|
【賽迪網(wǎng)-IT技術(shù)報(bào)道】1988年,當(dāng)中國計(jì)算機(jī)反病毒第一人王江民看到自己編寫工控軟件的計(jì)算機(jī)上有一個(gè)小球狀的圖標(biāo)在跳來跳去的時(shí)候,并沒有意識到這個(gè)小小的東西會(huì)給計(jì)算機(jī)帶來多大的麻煩����。憑著過硬的匯編功底,王江民很輕松地就把這個(gè)現(xiàn)在看來是中國出現(xiàn)的第一個(gè)病毒“小球”手工清除了���,并把清除病毒的殺毒程序命名為KV1�,這就是中國最早的計(jì)算機(jī)殺毒軟件雛形���。20年后的今天�,計(jì)算機(jī)病毒已經(jīng)超過100萬種�����,電腦和操作系統(tǒng)也已經(jīng)更新升級了一代又一代�����,而每一個(gè)階段���,總會(huì)有一些令人印象十分深刻的病毒��,病毒在給計(jì)算機(jī)用戶帶來了許許多多麻煩��,上演著一幕幕虛擬世界的《罪與罰》��。
惡作劇時(shí)代
從1988年出現(xiàn)“小球”病毒起至1992年之前�,大部分病毒都是惡作劇式的DOS病毒�����。他們在電腦用戶的屏幕上用各種各樣五花八門的花樣展現(xiàn)著自己�����,“小球”病毒在電腦屏幕上跳來跳去,“貪吃蛇”則會(huì)吃掉所經(jīng)過屏幕上的字符���,有的會(huì)放出繽紛的禮花���,干擾用戶的電腦操作,但并不對系統(tǒng)造成破壞���。其它的還有“米開朗基羅”“黑色星期五”“Stoned(石頭)”病毒等等����,這些病毒都通過感染硬盤或軟盤引導(dǎo)區(qū)�,感染.COM和.EXE文件。這類病毒修改了部分中斷向量表��,被感染的文件明顯的增加了字節(jié)數(shù)����,并且病毒代碼主體沒有加密,也容易被查出和解除��。 略有對抗反病毒手段的只有Yankee Doole病毒���, 當(dāng)它發(fā)現(xiàn)你用DEBUG工具跟蹤它的話��,它會(huì)自動(dòng)從文件中逃走��。
接著�, 又一些能對自身進(jìn)行簡單加密的病毒相繼出現(xiàn)����。它們加密的目的主要是防止跟蹤或掩蓋有關(guān)特征等。后來還有一些對抗反病毒技術(shù)和隱藏自己的病毒出現(xiàn)�,1992年以后,一些病毒開始破壞系統(tǒng)引導(dǎo)區(qū)���,但由于那時(shí)候電腦主要是在高校和科研機(jī)關(guān)應(yīng)用��,普通家庭根本沒有機(jī)會(huì)接觸到電腦����,只有少數(shù)一些電腦使用者在關(guān)注它們�,病毒與電腦使用者之間就象是玩一場游戲,在殺與被殺之間斗智斗勇��,這是一場只有少數(shù)人才有資格參與的游戲����。
“快樂時(shí)光”不快樂�����!
1995年開始����,WINDOWS視窗的推出和INTERNET的應(yīng)用帶來了病毒的繁榮����。WINDOWS和INTERNET給人們帶來了“快樂時(shí)光”,與此同時(shí)��,一種“快樂時(shí)光(happy time)”病毒也在悄然來襲����。“快樂時(shí)光”能夠通過電子郵件迅速傳播�����,發(fā)送大量的帶毒郵件�,而且電腦用戶只要將鼠標(biāo)光標(biāo)點(diǎn)到這封郵件上,病毒就會(huì)被觸發(fā)��,向電腦中所有的聯(lián)系人發(fā)送同樣的帶毒郵件。
“快樂時(shí)光”使用了微軟并利用Outlook Express一個(gè)漏洞��,該漏洞可以在你沒有點(diǎn)擊運(yùn)行附件時(shí)就將附件運(yùn)行���??鞓窌r(shí)光能夠感染VBS����、html 和腳本文件�����,成為互聯(lián)網(wǎng)上長期的禍害���,后來“快樂時(shí)光”又發(fā)展成為新“快樂時(shí)光”并出現(xiàn)了很多變種��,在系統(tǒng)日期月和日加起來等于13的那天發(fā)作���。一直到2005年才開始退出流行病毒行列。
