2010-01-01據江民反病毒中心、江民客戶服務中心、江民全球病毒監測預警系統聯合統計的數據,截止到2009年12月31日,共截獲新增計算機病毒(樣本)數總計(包括木馬、后門、廣告程序、間諜木馬、腳本病毒、漏洞攻擊代碼、蠕蟲病毒)12711986個,其中新增木馬(樣本)9665551個,新增后門(樣本)1260018個,新增廣告程序(樣本)389265個,新增漏洞攻擊代碼(樣本)121398個,其它病毒(樣本)1275754個。
2009年度,木馬后門病毒在全部計算機病毒總數中仍然高居85.9%的比例,繼續高居計算機病毒榜首;而攻擊漏洞的惡意代碼則呈現上升趨勢,較2008年增長了100%。網頁掛馬數量激增,2009年度,江民惡意網頁監測系統監測到的常見掛馬網頁病毒源網址(非掛馬網頁本身)地址已經達到1萬余個,按平均每個惡意網站掛馬1000個正常網頁計算,2009年度整個互聯網被掛馬的次數達到1000萬次以上,較2008年度增長10倍。
2009年度計算機病毒區域特征明顯,山東、廣東計算機病毒感染電腦數量大幅增加,分列病毒區域排行第一、二名,與四川、河南、江蘇、浙江、陜西、北京、湖北等八個省市成為年度病毒疫情區域排行前十名。
2009年度十大計算機病毒排行
根據病毒的感染范圍、感染計算機病毒臺數以及危害程度,江民反病毒中心、江民客戶服務中心聯合統計公布2009年度十大計算機病毒排行:
2009年度十大計算機病毒點評:
十大病毒中,“U盤寄生蟲”成為2009年度“毒王”,表明目前通過U盤等移動存儲利用微軟“自動播放”功能已經成為絕大部分病毒最基本的傳播方式;而得益于“廣告聯盟”等網絡營銷推廣組織的平臺和點擊收費模式,“賽門斯”等惡意廣告程序大行其道,2009年度一些小型的廣告聯盟商通過此類惡意廣告程序,騙取了眾多用戶的點擊,從而賺取了廠商不少的錢財。“網游竊賊”等專門盜取網絡游戲帳號和虛擬裝備的病毒仍然呈高發態勢,眾多網絡游戲玩家進一步遭受此類病毒侵擾;而“刻毒蟲”病毒在2009年10月不到一個月的時間就出現了426個變種,感染計算機22200余臺, “刻毒蟲”變種病毒不但會阻止微軟操作系統自動更新,還會對目標電腦中的網上鄰居進行口令猜解,一旦猜解成功,便會通過MS08-067漏洞向該網上鄰居發送一個特定的RPC請求,用于下載kido主程序并安裝該蠕蟲文件。病毒還會屏蔽大量安全公司網站,同時下載大量惡意程序,用戶可能因此遭受信息泄露、遠程控制等侵害。2009年度,眾多企業級用戶網絡遭受“刻毒蟲”侵害,遭受到不同程度的損失。2009年11月, “無極殺手”變種b(Win32/Piloyd.b)在短短20天的時間內就感染了37萬余臺計算機,更是躍升到江民月度病毒排行榜的第四位。“無極殺手”試圖破壞大量安全軟件的相關進程,從網上下載大量的盜號木馬病毒,嚴重威脅電腦用戶的各類重要帳號密碼安全。作為遠程控制最經典的工具,“灰鴿子”已經被所有駭客所熟知,經過改寫后的“灰鴿子二代”在技術上更加隱蔽,從而成為眾多入門級的駭客最常用的后門工具,眾多未安裝殺毒軟件和防火墻的用戶電腦被遠程控制,從而成為駭客操縱的“僵尸網絡”中的“肉雞”。
2009年度十大計算機病毒檔案:
(1)“U盤寄生蟲”及其變種
病毒名稱:Checker/Autorun
中 文 名:U盤寄生蟲
病毒類型:蠕蟲
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:
Checker/Autorun“U盤寄生蟲”是一個利用U盤等移動存儲設備進行自我傳播的蠕蟲病毒。“U盤寄生蟲” 運行后,會自我復制到被感染計算機系統的指定目錄下,并重新命名保存。“U盤寄生蟲”會在被感染計算機系統中的所有磁盤根目錄下創建“autorun.inf”文件和蠕蟲病毒主程序體,來實現用戶雙擊盤符而啟動運行“U盤寄生蟲”蠕蟲病毒主程序體的目的。“U盤寄生蟲”還具有利用U盤、移動硬盤等移動存儲設備進行自我傳播的功能。“U盤寄生蟲”運行時,可能會在被感染計算機系統中定時彈出惡意廣告網頁,或是下載其它惡意程序到被感染計算機系統中并調用安裝運行,會被用戶帶去不同程度的損失。“U盤寄生蟲” 會通過在被感染計算機系統注冊表中添加啟動項的方式,來實現蠕蟲開機自啟動。
