2010年度上半年全国病毒传播呈现如下趋势。
盗号木马的疯狂以及“与时俱进”
2009年下半年,“玛格尼亚”(Trojan/PSW.Magania)盗号木马家族曾进行了一轮疯狂地传播,这场声势浩大的“玛格尼亚”盗号木马疫情直到今年2月底3月初才彻底的走向绝迹。当时为了应对该家族木马每天成百乃至上千的变种数量,江民科技针对其提取了启发式检测特征,以此提高了江民杀毒软件对于该病毒新变种的查杀能力,最大程度上遏制其对游戏玩家所构成的威胁。
虽然“玛格尼亚”家族逐渐从人们的视野中淡出,但不法分子却丝毫没有放松对于游戏玩家账号的觊觎。他们摩拳擦掌,又一种采用新技术的盗号木马正在悄悄向用户伸出魔爪。
这种盗号木马不同于传统木马篡改注册表等自启动方法,其采用了更为隐蔽的病毒激活方式。这种盗号木马会篡改系统中一些常用的尤其是游戏正常运行所必需的DLL 组件。当这些DLL被正常程序调用运行的时候,会首先加载盗号木马的相关组件,之后再去执行正常的文件功能。或者,直接将正常DLL文件重新命名,然后释放一个假冒的同名DLL去掩人耳目。这样,不仅实现了盗号木马的隐蔽启动,同时也不会影响系统的正常运行,可谓“一举两得”。这种方式算得上是一种颇为符合时势的做法。所谓久病成医,当前在杀毒软件的用户群体中有相当一部分属于“技术型用户” ,他们通常都较为熟稔地掌握着一些系统和反病毒工具,对于系统中出现的陌生进程、服务项等都具有较高的敏感度。如果盗号木马依旧保守于传统的做法,无疑于自寻死路。就是在这样的现实环境下,迫使病毒作者不得不去寻找一些非常规的方式,才能更好地实现自身的隐藏,从而提高病毒文件的生存周期。
Kido“刻毒虫”变种的爆发和盛行
自去年年底,互联网就开始被一种名为“Kido”的蠕虫所侵扰。这个病毒是继03年冲击波、震荡波之后,近些年来少有的央及范围达全世界的蠕虫病毒。该病毒可通过CVE-2008-4250“服务器服务远程代码执行漏洞”进行自身的传播,因此对于那些没有为系统及时安装MS08-067所对应补丁的用户而言具有很大的威胁。之前曾经见过一台感染了Kido蠕虫的机器,该系统的用户具有一定的安全意识,在刚刚安装完操作系统便准备通过windows update进行补丁更新,但发现微软的站点无法正常访问。同时,一些安全软件厂商的站点也出现了此种情况,但是可以正常访问其它的网站。后来用户安装了杀毒软件并且进行了全盘查杀,才发现原来是系统感染了Kido蠕虫病毒。
后来经用户回忆,在安装系统的整个过程中,他的电脑始终与公司的局域网处于连接状态。由于这段时间其所在公司网内正在流行这种病毒,因此其在安装系统后尚未修复漏洞和安装杀毒软件这一安全真空阶段内,便成了蠕虫病毒的受害者。
从这个事例中我们不难看出,往往一个疏忽或者麻痹大意,都有可能为病毒入侵系统提供了大开之门。因此建议网民在重新安装系统之前,要将一些容易被病毒利用的漏洞的补丁事先准备好,例如IE的积累更新、MS08-067、最新版本的Flash Player插件等。安装系统时要拔掉网线,系统安装后应立即安装事先准备的常见漏洞补丁,同时进行一些简单的系统安全配置,例如关闭自动运行特性、关闭不必要的系统服务、删除默认共享、为管理员账户设置强壮的密码、禁用无用账户等,之后再联网进行其它补丁和软件的安装。
IE漏洞两度掀起波澜
