引言:在日益完善的病毒黑色产业链,百万年薪对于“疲于奔命”其中的大家不再是遥不可及,但优胜劣汰在这个黑色王国里也依然是生存法则。
不久前,一款名为“猫癣”的病毒在春节假日后的日益彪悍增长预示了新的安全危机的来临。
据累计推算,短短一个月时间,已经累计约3000万台次计算机访问过恶意网页,其中造成约数百万台次电脑感染“猫癣”病毒。这款病毒除了强烈的对抗性,流行的原因还在于“猫癣”病毒分销渠道之多,安装量之大。
极有潜力成为2009十大病毒、被反病毒专家列为新近危害力最强的“猫癣”,更像一个带有传染病源的“猫咪”,会在你意想不到的时候突降你的“家”中,而带给你的潜在损失也是不知觉中发生的。
百万收入的病毒作者
伴随“猫癣”引爆的的新安全危机,已经使网络安全环境发生了新变化。这其中的变化在于,历经了两次产业链大分工的“黑色圈”,利益驱使已经达到让人叹为惊止的程度。据“圈”内人士爆料,一个名为“乐意木马工作室”(HB)的团伙,在2008年通过开发销售‘HB蝗虫系列’盗号木马,就有数百万元收入进入囊中。
“在圈里,一个病毒作者团伙一年大概可以生产两个病毒下载器。我们按照时下最为流行的猫癣下载器为例,据我了解,目前售价在20万左右人民币。如果有两家挂马集团购买猫癣(两家是最保守估计),那么病毒作者团伙一年售卖病毒下载器一项的收入为80万。”网友Max说,他曾经是圈内人士。
与此同时,这些病毒作者还会给这些挂马集团提供更加贴心的“售后服务”,他们会根据杀毒软件更新的情况,提供更新的新变种,以达到更好的传播效果。当然没有免费的午餐,类似的“售后服务”并非无偿,也是需收取一定费用。从今年1月中询到现在,一个月的时间,猫癣已经更新到三代,“下载器一年内大版本的更新数在20次左右,每次“售后服务”收取的费用目前是5万。”Max说,那么不难算出病毒作者在“售后服务”一项的收入高达200万。加上之前售卖病毒下载器的收入,一个病毒作者团伙的年收入保守估计在280万人民币。
Max告诉我们,一般的病毒作者工作室都是一到两人组成,分别扮演项目经理和实施人员角色。”“通常情况下,项目经理是‘带头大哥’,会分得三分之二的收入既180万左右,而即使是‘二线小弟’也能获得百万年薪。”
类似猫癣下载器都是采用的模块化生产,通过把猫癣下载器的多个技术模块外包给病毒圈内活跃的‘个体’病毒作者开发,最终集成开发出猫癣下载器,并制作成病毒生成器,即使这些分销渠道商们不懂什么技术,也都可自行搞定定制过程,生成病毒。
千万级利润的黑色“霸主”
“轻轻松松就可以赚取年薪百万的病毒作者,并非是链条里获利最多的角色,挂马集团才是这链条里的黑色“霸主”。”金山毒霸珠海反病毒工程师解释道,“他们更容易在这链条里最先把握有利位置,为自己获得利益最大化。他们如同软件产业链里的“网盟”们,不同的是,他们是活跃在自己的“黑色”天地里。”
金山毒霸云安全中心日前最先发现的猫癣幕后推手--螃蟹集团,是目前活跃在圈中的五大集团之一,螃蟹集团将猫癣下载器及用于漏洞攻击的网马链接上传到位于广东某市的托管服务器上,并通过入侵流量较大的知名网站,购买网站流量等方式广泛挂马。当用户访问这些被挂马知名网站时,就会不知不觉被安装上猫癣下载器。
据一个资深黑客的介绍,如螃蟹集团这样的挂马集团,收入主要来源于两个方面:盗号集团支付给他们的入门费用,以及病毒下载器的推广费用。
挂马集团收取的入门费平均一个盗号木马价格在3000元左右,一个猫癣下载器通常情况下可以挂到28个盗号木马,费用一个月份收取一次,那么一个月的交易总额84万,一年下来入门费的收入总额为1000万左右。
盗号木马通过缴纳入门费,被列入下载器列表后,还需支付给挂马集团一定的下载推广宣传费用。据金山毒霸云安全中心统计,2月份,猫癣病毒的感染量200万台,也就是说有200百万木马的流量数,挂马集团从中会得到大概每一次流量一分钱的收益,那么挂28个木马的下载推广收入56万。一年12月的下载推广收入将会在672万。
入门费加上下载推广收入,这家螃蟹集团年收益总额1600万左右。除去日常的买马费用(购买木马)和其他运营成本,净收益也能高达千万。
所以,业界把类似螃蟹集团的挂马集团比喻为黑社会里的龙头老大,也不足为奇,因为他们操控了整个产业链里的主动权。
底层的“虾米们”