(2)“賽門斯”及其變種
病毒名稱:Adware/Cinmus.Gen
中 文 名:“賽門斯”變種
病毒類型:廣告程序
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:
Adware/Cinmus.Gen“賽門斯”變種是“賽門斯”廣告程序家族的最新成員之一,采用VC++ 6.0編寫。“賽門斯”變種運行后,會在被感染計算機的后臺獲取系統網卡的MAC地址,收集被感染計算機系統的配置信息。同時在后臺連接駭客指定站點,進行訪問量的統計和其它惡意程序下載等操作。病毒還會讀取注冊表相關鍵值,檢查自身組件是否被禁用,一旦發現被禁用便重新啟動病毒文件。同時自我注冊為BHO,實現“賽門斯”變種隨系統瀏覽器的啟動而加載運行。另外,“賽門斯”變種可能會在被感染計算機系統中定時彈出惡意網頁、廣告窗口等,干擾用戶的正常操作。
(3)“網游竊賊”及其變種
病毒名稱:Trojan/PSW.OnLineGames
中 文 名:網游竊賊
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP
描 述:
Trojan/PSW.OnLineGames“網游竊賊”是一個盜取網絡游戲帳號的木馬程序,會在被感染計算機系統的后臺秘密監視用戶運行的所有應用程序窗口標題,然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲帳號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息資料,并在后臺將盜取的所有玩家信息資料發送到駭客指定的遠程服務器站點上。致使網絡游戲玩家的游戲帳號、裝備物品、金錢等丟失,會給游戲玩家帶去不同程度的損失。“網游竊賊”會通過在被感染計算機系統注冊表中添加啟動項的方式,來實現木馬開機自啟動。
(4)“代理木馬”及其變種
病毒名稱:Trojan/Agent
中 文 名:代理木馬
病毒類型:木馬
危險級別:★★
影響平臺:Win 9x/2000/XP/NT/Me/2003
描 述:
Trojan/Agent“代理木馬”是一個從被感染計算機上盜取用戶賬號密碼的木馬程序。病毒運行后會創建名為boot.sys的病毒副本,在臨時文件夾中創建.html文件并利用IE瀏覽器自動打開。修改注冊表,實現病毒程序的開機自啟,并降低IE安全級別。同時在隨機TCP端口開啟代理服務器,將用戶計算機變為黑客的代理服務器。可開啟后門,允許遠程攻擊者非授權進入被感染計算機。“代理木馬”會盜取被感染計算機用戶的密碼,并可通過攔截用戶輸入IE的數據,形成鍵擊日志。將盜取的信息發送給黑客。
(5)“瑪格尼亞”及其變種
病毒名稱:Trojan/PSW.Magania
中 文 名:代理木馬
病毒類型:木馬
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:
以Trojan/PSW.Magania.bea為例,“瑪格尼亞”變種bea是“瑪格尼亞”木馬家族的最新成員之一,采用高級語言編寫,并經過加殼處理。“瑪格尼亞”變種bea采用HOOK技術和內存截取技術,運行后在被感染計算機的后臺盜取網絡游戲玩家的游戲賬號、游戲密碼、身上裝備、背包裝備、角色等級、金錢數量、游戲區服、計算機名稱等信息,并在被感染計算機的后臺將竊取到的玩家游戲賬號信息發送到駭客指定的遠程服務器站點上,造成玩家的游戲賬號、裝備物品、金錢等丟失,給游戲玩家帶來非常大的損失。另外,“瑪格尼亞”變種bea還會修改注冊表,實現木馬開機自動運行。
(6)“刻毒蟲”及其變種(Worm/Kido)