那時(shí)候�����,很多電腦用戶都不裝殺毒軟件,在電腦感到運(yùn)行緩慢的時(shí)候�����,往往會(huì)找來江民KV3000等殺毒軟件臨時(shí)殺毒��,結(jié)果一殺就能殺出數(shù)千上萬個(gè)病毒出來�����,因?yàn)榭鞓窌r(shí)光是感染型病毒���,電腦中有多少腳本和網(wǎng)頁文件�,病毒就能感染多少����,所以出現(xiàn)了殺出一萬多個(gè)病毒的奇觀。
CIH 中國信息大劫難
1998年2月���,陳盈豪編寫出了破壞性極大的Windows惡性病毒CIH-1.2版����,并定于每年的4月26日發(fā)作破壞�,然后����,悄悄的潛伏在網(wǎng)上的一些供人下載的軟件中��。
一個(gè)月后����,也就是到了1998年8月26日,CIH-1.4病毒首先跳出來發(fā)作����,我國部分地區(qū)遭到襲擊,但損害面積不大��。事后����,為了避免更大災(zāi)害���,我國政府職能部門公安部發(fā)出了通緝?nèi)NCIH病毒的通告��?��?墒?���,使用正版殺毒軟件的意識不被一些用戶重視��,又不經(jīng)常保持升級殺毒軟件�����,CIH-1.2病毒又經(jīng)過一年的傳播�,已傳遍全世界,世界性的巨大殺機(jī)潛伏下來了��,一場人類史無前例的信息大劫難即將暴發(fā)���。
1999年4月26日����,一個(gè)計(jì)算機(jī)行業(yè)難以忘卻的日子���,也就是到了CIH-1.2病毒第二年的發(fā)作日���,人們起早一上班便輕松的打開計(jì)算機(jī)準(zhǔn)備工作,可是,打開一臺(tái)計(jì)算機(jī)后���,只看到屏幕一閃便就黑暗一片�����。再打開另外幾臺(tái)��,也同樣一閃后就再也啟動(dòng)不起來了...��,計(jì)算機(jī)史上�����,病毒造成的又一次巨大的浩劫發(fā)生了��。第二天早上�����,上門請求恢復(fù)硬盤數(shù)據(jù)的用戶從江民公司的樓上一直排到了公司門前的馬路上,江民公司全體員工連夜免費(fèi)為用戶修復(fù)電腦硬盤數(shù)據(jù)�,整整忙了一個(gè)星期這種情況才有所緩解。
談到造成那次計(jì)算機(jī)浩劫的主要原因��,江民反病毒專家嚴(yán)紹文分析說,主要原因是人們沒有起碼的防范意識�����。早在98年KV300+就可以清除CIH病毒��,但那時(shí)許多人掉以輕心����,沒有及時(shí)定期地對計(jì)算機(jī)進(jìn)行病毒掃描,還有一部分用戶沒有升級��,加上那時(shí)殺毒軟件盜版成風(fēng)�����,種種原因聚集在一起��,導(dǎo)致了99年CIH的大規(guī)模爆發(fā)�����。
對于CIH病毒�����,江民反病毒中心每年都會(huì)病毒發(fā)作情況監(jiān)控,2006年以后�����,隨著使用以DOS為內(nèi)核的WIN98和WIN ME操作系統(tǒng)的人越來越少��,CIH已經(jīng)失去了發(fā)作的系統(tǒng)平臺(tái)�����,江民反病毒中心連續(xù)幾年對CIH病毒發(fā)作情況進(jìn)行了監(jiān)測�,數(shù)據(jù)表明CIH已經(jīng)開始退出病毒舞臺(tái)。
“梅麗莎” 美麗殺手
1999年在西方國家大爆發(fā)的melissa又稱為“梅麗莎”或者美麗殺手�����,是一種word97宏病毒�,專門針對微軟的電子郵件服務(wù)器ms exchange和電子郵件收發(fā)系統(tǒng)outlook。該病毒利用outlook全域地址表來獲取信箱地址信息�����,并自動(dòng)給表中前50個(gè)信箱發(fā)送電子郵件����,并在其后附加一個(gè)被感染的文件list.doc,內(nèi)含大量的色情網(wǎng)址。該病毒會(huì)在每臺(tái)被感染的電腦上重復(fù)這樣的動(dòng)作�����,在短時(shí)間內(nèi)形成連鎖反應(yīng)���,產(chǎn)生大量的電子郵件垃圾�����,造成郵件服務(wù)器嚴(yán)重阻塞以至最后癱瘓��。用戶可以手工在注冊表中添加類似病毒感染的表項(xiàng)�,避免病毒的傳染����,或者在發(fā)送電子郵件時(shí)不要啟動(dòng)word文字處理系統(tǒng)?!懊符惿碑?dāng)年造成了超過8000萬美元的經(jīng)濟(jì)損失。
“求職信” 不死毒王