经过生产环节、代理商的分销环节,就到了最后的盗号作案和销赃环节中。盗号集团将这些盗回的‘信封’(一个信封即一个‘收信地址’)以每封信1-3元的价格出售给小洗号作坊,或自已洗号直接盗取虚拟财产交易。
这一环节中,参与人数众多,群体也杂乱,加上“虾米们”对于高深黑客技术也不了解,可观的经济利益自然也会有所下降。
病毒产业链大变革 旷日战到来
当华尔街在苦苦挣扎时,黑色产业链里的大家貌似都在一副歌舞升平的场景中。“木马/病毒背后早已日渐形成一条巨大的黑色产业链。不管是网银中真实的钱,还是虚拟财产,制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱,他们的分工明确,形成了一个非常完善的流水性作业的程序。”金山副总裁王欣告诉我们。
早在2007年就已非常完善的流水性作业的黑色产业链,在进入2009年二次产业大分工后也在新年伊始开始大变革。越来越重量级的利益驱使,黑色新技术的不断加入,链条上的角色分工开始重新洗牌,扮演“软件代理商”角色的挂马集团越来越凸显出品牌效应和垄断趋势,百万年薪对于“疲于奔命”其中的大家不再是遥不可及,但优胜劣汰在这个黑色王国里也依然是生存法则。 图片1
图(1)原病毒产业链
图(2)挂马集团操控的病毒产业链
截止金山毒霸云安全中心2月17日的数据统计,猫癣变种已增至2000余种。如今黑色产业链商业模式的日益完善和成熟,对于企业用户而言,防毒不可能单靠一环节就可以了,必须同时投入更多的人力物力来达到更好的防御效果;而对于一般百姓、个人用户而言,更多的应该是自身对互联网安全认识的深入和全面认识。城堡要安全、国王要安全、百姓要安全,但安全从来都并不绝对,也并非没有起点。这个起点也许已经从这次黑色产业链大变革悄然开始。
附猫癣病毒相关资料
猫癣发展历程
一 猫癣前身----机器狗
1 根据与前期下载器样本进行相似性对比,猫癣是某个机器狗系列的变种或者说是再开发版
2 根据技术分析的角度,目前截获的所有猫癣变种都具有机器狗穿还原的功能
二 猫癣今世
1 猫癣一代主要特点
(1)释放大量usp10.dll,干扰清除
(2)挟持迅雷,导致不能运行迅雷
(3)卸载360,对抗对其他安全软件无效
(4)杀软误删除ctfmon会导致输入法不能使用
2 猫癣二代主要特点
(1)特殊路径释放usp10.dll,实现自启动
(2)下载特殊usp10.dll释放到游戏安装目录进行盗号,这个新型盗号木马会盗取 征途,问道,传奇 魔兽世界等知名网友账号,同时感染主机会执行服务端返回的任意指令。
(3)此样本通过其他下载器下载本身不通过第三方漏洞攻击传播
3 猫癣三代主要特点
(1)此次不通过IFEO干扰迅雷运行,而是不断的关闭迅雷的进程
(2)主程序不释放usp10.dll,相关功能集成到到下载的木马列表内
(3)去除无用的对抗代码,只针对360
三 猫癣系列其他信息
(1)目前下载的木马群都包含ms08-67扫荡波攻击局域网
(2)下载的盗号木马主要为新HBkernel32蝗虫系列
(3)目前挂的比较多的恶意域名下载都指向猫癣,示意如下
一群乱七八糟的域名-->个周期性变化的恶意域名-->个周期性变化的下载器下载地址
猫癣病毒分析报告
一、现象描述:
1 感染“猫癣下载器”的电脑速度会明显变慢,杀毒软件反复提示发现病毒不能完全清除
2 非系统盘的可执行文件文件目录发现“usp10.dll”文件
3 部分用户的电脑感染猫癣下载器会出现弹出大量广告页面、“QQ医生”扫描功能无法正常使用,迅雷不能正常使用等各种症状,
4 部分用户查毒以后将导致输入法无法正常使用
5 QQ,网游游戏账号被盗
二、行为描述:
1、对抗安全软件
1) 病毒通过给进程照相对比的方式找到以下软件的进程然后调用windows TerminateProcess函数尝试将其结束。病毒作者未测试方案可行性,目前具有自保护功能的杀毒软件(比如毒霸)此方法无效
kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
rfwmain.exe rfwstub.exe rfwsrv.exe
2) 调用360保险箱自带卸载参数卸载保险箱,并修改注册表关闭360安全卫士的实时监控
遍历当前进程,发现存在"safeboxTray.exe"进程,获取其文件路径,并以"/u"参数打开"safeboxTray.exe"进程,"/u"参数是其自带的卸载参数。
