|
恶意软件近三成来自中国——卡巴斯基安全报告
|
来源: 2007-12-14 10:53:39
|
卡巴斯基实验室2007年上半年的追踪恶意网站及恶意软件(通过网站传播)报告中显示,近几年,恶意软件传播方法已经发生了变化,从固定的介质(硬盘)转向邮件传播(如声名狼藉的爱虫邮件)以及直接的网络攻击(如红色代码)。如今恶意软件最新的发展是通过万维网传播。 基于网页的恶意软件快速增长有很多因素,其中一个原因是由于在2003到2006年发现了微软ie存在大量漏洞。另外一个原因是由于大多数反病毒引擎和访问网页的方式在理念和设计上不兼容,因为大多数反病毒引擎需要拷贝整个文件来检测是否感染病毒,这就会在扫描类似网页流文件时发生问题。当然,此问题可通过代理层方案解决,先高速下载流量,下载完毕后便会将其传至反病毒引擎,然而,这种方式也不是很普及。 基于网页的恶意软件快速增长的另外一个因素或许是因为企图阻止电子邮件中的可执行格式附件。早在2003年和2004年,大多数恶意软件通过电子邮件传播(如.exe/.scr/.pif文件等),许多系统管理员决定完全禁止电子邮件中的可执行格式文件,这样做的直接结果就是恶意软件作者开始使用压缩文件传播-如zip文件。早在2006年,包含漏洞的微软office文件也是恶意软件传播的载体。 恶意软件作者想到了一个简单的方法来解决这个问题:他们放弃电子邮件来发送恶意软件主程序,而开始发送包含恶意程序的网站链接地址。因为邮件网关仅过滤邮件正文,不可能检测在邮件中是否链接恶意网站,利用这种手段可以达到目的。 上面列举的因素是恶意软件传播的方式,诱惑用户打开包含恶意软件的web服务器,或者手动执行恶意软件(社会工程学),或者利用用户网页浏览器漏洞达到攻击目的。 传播方法 包含在网站中的恶意软件感染用户计算机主要有两种方法: 第一种方法利用社会工程学攻击,例如,攻击者发送一封包含网页链接的邮件,声称该链接网站很有趣,以下为此类电子邮件实例:
在上面的邮件中,youtube链接是一个假冒网站,当打开该网页时将显示“无法找到该视频”,影片的href链接却指向另一个ip地址的网站,当用户访问时显示以下内容:
“点击这里”链接将指向名为“video.exe”的可执行文件,其为zhelatin的一个变种,也称为风暴蠕虫。 恶意软件传播的第二种方法是通过网页浏览器漏洞感染系统,以下是这种方式的例子:
上面的图片显示了网页中的一部分,该网页包含已加密网页浏览器漏洞。大多数包含网页浏览器漏洞的站点会使用一些模糊化技术,其目的是避免基本的可以通过扫描tcp/ip流的 ids检测,这些扫描的类型是已知的,也相当于简单基于代码的反病毒系统,该漏洞代码一旦被解密,将进行分析:
既然如此,恶意代码试图加载具有很长名称的“.wmv”文件,这是windows media player插件 embed溢出漏洞(在微软windows 安全公告ms06-006-说明“windows media player 插件由于其处理格式错误的 embed 元素而存在一个远程执行代码漏洞(911564))。现今浏览器回将此类要求传送到windows media player,一旦检测到漏洞,将导致系统崩溃。有趣的是,即使系统已经更新到网页浏览器的最新版本,如果windows media player有漏洞,系统仍然可以被感染。 如以上所述,恶意程序有两种主要的方法通过网络入侵受害者计算机:通过利用社会工程学或者网页浏览器漏洞。不过您也无需感到惊讶,因为在大多数情况下,恶意程序作者依靠这两种方法结合来提高入侵成功率。 上面提到的例子zhelatin就是利用了这两种技术的结合,传播该蠕虫的后台程序似乎使用php语言编写,恶意网页在给用户前要做很多事情。