摘要
安天實驗室對2007年度計算機病毒疫情進行了全方位的分析與統計,病毒的發展態式呈穩定上升的趨勢,在原有病毒種類上,不斷的出現新的分類。USB隨身碟傳播病毒,ARP病毒,機器狗病毒,盜號木馬,web腳本木馬,利用漏洞的病毒等給個人用戶、大型企業、學校、政府部門等都帶來了不同程度的經濟損失。地下經濟體系成長已經成熟,向傳統的安全防禦發出了挑戰,由黑客單獨行動提升為黑客團隊協同作戰。
一、2007年度計算機病毒疫情統計與分析
1、計算機病毒綜合統計分析
由於互聯網絡的迅速發展、病毒源代碼的公開、病毒自動生成機的氾濫、病毒製作技術的成熟、以及利益的驅使,病毒製作技術平民化等諸多因素致使病毒氾濫,病毒數量不斷增加。另一方面計算機網絡用戶不斷的增加,但是對網絡安全意識卻沒有形成足夠的重視;以至於使得受感染用戶的不斷增加、病毒的數目、同類家族病毒等呈現迅猛的增長。
下圖為05年到07年度新增病毒的數量統計:
下圖為2006年與2007年新截獲各類病毒對比,從圖中可以看出來主要病毒種類的數目與之上年同期相比都有所增長,和我國網絡用戶的增長是有直接關係的,導致病毒數目的增長。其中木馬和廣告插件增長的速度最快,木馬的增長速度已經超出控制能力。由於受利益的驅使,以及以利益為目的黑客的快速轉型致使x-file(廣告插件)的增長速度也不斷的攀升。
其中木馬類增長68.8%、後門類增長14.5%、廣告插件增長49.9%、黑客工具增長24.5%。從以上可以看出07年病毒增長主要以木馬和廣告插件增長最為突出。
下圖為07年度新截獲各類病毒比例,其中以木馬為主,木馬75.42%、後門6.77%、蠕蟲7.53%、病毒3.40%、黑客工具0.71%、X-FILE(廣告插件)6.23%。
07年木馬數量占比超過以往任意一年。如果說06年的x-file是一個新興的轉型類病毒超趕以往年度蠕蟲和後門,那麼07年的x-file已經和蠕蟲、後門並駕齊驅。
下圖為2007年度各月病毒總數走勢。整體來說07年的病毒走勢是在後期體現急速增長。從單一的方面是很難分析出其原因的。系統漏洞的頻繁出現、各種應用軟體的源代碼的逆向、以及網絡群體的迅速擴大沒有足夠的安全意識等因素,使得病毒製造者有機可乘,病毒數目增長迅速。
下圖為07年新增家族各月數量統計。縱觀07年新增家族數量呈現平緩增長速度。新的娛樂遊戲的出現以及新的軟體漏洞、系統漏洞,導致病毒家族隨之更新變化。
下圖為2007年各月的各類病毒數目,可以看出木馬在07年的增長走勢一直處於遙遙領先,後門和x-file(廣告插件)呈現持續增長。後門、蠕蟲在後半年總體為平緩上升。黑客工具07年度呈現平緩上升趨勢。
2、典型病毒排名與分析
07年度以AV終結者居首位。機器狗為07年末新興病毒種類,雖然沒有在十大病毒排名上但是其危害遠遠超過其排名。機器狗是一種病毒下載器,它可以下載大量的木馬、病毒、惡意軟體、插件。它可以穿透多種還原卡及還原軟體,給中國網絡造成極大的破壞。
3、07年具有影響病毒技術:
・漏洞利用技術
「0Day漏洞」是軟體廠商未發現或未發佈修補補丁的漏洞。迅雷、Realpaly、百度搜霸等漏洞,給網絡造成了一定的影響。
・ARP欺騙技術
局域網在2007年大受這類網絡蠕蟲的攻擊, ARP欺騙病毒爆發後便立刻導致全網中毒,病毒資料侵佔網絡帶寬,網絡通信阻塞、直至崩潰,在病毒爆發的高峰期只能採取大面積斷網隔離的處理措施。
・映像劫持技術
映像劫持技術是使病毒不再是被動的躲避殺毒軟體的查殺。病毒竄改註冊表中的Image File Execution Options項後將包括殺毒軟體、防火牆等眾多安全工具重新定向,使得安全軟體無法運行。
・Rootkits技術
內核驅動級Rootkits,使得病毒成功躲避安全軟體的檢測。內核驅動級Rootkits可隱藏自身進程及動作、嵌入操作系統內核、劫持系統文件調用過程,獲得對系統底層的完全控制權,使得檢測、清除這些代碼成為當今反病毒界的公認難題。
・過主動防禦技術
病毒通過更改系統時間使安全軟體失去保護作用,通過加花等一些技術來定位修改特徵碼,躲避殺軟的查殺。
・穿透還原卡及還原軟體技術
此種技術被應用於07年末的機器狗病毒中,可以穿透多種還原卡和還原軟體,據有超強的破壞力。
(