修改注册表
HKLM\SOFTWARE\360Safe\safemon
"MonAccess" REG_DWORD 0
"SiteAccess" REG_DWORD 0
"ExecAccess" REG_DWORD 0
"ARPAccess" REG_DWORD 0
"weeken" REG_DWORD 0
"IEProtAccess" REG_DWORD 0
"LeakShowed" REG_DWORD 0
"UDiskAccess" REG_DWORD 0
3) 创建线程关闭icesword之类的安全软件的窗口
病毒检查当前窗口的class(类)是否为"AfxControlBar42s",如果是则向此窗口发送WM_CLOSE(关闭消息)消息,并模拟键盘的回车键点击“是”。
2、破坏系统设置
1) 替换下载并替换HOSTS文件,从而屏蔽竞争对手的木马下载域名
下载http://txt.naiws.com/ad.jpg,保存到%sys32dir%\drivers\ect\hosts文件
2) 更改显示隐藏文件,使得病毒释放的部分文件不被用户发现
修改以下注册表键值,来隐藏文件
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" REG_DWORD 0
"SuperHidden" REG_DWORD 0
"ShowSuperHidden" REG_DWORD 0
3) 添加对迅雷的映像劫持(IFEO),感染后不能正常使用迅雷
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Image File Execution Options\Thunder5.exe
"Debugger" REG_SZ "svchost.exe"
3、病毒不断复活,难以清除
1) 猫癣下载器使用机器狗的穿还原的技术修改ctfmon.exe(此程序用先是当前输入法状态),若此文件被杀毒软件查杀,则用户不能切换输入法输入中文
2) 猫癣下载器,使用了劫持dll文件的方式,在所有非系统盘的可执行文件所在目录释放大量“usp10.dll”文件,当用户发现电脑“中招以后”即使进行重新安装,却因为这个马甲dll没有被清除导致再度感染
3) 猫癣下载器在局域网中会尝试使用扫荡波(ms08-67)漏洞攻击局域网的用户,若用户没有及时修补扫荡波漏洞将可能反复被感染
4) 由于很多网站安全意识薄弱,恶意代码被轻松植入,猫癣下载器借IE0day漏洞,flashplayer,realpaly,迅雷5,暴风影音,联众世界,微软access漏洞等漏洞在网络广泛传播,用户访问网页的时候就有可能再次感染病毒
4、猫癣下载器给电脑带来的危害
猫癣下载器下载针对魔兽世界、大话西游onlineII、剑侠世界、完美系列游戏、梦幻西游、魔域等十余款热门网游、以及QQ的盗号木马,企图盗窃受害用户网络虚拟财产。
三、防御方案
1、病毒防御方案
1)、更新病毒库、开启实时监控。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2009年1月21日的病毒库即可查杀以上病毒,但病毒产业链的从业者会不断更新恶意软件,现在正处于黑色产业和安全厂商竞速的阶段。专家提醒,一定要开启实时监控功能,以降低安全风险。
2)、 使用金山系统清理专家打全补丁,安装金山系统清理专家不会与任何杀毒软件产生冲突,所以非毒霸用户也可以放心下载此软件更新漏洞补丁,特别提醒局域网用户 及时安全ms08-67漏洞以防御病毒攻击。特别提醒中毒的用户不要轻易重装系统,因为新装的系统存在大量漏洞,极易再次中毒。
3)、推荐网民安装金山网盾以防止该病毒通过网页恶意代码入侵你的系统。
2、病毒查杀方案:
金山系统急救箱可修复猫癣下载器造成的许多异常。对于没及时更新病毒库或非毒霸用户如果不小心感染此病毒,可以在http://www.duba.net/zhuansha/263.shtml 免费下载最新版金山急救箱进行查杀。拨打金山毒霸反病毒急救电话010- 82331816,反病毒专家将为您提供帮助。
因为金山 系统急救箱不是依靠病毒特征查杀的,在使用急救箱修复杀毒软件和系统异常之后,强烈建议使用杀毒软件全面扫描你的系统。
西瓜整理 http://www.ph3800.com