最重要的是,它要检查浏览器user-agent标识符,假如该标识符不常见,如苹果操作系统中的safari或linux中的lynx,将使用社会工程学技术发布网页。假如浏览器标识符看起来属于internet explorer,如“mozilla/4.0”(和msie 6.0; windows nt 5.1相兼容),它将发布包含特殊ie攻击程序的网页,在firefox中也是如此。 前20位恶意软件来源国家 恶意软件来自哪里呢?要回答这个问题,很有必要来回顾一下黑客操纵恶意软件的yb体育官方的解决方案。 今天已经发现了大量猖獗的恶意软件,他们的传播方式很多。可以在入侵的家庭计算机上发现其踪影,他们通过运行少量http服务的计算机的僵尸入侵计算机并将其变为传播点。也可以在一些被黑客攻击的isps网站上发现。这对于提供给用户免费网页空间来建立自己的网站是常见的选择,如www.pochta.ru、www.googlepages.com、www.100freemb.com、www.dump.ru 或者 www.home.ro等。 也有一些情况是使用偷窃来的信用卡去合法网络提供商那里购买域名和主机资源,目的是传播恶意软件。 今年早些时候,一个中等规模的托管公司遭受了黑客的攻击,黑客利用控制面板版本的漏洞获得了托管在该公司服务器上所有账号权限,该攻击者检查了入侵计算机上的所有网站的yb体育官方主页,利用ie漏洞加入了一小段脚本语言,黑客还安装了恶意软件,包含隐藏程序。在类似攻击事件中,二月份超级杯海豚体育场网站被黑客攻击,在网页源代码中注入了漏洞。或许近期出现的是印度银行网站被攻击事件,该事件发生在2007年8月底,在这次攻击中,yb体育官方主页代码被修改,在其中加入了一个ie iframe漏洞,这样可以进一步有利于恶意软件传播。 以下为使用akross系统检测到的传播恶意软件ip地址地理分布图:
中国以31.44%的恶意网站数量居排行榜首位,美国以25.90%紧邻其后,这些国家在近几年相关的恶意软件统计中几乎一直占主导地位,要改变排名先后取决于恶意软件编写的趋势和操作系统的发展,十分有趣的是,在中国最流行的恶意软件载体是被黑网站和所谓的“防弹主机”,在美国,主要是被黑客攻击“.com”网站和一些利用窃取的信用卡购买到的合法主机资源。 俄罗斯和巴西占据第三和第四位。这些国家情况类似,因为大多数恶意程序托管在“免费主机资源”中,网络服务提供商为用户提供机会可以向计算机上传自己的网站。 随着恶意程序传播方法的不断变化,可以预料恶意程序的作者将继续构思感染计算机的新方式。现有的倾向包括通过p2p网络传播或通过自由软件传播。 毫无疑问,在这种情况下,网络成为恶意程序作者首选的传播媒介,并且这种传播方法在2007年五月似乎达到了高峰。不过从那以后,新的恶意网站的数量在某种程度上有所下降。尽管这是个好消息,但每天仍然有很多新的恶意网站出现,诱惑用户的社会工程学技术或攻击程序变得越来越复杂。 中国和美国是恶意网站数量的两大巨头,尽管上述两国的政府做了最大的努力。恶意网站仍然盛行。虽然美国有能力在48小时内关闭包含恶意网站,但中国却并非如此。我们都知道,恶意网站在中国已经肆虐一年之余,所有关闭包含的恶意网站的努力都以失败而告终。在这种情况下,越来越多的恶意网站将会在中国落户,所以中国正在成为恶意程序滋生的温床。 卡巴斯基实验室将一如既往的监视这种状况,我们在以后的文章中提供相关资料,让用户了解反病毒公司和互联网的执法单位的共同努力是否会降低传播恶意软件的网站数量。 同时,用户应当及时更新他们的操作系统,使用internet explorer 6的应该换为firefox、ie7和opera等更佳安全的浏览器。最后,如本文以上所述,网站是当今恶意软件传播的主要媒介,因此拥有一款能够监控网络流量的反病毒软件绝对是必要的。 |