病毒名稱:Worm/Kido
中 文 名:刻毒蟲
病毒類型:蠕蟲
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:
以Worm/Kido.cc為例,“刻毒蟲”變種cc是“刻毒蟲”家族中的最新成員之一,該蠕蟲是由“kido”主程序釋放出來的DLL功能組件,經過加殼保護處理。“刻毒蟲”變種cc運行后,會移動自身到“%SystemRoot%system32”文件夾下,若不成功則進一步嘗試移動到“C:Program FilesMovie Maker”、“%USERPROFILE%Application Data”、“%Temp%”等文件夾下,重新命名為“*.dll”(文件名為隨機字符串,不過通常是“bqwzif.dll”)。另外病毒還會釋放一個臨時的惡意驅動程序。“刻毒蟲”變種cc運行后,會將惡意程序插入“svchost.exe”或者“explorer.exe”進程之中隱秘運行。關閉系統自動更新服務(wuauserv)、后臺智能傳輸(BITS)服務以及“WinDefend”等服務,并利用自帶的密碼表對使用弱口令的網上鄰居進行口令猜解。一旦猜解成功,便會通過MS08-067漏洞向該網上鄰居發送一個特定的RPC請求,用于下載kido主程序并創建計劃任務,從而激活該蠕蟲文件。“刻毒蟲”變種cc運行時,還會監視系統中打開的窗口,并關閉帶有指定字符串(大部分為安全廠商名稱)的窗口。同時還會阻止用戶連接指定的站點(通常是安全軟件或微軟的網站),干擾用戶通過網絡尋求病毒的解決方案。“刻毒蟲”變種cc會利用特定算法生成大量的隨機域名,同時下載其它的惡意程序,用戶可能因此而遭受信息泄露、遠程控制、垃圾郵件等侵害。“刻毒蟲”變種cc還可通過移動存儲設備進行傳播,當其發現有新的移動存儲設備接入時,便會在其根目錄下創建文件夾“RECYCLERS-*-*-*-*-*-*-*”(*為隨機字符串),并在其中生成自身副本“*.vmx”(文件名隨機,不過通常是“jwgkvsq.vmx”),同時在根目錄下創建“autorun.inf”,設置上述文件及文件夾屬性為“系統、只讀、隱藏”,以此實現利用系統自動播放功能進行傳播的目的。“刻毒蟲”變種cc會在被感染系統中新建一個隨機名稱的系統服務,并通過“svchost.exe”或“services.exe”實現開機自動運行。其還會修改文件和注冊表的訪問控制對象,致使用戶無法刪除自身產生的文件和注冊表項。
(7)“無極殺手”及其變種(Win32/Piloyd.b)
病毒名稱:Win32/Piloyd.b
中 文 名:“無極殺手”變種b
病毒類型:Windows病毒
危險級別:★★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:
Worm/Piloyd.b“無極殺手”變種b是“無極殺手”家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫,經過加殼保護處理。“無極殺手”變種b運行后,會替換系統文件“%SystemRoot%system32qmgr.dll”(BITS后臺智能傳輸服務所對應的文件),以此實現開機自啟。同時通過批處理將自我復制為“%SystemRoot%system32dllcachelsasvc.dll”,然后原病毒程序會將自我刪除,從而消除痕跡。“無極殺手”變種b運行時,會試圖關閉大量安全軟件的相關進程,并利用注冊表映像文件劫持干擾這些程序的正常啟動運行。如果其發現系統中運行著特定的安全軟件,便會釋放惡意驅動程序“%SystemRoot%system32driversLiTdi.sys”,用以結束安全軟件的自我保護。通過自帶的弱口令列表嘗試對網上鄰居進行口令猜解,被成功猜解的系統將會被其感染。“無極殺手”變種b會在可移動存儲設備的根目錄下創建“recycle.ghost.exe”和“autorun.inf”,以此實現通過移動存儲設備進行傳播的目的。