求職信病毒(wantjob)始現(xiàn)于2001年8月��,因?yàn)椴《局袔в刑卣髯志洹癐 want a good job,I must support my parents.(我必須找到一分工作來供養(yǎng)我的父母)”�,因此被稱之為“求職信”病毒?!凹彝ァ敝械膸孜弧爸匾钡某蓡T���,分別是:Worm.WantJob.61440、Worm.WantJob.73744�����、Worm.WantJob.81936�、Win32.Foroux.A
這是一個(gè)高危險(xiǎn)性的惡性郵件病毒,因?yàn)椴《局袔в刑卣髯志洹癐 want a good job,I must support my parents.(我必須找到一分工作來供養(yǎng)我的父母)”���,因此被稱之為“求職信”病毒����。它與Nimda病毒同樣利用了Iframe ExecCommand漏洞�,使沒有打IE補(bǔ)丁的用戶收到郵件后會(huì)自動(dòng)運(yùn)行,具有非常強(qiáng)的傳播性����。
“求職信”不僅具有尼姆達(dá)病毒自動(dòng)發(fā)信、自動(dòng)執(zhí)行�、感染局域網(wǎng)等破壞功能,而且在感染計(jì)算機(jī)后還不停的查詢內(nèi)存中的進(jìn)程���、檢查是否有一些殺毒軟件存在�����。如果存在則將該殺毒軟件的進(jìn)程終止����。每隔0.1秒就循環(huán)檢查進(jìn)程一次�,以至于這些殺毒軟件無法運(yùn)行。該病毒每過8小時(shí)就搜尋一切可寫的網(wǎng)絡(luò)資源(如局域網(wǎng)的完全共享目錄)�����,隨機(jī)產(chǎn)生一個(gè)文件名���,加密后把復(fù)制過去��。因此感染性極強(qiáng)�。主要特點(diǎn)是通過電子郵件系統(tǒng)進(jìn)行傳播�����,感染電腦之后能主動(dòng)關(guān)閉許多殺毒軟件的運(yùn)行����,正是這一個(gè)特點(diǎn)使得它的傳播速度明顯快于其他病毒�,其次它還能感染通過在局域網(wǎng)與電腦相連接的共享驅(qū)動(dòng)器�。
求職信病毒如果感染的是Windows NT/2000系統(tǒng)的計(jì)算機(jī),即把自己注冊為系統(tǒng)服務(wù)進(jìn)程����,一般方法很難殺滅。它還不停地向外發(fā)送郵件���,把自己偽裝成”Htm�、Doc�、Jpg、Bmp���、Xls�����、Cpp���、Html、Mpg��、Mpeg“類型文件中的一種���,文件名也是隨機(jī)產(chǎn)生的����,很具隱蔽性。
該病毒將會(huì)自動(dòng)搜索硬盤�����,用內(nèi)存中的隨機(jī)數(shù)據(jù)覆蓋硬盤上的所有文件���,因此會(huì)給用戶數(shù)據(jù)帶來無法估量的損失。
求職信病毒后來也出現(xiàn)了大量的變種�,歷經(jīng)數(shù)年而不衰,一段時(shí)間被稱為是“不死毒王”��,直到2005年以后,當(dāng)木馬盜號病毒成為主流,求職信才很少再被提起過��。
SQL殺手 史上最短小���、殺傷力最大的蠕蟲
2003年1月25日�,江民快速反病毒應(yīng)急處理中心成功截獲造成全球互聯(lián)網(wǎng)癱瘓的“SQL殺手”(worm.SQL.helkerm)蠕蟲病毒��。這是一個(gè)病毒體極其短小,卻具有極強(qiáng)的傳播性病毒���,病毒只用376個(gè)字節(jié)的程序�����,就使全球互聯(lián)網(wǎng)遭遇到重創(chuàng)���。病毒不破壞文件�����、數(shù)據(jù)�,但是能消耗大量網(wǎng)絡(luò)帶寬資源�,使得網(wǎng)絡(luò)陷入癱瘓。
江民反病毒專家介紹�,此病毒是利用Microsoft SQL Server的漏洞進(jìn)行傳播,由于Microsoft SQL Server在世界范圍內(nèi)都很普及,因此此次病毒攻擊導(dǎo)致全球范圍內(nèi)的互聯(lián)網(wǎng)癱瘓�,在中國80%以上網(wǎng)民受此次全球性病毒襲擊影響而不能上網(wǎng),很多企業(yè)的服務(wù)器被此病毒感染引起網(wǎng)絡(luò)癱瘓����。而美國、泰國�����、日本、韓國��、馬來西亞�、菲律賓和印度等國家的互聯(lián)網(wǎng)也受到嚴(yán)重影響。這是繼紅色代碼���、尼姆達(dá)��,求職信病毒后又一起極速病毒傳播案例。所以“SQL殺手”蠕蟲的出現(xiàn)��,應(yīng)該成為一個(gè)傳奇……
