也会通过多种系统漏洞
(MS03-026、MS02-061、MS03-007、MS04-011等)、弱密码,以及其他已知的各种入
侵手段进行攻击其他机器,进行自动传播病毒,因此对局域网危害比较大。病毒会在
被入侵的机器上建立后门,使得黑客可以在很短的时间内控制大量的机器。该病毒一
般是通过IRC接受攻击者发出的指令的,例如安装/卸载后门、下载并运行文件、结束
进程、运行代理服务器、盗取流行游戏的帐号、对指定的IP进行DoS(拒绝服务)攻
击等。
6、灰鸽子(Win32.Hack.Huigezi)
这是一个“中国制造”的远程控制后门,使用远程注入、Ring3级Rookit等手段达到隐藏自身的目的。一般它会被人蓄意捆绑到一些所谓的免费软件,并放到互联网上,诱骗用户下载。因为其具有很强的隐蔽性,所以用户一旦从不知名网站下载并误运行了这些软件,机器就会被控制,而且很难发觉。攻击者可以对感染机器进行任务操作,如文件操作、注册表操作、进行操作、强行视频,等等。
7、狙击波(Worm.Zotob/Worm.Mytob)
Worm.Zotob(狙击波) 从邮件蠕虫Mytob演变而来,其显著的特点是第一时间利用了微软刚刚公布的MS05-051漏洞进行传播。幸运的是该病毒的两个制造者Farid Essebar和Atilla Ekici,均被抓到了。不过MS05-039漏洞却迅速被其他病毒利用(如Sdbot),做为一种主动传播方式,被广泛利用起来。
8、书虫(Win32.Troj.QQMsgBook)
该病毒通过频繁更新,试图逃避安全软件的查杀,因常常释放带有CHM图标的病毒文件而得名。该病毒通过QQ传播的木马。用户跟好友聊天时,该病毒会强制发送消息给其他好友,诱使他人下载运行。该病毒还会修改用户主页,复制多个样本存放在不同目录。其发送的消息也会“与时俱进”,如中秋节期间该病毒就出了一个名叫“电子月饼”变种,发送了这样的消息“又是一年中秋节,……,快快品尝美味的电子月饼吧:-)”。
9、恶鹰 Worm.Beagle
这个一个邮件蠕虫。在大家的邮箱里常常会看到它的身影。该病毒一旦运行后会从网上下载真正的蠕虫组件并执行该组件。蠕虫组件激活后会在系统中收集邮件地址,并发送给病毒作进指定的服务端,病毒作者像客户管理一样,当制造了新变种后,就会主动向这些收集的地址发送新的变种。这样的话,只要收到过一个“恶鹰”的变种,不管中没中过毒,都收到新的“恶鹰”变种。该病毒一般还会从网上下一个后门,对感染机器进行控制。
10、 Rootkit Win32.Troj.Rootkit
这是用于驱动级隐藏的程序,一般做为病毒的辅助文件,而存在于感染机器上,其最主要的作用,就是帮助病毒体进行文件、注册表进程等的隐藏,一旦驱动发生作用。
病毒体就会从用户的进程列表、文件管理器、注册表管理器中消失。也便从用户的视野中消失。即便对于一些安全软件监控来说,有时也很难发现使用驱动技术隐藏的病毒身影。而最近的闹的沸沸扬扬的“Sony BMG CD”事件,也与该类Rootkit相关。