感染計算機中存儲的“exe”、“htm”、“html”、“asp”、“aspx”和“rar”格式文件(在網頁格式文件中插入掛馬腳本“http://mm.aa8856*.cn/index/mm.js”),致使系統用戶面臨被多次感染的風險。連接駭客指定的站點“http://bbnn7*.114central.com”,下載大量惡意程序并調用運行,從而給用戶造成更多的威脅。另外,其會訪問駭客指定的頁面“http://nbtj.114anhu*.com/msn/163.htm”,以此進行被感染用戶的統計。
(8)“灰鴿子二代”及其變種
病毒名稱:Backdoor/Hupigon
中 文 名:灰鴿子二代
病毒類型:后門
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:
Backdoor/Hupigon“灰鴿子二代”變種病毒是后門家族中的最新成員之一,采用高級語言編寫,并且經過加殼保護處理。“灰鴿子二代”變種運行后,會自我復制到被感染計算機系統的指定目錄下,并重新命名保存,文件屬性設置為“系統、隱藏、只讀、存檔”。在系統的指定目錄下釋放惡意DLL組件文件,并將文件屬性設置為“系統、隱藏、只讀、存檔”。“灰鴿子二代”變種運行時,會將釋放出來的惡意DLL組件插入到系統IE瀏覽器進程“IEXPLORE.EXE”中加載運行(“灰鴿子二代”變種同時將該IE瀏覽器進程通過HOOK技術設置為隱藏),并在后臺執行惡意操作,隱藏自我,防止被查殺。如果被感染的計算機上已安裝并啟用了防火墻,則該后門會利用防火墻的白名單機制來繞過防火墻的監控,從而達到隱蔽通信的目的。“灰鴿子二代”變種屬于反向連接后門程序,會在被感染計算機系統的后臺連接駭客指定的遠程服務器站點,獲取遠程控制端真實地址,然后偵聽駭客指令,從而達到被駭客遠程控制的目的。該后門具有遠程監視、控制等功能,可以對被感染計算機系統中存儲的文件進行任意操作,監視用戶的一舉一動(如:鍵盤輸入、屏幕顯示、光驅操作、文件讀寫、鼠標操作和攝像頭操作等),還可以竊取、修改或刪除用戶計算機中存放著的機密信息,對用戶的信息安全、個人隱私,甚至是商業機密構成了嚴重的威脅。用戶計算機一旦感染了“灰鴿子二代”變種便會變成網絡僵尸傀儡主機,駭客利用這些傀儡主機可對指定站點發起DDoS攻擊、洪水攻擊等。通過在被感染計算機中注冊為系統服務的方式來實現后門開機自啟動。“灰鴿子二代”變種主安裝程序執行完畢后會自我刪除,從而達到消除痕跡的目的。
(9)“文件夾寄生蟲”及其變種
病毒名稱:Checker/HideFolder
中 文 名:文件夾寄生蟲
病毒類型:寄生蟲病毒
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:
該類病毒通常會將硬盤根目錄下的正常文件夾隱藏,將自身偽裝成文件夾樣式圖標,并將自身命名為被隱藏文件夾的名稱。
Checker/HideFolder “文件夾寄生蟲”病毒圖標為文件夾圖標,采用“Microsoft Visual C++ 6.0”編寫。“文件夾寄生蟲”病毒運行后,會在被感染計算機系統的“%SystemRoot%system32”文件夾下分別釋放惡意組件文件“icccy.dll”、“taoba_1.dll”、“cpa_1.exe”。會強行篡改被感染計算機系統中的注冊表項,使IE瀏覽器啟動后自動訪問駭客指定的站點“http://www.771234.net”。同時會在被感染計算機的后臺遍歷除系統盤以外的所有盤符,將文件夾的屬性都設置為系統、只讀、隱藏,并在當前目錄下生成(病毒自我復制)一個與被隱藏的文件夾同名的“.exe”病毒程序(該病毒圖標為文件夾圖標)。通過這樣的偽裝后,當用戶在打開文件夾時,其實上運行的卻是病毒程序,隨后病毒會再把用戶當前要打開的文件夾自動打開,起到欺騙用戶的目的。
(10)“惡小子”及其變種
病毒名稱:VBS/Fineboy