2010年上半年对于IE浏览器来说可谓不甚平静。1月14日,微软发布安全警告称,在当时的IE全系列版本中发现了一个由于访问被删除对象而导致任意代码执行的0day漏洞。这个漏洞分别有一个很好听的中英文名称:“Aurora” (极光)。不过,这个漏洞恰似南美热带雨林中的箭毒蛙一样,在看似美丽的修饰下面却蕴含着极大的威胁。果不其然,1月16日,利用该漏洞的恶意代码便在互联网上初露端倪。恶意代码的公布好比是打开了潘多拉的魔盒,随之变得一发而不可收拾。
1月19日,江民科技首次监测到了利用“极光”漏洞进行的挂马事件。而随后几天的监测数据表明,利用该漏洞进行恶意程序传播的站点开始出现猛增的态势,由此导致每天监控到的恶意网站数量较漏洞出现之前增加了数倍。原本显得疲态毕露,甚至依赖于多年前老旧漏洞的网页挂马再次找到了兴奋点,不法分子们如同“久旱逢甘露” 一般趋之若鹜地投身到了新一轮的挂马大潮之中。
鉴于事态紧急,微软打破了每月推出安全更新的惯例,破例于北京时间1月22日凌晨推出了MS10-002号安全公告及相应补丁以对此漏洞进行修复。补丁的推出可谓将处于水深火热之中的广大网民及时地解救了出来,这从根本上降低了利用该漏洞进行挂马的成功率,势必也会严重地影响挂马者的积极性。不过据江民科技的监控数据显示,利用该漏洞进行的挂马行为依旧密集,这种情况一直持续到了3月18日,之后利用该漏洞的挂马便进入了消沉的阶段,仅偶有零星的挂马页面会再度利用这个已然大势已去的0day漏洞。
补丁的推出对于终结“极光” 漏洞起到了至关重要的作用,不过这还不是导致“极光”消褪的全部原因。致使“极光”失色的另一重要因素,是挂马者们又觅到了“新欢”――“CVE-2010-0806”。这个漏洞不像“极光”有着一个美丽的名字,其标准的国际化漏洞编号命名仿佛直接警示着每个人,这势必又是一个将在全世界范围内掀起惊天波澜的0day漏洞。
这个漏洞与“极光”一样,同样是由错误地引用被删除对象而导致,微软于3月9日向江民等MAPP成员通告了该漏洞的相关信息。仅仅在3天之后,江民科技便监测到了利用“CVE-2010-0806”漏洞进行的挂马事件。上次漏洞的迅速修复,如同给刚刚热闹起来的挂马泼了冷水一般,令不法分子心有不甘。不难想象,挂马者必定会借助这次漏洞事件来继续之前未能实现的非分之想。恶意站点的数量再次猛增,新漏洞迅速成为了挂马者们争相追捧的对象。这一次挂马者们从许多方面都下了功夫,比如,加密最终的恶意程序,并且在下载后通过shellcode进行解密。利用一些管理不严格的动态域名服务商频繁地更换二级域名,以此躲避杀软厂商的围剿等等。显然,挂马者们通过各种手段和方式,妄图增加漏洞利用的成功率和相关恶意程序的生存几率,从而在最大程度上谋取非法的经济利益。
由于种种原因,微软原计划于4月份的例行安全更新中修复这一漏洞。但或许是考虑到IE6、7用户量众多,由此造成的社会影响较为广泛,微软再次打破惯例,于3月31日发布了MS10-018号安全公告及对应补丁,从而彻底帮助用户免遭漏洞的侵害。虽然从补丁发布至今已经过去了3个多月,但时至今日该漏洞依旧是挂马者的首选,相应的挂马页面也是屡见不鲜。这点从利用该漏洞的“CVE-2010-0806”攻击者脚本病毒一直稳定在周、月疫情统计中前5名甚至前三甲上便可见一斑。不过,自6月末至今,“CVE-2010-0806”攻击者脚本病毒便表现出了持续的下跌,逐渐的淡出了流行病毒的排行。