“SQL殺手”病毒能夠大面積傳播的奧秘在于����,病毒在入侵未受保護(hù)的機(jī)器后,首先取得三個(gè)Win32 API地址����,GetTickCount、socket�����、sendto,接著病毒使用GetTickCount獲得一個(gè)隨機(jī)數(shù)���,進(jìn)入一個(gè)死循環(huán)繼續(xù)傳播����。在該循環(huán)中蠕蟲使用獲得的隨機(jī)數(shù)生成一個(gè)隨機(jī)的ip地址�����,然后將自身代碼發(fā)送至1434端口(Microsoft SQL Server開放端口)���,該蠕蟲傳播速度極快��,它使用廣播數(shù)據(jù)包方式發(fā)送自身代碼��,每次均攻擊子網(wǎng)中所有255臺(tái)可能存在機(jī)器�,而受到感染的電腦又開始進(jìn)行下一輪攻擊�,病毒以255的幾何級倍級傳播,因此能夠在短短一小時(shí)左右迅速傳遍全球�。
沖擊波
2003年8月12日,是繼1999年4月26后又一個(gè)讓電腦用戶難以忘記的日子����。這天�����,幾乎所有WIN2000以上操作系統(tǒng)的用戶一連上網(wǎng)就被提示系統(tǒng)將要在一分鐘內(nèi)重啟��,局域網(wǎng)用戶的電腦也出現(xiàn)同樣癥狀�����。截止到今年4月份���,據(jù)微軟統(tǒng)計(jì),這個(gè)被命名為“沖擊波”的病毒已經(jīng)感染了近千萬臺(tái)電腦���。沖擊波利用微軟操作系統(tǒng)RPC漏洞傳播����,掃描TCP端口��,對所有存在漏洞的機(jī)器發(fā)送攻擊代碼����,病毒無需進(jìn)入硬盤�,在內(nèi)存中即可導(dǎo)致被掃描到的機(jī)器頻繁重啟。
一時(shí)間,沖擊波病毒在全球范圍內(nèi)的泛濫不可遏止����,全國上百萬臺(tái)計(jì)算機(jī)、上千個(gè)局域網(wǎng)被感染��,并以極快的速度傳播����。
“這次大規(guī)模蠕蟲病毒的爆發(fā)可以說是2-3年以來國內(nèi)反應(yīng)最為強(qiáng)烈的一次”,江民科技董事長王江民在接受新浪科技獨(dú)家采訪時(shí)表示��,“從江民目前的統(tǒng)計(jì)來看����,本次遭受攻擊的電腦系統(tǒng)主要集中在Windows XP及Windows 2000上,大概占到60-70%的比例��,另外少量Windows Me及98系統(tǒng)也遭到了不同程度的攻擊”����。
12日上午,江民公司率先在國內(nèi)提交了該病毒的解決方案并及時(shí)升級了病毒庫��,同時(shí)向國家公安部等相關(guān)部門提交了病毒樣本�。
據(jù)江民公司的技術(shù)人員介紹����,沖擊波病毒是一種蠕蟲病毒����,其樣本大小為6176字節(jié),感染的操作系統(tǒng)為Windows2000和XP及2003操作系統(tǒng)����,病毒會(huì)下載并運(yùn)行病毒文件Msblast.exe,最終將會(huì)導(dǎo)致機(jī)器停止響應(yīng)��。
王江民認(rèn)為�,蠕蟲病毒將是互聯(lián)網(wǎng)時(shí)期最為肆虐的電腦病毒,而在今后的時(shí)間內(nèi)��,可能還會(huì)不同程度的爆發(fā)���。對于本次沖擊波病毒����,王江民表示��,相比之前的CIH病毒����,這個(gè)病毒的傳播能力頗強(qiáng),就象它自身的名字一樣�����,基本是按指數(shù)上升的����。
隨著互聯(lián)網(wǎng)信息時(shí)代的到來,網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)和個(gè)人不得不面臨的問題�,“準(zhǔn)確的說,根本沒有所謂永久性的安全防護(hù)措施���,對用戶而言���,提高防護(hù)意識可能更重要!”
震蕩波 不平常的五一
2004年5月1日���,人們正沉浸在五一長假的快樂當(dāng)中�,震蕩波病毒開始發(fā)難����,其攻擊手段與沖擊波如出一轍����,仍然是利用微軟操作系統(tǒng)漏洞以及開放的端口從內(nèi)存到內(nèi)存對連在網(wǎng)上的電腦進(jìn)行攻擊的�,一時(shí),反病毒公司的熱線電腦響聲四起�����,反映自己奔四電腦比586還慢��,上不了網(wǎng)���、頻繁重啟的求助電話一個(gè)接著一個(gè)�����,“震蕩波”病毒在短短12天時(shí)間內(nèi)��,即接連出現(xiàn)6個(gè)變種�����,感染了全球約1800萬臺(tái)電腦���,損失高達(dá)5億美元。
4月13日到4月29日����,江民反病毒專家們剛剛截獲并消滅了專偷網(wǎng)上銀行資金的病毒“網(wǎng)銀大盜”病毒,5月1日����,國家計(jì)算機(jī)病毒應(yīng)急中心發(fā)現(xiàn),一種利用微軟操作系統(tǒng)漏洞的蠕蟲病毒正在對互聯(lián)網(wǎng)發(fā)起攻擊��,并陸續(xù)接到江蘇�、寧夏、北京�、黑龍江、遼寧和廣東等地區(qū)用戶報(bào)告����。憑著與計(jì)算機(jī)病毒多年的實(shí)戰(zhàn)經(jīng)驗(yàn),專家們認(rèn)為這個(gè)病毒潛在的危害巨大���,病毒利用的是Windows LSASS的一個(gè)已知漏洞(MS04-011)�,被攻擊的計(jì)算機(jī)會(huì)出現(xiàn)系統(tǒng)頻繁重啟的現(xiàn)象��,與去年大面積爆發(fā)的沖擊波病毒危害十分相似���。反病毒專家們擔(dān)心的是�,雖然去年4月份微軟就發(fā)布了這個(gè)漏洞補(bǔ)丁,但我國仍有相當(dāng)部分用戶沒有打上這個(gè)漏洞補(bǔ)丁����。
當(dāng)日,國家計(jì)算機(jī)病毒應(yīng)急處理中心緊急與以江民為首的我國反病毒通道廠商聯(lián)系����,要求反病毒廠商緊急升級殺毒軟件病毒庫。江民國內(nèi)率先響應(yīng)了國家應(yīng)急中心的指示���,以最快速度升級了KV系列殺毒軟件病毒庫��,并在江民反病毒資訊網(wǎng)發(fā)布了病毒技術(shù)分析報(bào)告以及相關(guān)解決方案����。
網(wǎng)銀大盜 網(wǎng)上銀行大劫難
2003年4月21日�����,一條平時(shí)不為人關(guān)注的計(jì)算機(jī)病毒新聞登上了京城各大報(bào)刊的頭版��,江民反病毒專家發(fā)布消息稱,他們截獲一種專門盜取某網(wǎng)上銀行用戶名和密碼的木馬病毒���,這種病毒會(huì)在用戶計(jì)算機(jī)中創(chuàng)建可執(zhí)行文件與掛鉤和發(fā)信模塊文件�����,并修改注冊表,病毒在系統(tǒng)啟動(dòng)時(shí)即可運(yùn)行����。病毒主程序開啟2個(gè)計(jì)時(shí)器,計(jì)時(shí)器1每隔3秒鐘檢查是否有常用反病毒和防火墻軟件運(yùn)行�,一旦發(fā)現(xiàn)則立即終止這些進(jìn)程,同時(shí)還自動(dòng)回寫病毒注冊表項(xiàng)和病毒文件����。計(jì)時(shí)器2每隔0.5秒搜索用戶的IE窗口,如果發(fā)現(xiàn)用戶正在"某網(wǎng)上銀行"的登錄界面���,則嘗試竊取注冊卡號和密碼��。一旦成功����,就把竊取到的信息保存到共享內(nèi)存中,電腦與網(wǎng)絡(luò)再次連通后��,木馬就會(huì)把共享內(nèi)存中保存的用戶賬號和密碼通過電子郵件發(fā)送給病毒作者�。
“網(wǎng)銀大盜”系一種間諜軟件,屬于木馬類病毒����,該病毒利用某網(wǎng)上銀行系統(tǒng)漏洞,偷取網(wǎng)上銀行用戶銀行卡號和密碼����,并自動(dòng)發(fā)送給病毒作者。截止犯罪嫌疑人被捕時(shí)����,該犯罪團(tuán)伙已成功竊取資金4.8萬元 。在江民及某網(wǎng)上銀行技術(shù)人員的努力下��,該病毒于4月中旬即被查殺�����,某網(wǎng)上銀行也已經(jīng)進(jìn)行了緊急技術(shù)升級�,堵上了這個(gè)漏洞,避免了一場即將發(fā)生的網(wǎng)上銀行浩劫����,保護(hù)了某網(wǎng)上銀行用戶上千億萬資金安全�。
證券大盜
2004年11月25日���,江民反病毒中心截獲“證券大盜”木馬病毒(Trojan/PSW.Soufan)����。該木馬可以盜取多家證券交易系統(tǒng)的交易賬號和密碼��,被盜號的股民帳戶存在被人惡意操縱的可能���。
據(jù)江民反病毒專家介紹,病毒運(yùn)行后��,自動(dòng)監(jiān)控一些特定的金融證券網(wǎng)站頁面�,當(dāng)病毒監(jiān)測到包含多家券商名稱的網(wǎng)站標(biāo)題窗口時(shí),就開始使用鍵盤鉤子程序自動(dòng)記錄用戶登陸信息��,包括用戶名和密碼��,同時(shí)�����,病毒還通過屏幕快照將用戶登陸時(shí)窗口畫面保存為圖片,在記錄達(dá)到一定次數(shù)后����,將記錄的信息和圖片通過電子郵件發(fā)送給病毒作者。
江民反病毒專家何公道認(rèn)為�,該病毒可能造成的危害在于,黑客可以惡意操縱被盜的股票�,將某高價(jià)股票高買低賣,然后使用自己的賬戶將同一股票低買高賣���,賺取中間的差價(jià)�,給被盜股民帶來巨大的損失���。更為狡猾的是�����,“證券大盜”病毒每次運(yùn)行后即“自殺”��,并刪除自身在系統(tǒng)中留下的文件����,達(dá)到消毀“罪證”的目的�����,“作案”手段十分隱蔽。
令人吃驚的是�,2006年5月14日,新華社報(bào)道�����,據(jù)公安部門偵察����,截止到犯罪嫌疑人被捕時(shí)����,證券大盜病毒作者已利用“證券大盜”病毒程序,在不到2個(gè)月時(shí)間里���,截獲股民股票賬戶����、密碼�,盜買、盜賣股票價(jià)值1141.17萬元��,非法獲利38.6萬元。5月9日下午�,南昌市中級人民法院一審以盜竊罪判處主犯張勇無期徒刑,從犯王浩����、鄒亮分別被判13年和12年有期徒刑。證券大盜給人們留下深深的思考�!
敲詐者
2006年6月11日,國內(nèi)首例旨在敲詐被感染用戶錢財(cái)?shù)哪抉R病毒被江民公司反病毒中心率先截獲����。該病毒名為“敲詐者”(Trojan/Agent.bq),病毒可惡意隱藏用戶文檔�����,并借修復(fù)數(shù)據(jù)之名向用戶索取錢財(cái)�����。 “敲詐者”給中毒的電腦用戶帶來了巨大麻煩�����。山東某公司財(cái)務(wù)部電腦感染了“敲詐者”��,導(dǎo)致財(cái)務(wù)報(bào)表莫名失蹤,用戶不得已緊急飛往北京尋求數(shù)據(jù)恢復(fù)�����。廣州某從事鞋業(yè)國際貿(mào)易的網(wǎng)友因感染該病毒�,導(dǎo)致一筆巨額外貿(mào)訂單丟失,白白損失數(shù)十萬元�����。而唐山某銀行的用戶也因?yàn)楦腥玖饲迷p者�����,導(dǎo)致單位工資報(bào)表被隱藏����,一時(shí)難以恢復(fù)�。“敲詐者”病毒可謂作惡多端��,一時(shí)網(wǎng)上人人喊打����,被病毒侵害丟失巨額外貿(mào)訂單的網(wǎng)友“大叔”甚至極端地在網(wǎng)上發(fā)帖�,稱要懸賞十萬嚴(yán)懲名為“歐陽俊曦”的病毒作者����。
據(jù)國內(nèi)率先截獲“敲詐者”病毒的江民科技反病毒工程師介紹,僅江民反病毒中心已接到110余例用戶中毒求助報(bào)告�,而全國估計(jì)至少有數(shù)千人感染該病毒,目前該反病毒中心已截獲該病毒的7個(gè)變種�����。新華社6月19日報(bào)道�����,經(jīng)過病毒留下的線索和技術(shù)分析�,江民反病毒工程師鎖定了一網(wǎng)名為“俊曦”的人,懷疑此人即為“敲詐者”病毒的作者����。據(jù)“俊曦”在MSN上留言,他傳播病毒不過是為了“買點(diǎn)面包充饑”�。“俊曦”自稱是有著二十年編程經(jīng)驗(yàn)的程序員�,以前沉溺于技術(shù)賺錢不多得不到周圍人承認(rèn),現(xiàn)在感覺“經(jīng)常用左腿走路累,突然換右腳感覺快多了”�,暗示編寫程序不如編寫病毒賺錢。他還透露將掀起“更大的風(fēng)暴”�。 另據(jù)介紹,病毒作者還透露“敲詐者”病毒是2006年6月6日制作完成并傳播的��,而這一天恰好是西方國家的魔鬼日�,病毒作者對此頗為自得,自稱事前并無預(yù)謀����,如此巧合“似有神助”。
“敲詐者”病毒案例引起了公安部及廣東省公安廳領(lǐng)導(dǎo)的高度重視�,廣州警方成立了專案組,迅速鎖定了病毒制造者歐陽某����,并于7月3日晚9時(shí)許,在廣州白云區(qū)某小區(qū)內(nèi)將犯罪嫌疑人抓獲���,當(dāng)場查獲作案工具計(jì)算機(jī)2臺(tái)以及手機(jī)卡和銀行卡一批��。從案發(fā)到偵破僅用了19天時(shí)間。
熊貓燒香
2006與2007年歲交替之際��,一名為“熊貓燒香”的計(jì)算機(jī)病毒在互聯(lián)網(wǎng)上掀起軒然大波�����。從去年12月首次出現(xiàn)至今,短短一個(gè)多月���,病毒已迅速在全國蔓延����,受害用戶至少上百萬���,計(jì)算機(jī)反病毒公司的熱線電話關(guān)于該病毒的咨詢和求助一直不斷���,互聯(lián)網(wǎng)上到處是受害者無奈的求助、怨恨�����、咒罵�,電腦里到處是熊貓燒香的圖標(biāo),重要文件被破壞�����,局域網(wǎng)徹底癱瘓,病毒造成的損失無法估量���。
1月18日���,國內(nèi)最大的計(jì)算機(jī)反病毒廠商江民科技監(jiān)測到,“威金”病毒新變種“熊貓燒香”仍在瘋狂傳播�����,上演著最后的瘋狂�。江民科技監(jiān)測發(fā)現(xiàn),近階段該病毒的傳播手段更是無所不用其及����,繼一些IT專業(yè)門戶及資訊網(wǎng)站成為病毒幫兇后,一家普及率非常高的影音播放軟件網(wǎng)站也感染了該病毒�,用戶點(diǎn)擊網(wǎng)頁即可中毒?���!靶茇垷恪辈坏梢越K止大量的殺毒軟件和防火墻程序,而且還禁止用戶使用GHOST恢復(fù)系統(tǒng)�,通過U盤、共享文件夾���、系統(tǒng)默認(rèn)共享����、IE漏洞�����、QQ漏洞�����、系統(tǒng)弱口令等等多種途徑傳播��,局域網(wǎng)中一臺(tái)機(jī)器感染����,可以瞬間傳遍整個(gè)網(wǎng)絡(luò)。
江民反病毒專家介紹�,導(dǎo)致病毒快速傳播目前存在三大原因。一個(gè)大量的企業(yè)用戶使用國外殺毒軟件�,而國外殺毒軟件對于此類國產(chǎn)病毒響應(yīng)速度特別慢。二是一部分網(wǎng)站編輯或網(wǎng)站管理人員本身機(jī)器感染了病毒�����,由于病毒能夠修改HTML文件,當(dāng)他們把受感染文件上傳到服務(wù)器后�����,訪問者點(diǎn)擊此類受感染網(wǎng)頁即中毒����。三是病毒綜合利用了多種漏洞和傳播途徑,如利用微軟MS06-014漏洞感染HTML文件���,通過QQ最新漏洞傳播自身�����,通過網(wǎng)絡(luò)文件共享����、默認(rèn)共享�、系統(tǒng)弱口令、U盤及移動(dòng)硬盤等多種途徑傳播��。
磁碟機(jī)
近日�,越來越多的企業(yè)用戶向江民反病毒中心求助,稱他們的企業(yè)網(wǎng)絡(luò)正在遭受病毒侵襲�,電腦運(yùn)行緩慢����,出現(xiàn)系統(tǒng)藍(lán)屏���、死機(jī)等現(xiàn)象,可執(zhí)行文件被病毒感染����,整個(gè)網(wǎng)絡(luò)安全面臨嚴(yán)重的病毒威脅。
江民反病毒工程師經(jīng)提取病毒樣本分析后認(rèn)為�����,多數(shù)企業(yè)都遭受了同一病毒“千足蟲”(又名磁碟機(jī))病毒侵害�。千足蟲(磁碟機(jī))早在去年就被江民反病毒中心截獲,近期頻繁變種�����,大有卷土重來之勢�。“磁碟機(jī)”病毒能夠利用多種手段終止殺毒軟件運(yùn)行����,并可導(dǎo)致被感染計(jì)算機(jī)系統(tǒng)出現(xiàn)藍(lán)屏����、死機(jī)等現(xiàn)象��,嚴(yán)重危害被感染計(jì)算機(jī)的系統(tǒng)和數(shù)據(jù)安全���。與其它關(guān)閉殺毒軟件的病毒不同的是�����,該病毒利用了多達(dá)六種強(qiáng)制關(guān)閉殺毒軟件和干擾用戶查殺的反攻手段����,許多自身保護(hù)能力不夠強(qiáng)壯的殺毒軟件在病毒面前紛紛被折�����。
江民反毒專家何公道認(rèn)為�,磁碟機(jī)病毒是近幾年以來發(fā)現(xiàn)的病毒技術(shù)含量最高、破壞性最強(qiáng)的病毒���,其破壞能力����、自我保護(hù)和反殺毒軟件能力均十倍于“熊貓燒香”。磁碟機(jī)病毒的發(fā)作標(biāo)志著計(jì)算機(jī)病毒進(jìn)入了驅(qū)動(dòng)病毒時(shí)代�。
計(jì)算機(jī)病毒從2006年開始,又有了重大的發(fā)展��。病毒的目標(biāo)已經(jīng)從以前的炫耀技術(shù)徹底轉(zhuǎn)向經(jīng)濟(jì)利益�,網(wǎng)絡(luò)上流行的病毒大都是盜號竊密的木馬病毒,而病毒技術(shù)也日新月異����,病毒通過Rootkit技術(shù)和映象劫持技術(shù)隱藏自身的進(jìn)程�����、注冊表鍵值��,通過插入進(jìn)程��、線程避免被殺毒軟件查殺��,通過實(shí)時(shí)監(jiān)測對自身進(jìn)程進(jìn)行回寫�,避免被殺毒軟件查殺,通過還原系統(tǒng)SSDT HOOK和還原其它內(nèi)核HOOK技術(shù)破壞反病毒軟件����,其中僅映象劫持技術(shù)就包括“進(jìn)程映像劫持”���、“磁盤映像劫持”、“域名映像劫持”�����、“系統(tǒng)DLL動(dòng)態(tài)連接庫映像劫持”等多種方式�����。目前幾乎所有的盜取網(wǎng)絡(luò)游戲賬號的木馬病毒都具備了以上一種以上的技術(shù)特征����,幾乎所有最新的程序應(yīng)用技術(shù)都被病毒一一應(yīng)用,電腦一旦感染病毒����,普通用戶根本無能力徹底清除,只能求助專業(yè)技術(shù)人員�����。未來的計(jì)算機(jī)病毒將綜合利用以上新技術(shù)�����,使得殺毒軟件查殺難度更大。
伴隨著互聯(lián)網(wǎng)的高速發(fā)展�����,病毒也進(jìn)入了愈加猖狂和泛濫的新階段�,并呈現(xiàn)出了以下幾個(gè)特征:
1、病毒的種類和數(shù)量在迅速增長:
江民公司2008年1月2日發(fā)布的《2007年度病毒疫情報(bào)告》中顯示表明:截止到2007年底�,江民反病毒中心共截獲新病毒總數(shù)為36萬3000余種,較06年增長501%��。截止到2007年12月份�����,病毒累計(jì)感染計(jì)算機(jī) 3441萬4793 臺(tái)����,其中78%以上的病毒為木馬�����、后門�。而僅2008年上半年,江民反病毒中心共截獲新病毒206439種,1至6月全國共有9871681臺(tái)計(jì)算機(jī)感染了病毒。目前江民反病毒中心日處理病毒數(shù)量達(dá)到最高達(dá)到上萬種�。
2、傳播手段越來越廣泛:
木馬���、病毒通過移動(dòng)存儲(chǔ)設(shè)備��、網(wǎng)頁掛馬�、網(wǎng)址欺騙�、視頻文件傳播、部分知名軟件的漏洞等進(jìn)行瘋狂傳播�����。
3���、病毒的技術(shù)水平越來越高:
病毒制造者不斷更新著病毒的制造技術(shù)�����,不斷推出病毒的新變種���,利用新的技術(shù)手段隱藏自身進(jìn)程,通過加殼和免殺技術(shù)終止殺毒軟件的運(yùn)行�����,逃避殺毒軟件對于病毒的查殺,達(dá)到傳播有害程序��、破壞數(shù)據(jù)文件�����、非法竊取利益的目的����。更值得關(guān)注的是,進(jìn)入2008年以來��,大部分主流病毒技術(shù)都進(jìn)入了驅(qū)動(dòng)級�����,開始與殺毒軟件爭搶系統(tǒng)驅(qū)動(dòng)的控制權(quán)��,從而控制殺毒軟件�����,致使殺毒軟件功能失效����。
4、病毒的危害越來越大:
更多的木馬和病毒破壞電腦系統(tǒng)�����、造成死機(jī)���、藍(lán)屏����、數(shù)據(jù)丟失�����、竊取用戶賬號密碼等���,給用戶造成巨大的損失和破壞�。熊貓燒香����、機(jī)器狗、ARP病毒����、磁碟機(jī)這些病毒迅速在互聯(lián)網(wǎng)上瘋狂傳播���,被感染的計(jì)算機(jī)數(shù)量急速增長,嚴(yán)重影響著個(gè)人用戶和企業(yè)用戶的信息安全���。
二十年來�,從DOS病毒到WINDOWS病毒�,從單臺(tái)電腦之間傳播到到網(wǎng)絡(luò)傳播,轉(zhuǎn)播載體從軟盤到光盤再到現(xiàn)在的移動(dòng)存儲(chǔ)�����,反病毒與病毒的較量從來沒有停止過�,江民反病毒專家們隨時(shí)都處于備戰(zhàn)狀態(tài)。反病毒在明處�����,病毒在暗處�����,沒有人可以預(yù)知下一個(gè)病毒會(huì)在什么時(shí)候出現(xiàn)����,而反病毒工作者的責(zé)職及使命所在就是:消滅每一個(gè)病毒在萌芽狀態(tài),防止其進(jìn)一步的傳播和爆發(fā)��,讓更多的電腦用戶能夠安全��、愉快地使用互聯(lián)網(wǎng)��。
|