中 文 名:惡小子
病毒類型:VBS腳本病毒
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
描 述:
以VBS/Fineboy.a為例,“惡小子”變種a采用“Visual Basic Script”腳本語言編寫,并且進行了加密處理。“惡小子”變種a運行后,會自我復制到被感染系統每個分區的根目錄下,并根據該分區的序列號重新命名。隱藏該分區根目錄下的文件夾,同時生成對應的快捷方式,以此實現在打開文件夾的同時激活惡意腳本。還會生成“autorun.inf”文件,從而利用系統自動播放功能進行自啟。“惡小子”變種a會大量修改系統注冊表,致使“顯示系統隱藏文件及文件夾”功能失效。篡改“txt”、“inf”、“bat”、“chm”等等擴展名的文件關聯,當用戶打開這些文件的時候,會首先運行惡意腳本。同時其還修改了“IE”、“我的電腦”等的打開方式。“惡小子”變種a會不斷監視系統中的進程,并且會試圖關閉一些指定的安全軟件以實現自我保護。定時檢測系統中自身的運行數量,如果小于指定數量便會試圖通過“svchost.exe”運行自我,以此實現了自我保護,防止被輕易地查殺。“惡小子”變種a會在月份數字與日期數字相同時反復彈出光驅以及生成并打開網頁文件“BFAlert.hta”。另外,如果用戶計算機的系統分區類型為“NTFS”,“惡小子”變種a則可以利用一些系統特性實現開機自啟。
2009年度計算機病毒疫情特征
2009年計算機病毒疫情總體呈現出如下幾個特征:
一、微軟0day漏洞及第三方應用軟件漏洞被廣泛利用
進入2009年以來,頻繁爆出的微軟0day漏洞與第三方應用軟件漏洞已經成為駭客攻擊的主要目標,同時也成為網頁掛馬的最主要途徑。據江民反病毒中心統計,木馬傳播者所利用的微軟漏洞與第三方應用軟件漏洞,已經基本達到各占一半的比例。
2009年,微軟接連報出了多個“零日”漏洞。5月31日,江民反病毒中心監測發現,微軟DirectShow漏洞在播放某些經過特殊構造的QuickTime媒體文件時,可能導致遠程任意代碼執行。 7月8日,微軟確認視頻處理組件DirectShow存在MPEG零日漏洞,江民反病毒中心監測發現大量網站被黑客攻陷,利用該漏洞進行網頁掛馬。11月12日,微軟Windows 7和Windows Server 2008 R2中再曝零日漏洞,此漏洞為Windows網絡文件和打印共享協議Server Message Block(SMB)中存在的拒絕式服務漏洞,可被用來進行遠程攻擊系統,并導致系統內核崩潰。
除了微軟最新漏洞之外,網頁掛馬者最青睞的漏洞還包括RealPlayer 、Flash 暴風影音這些最常用的播放軟件漏洞。RealPlayer從2008年起就成為駭客掛馬的最常用漏洞之一,暴風影音在今年4月30日被首次發現零日漏洞,該漏洞存在于暴風影音ActiveX控件中,該控件存在遠程緩沖區溢出漏洞,利用該漏洞,黑客可以制作惡意網頁,用于完全控制瀏覽者的計算機或傳播惡意軟件。江民反病毒中心監測發現數百個惡意網頁利用暴風影音零日漏洞掛馬,該漏洞還間接導致了一場江蘇等六省斷網的黑客內斗事件。
Flash漏洞由來已久,2008年上半年“Flash蛀蟲”病毒曾利用Flash漏洞大肆傳播,導致大量未安裝殺毒軟件或未更新Flash到最新版本的電腦用戶受到病毒侵害。而2009年7月23日,ADOBE公司的Flash再次被爆發現零日漏洞,當用戶使用瀏覽器訪問受感染網頁的時候,這個安全漏洞可能會導致攻擊者控制用戶的計算機。Adobe證實,Flash Player 10、Flash Player 9、Reader和Acrobat均存在該嚴重安全漏洞,很容易遭到黑客攻擊。7月31日ADOBE公司發布了該漏洞補丁,但江民反病毒專家已經監測到利用該漏洞的惡意網頁出現,反病毒專家預測,該漏洞很有可能導致類似于去年的“Flash蛀蟲”同樣嚴重情況發生。
二、釣魚網站激增 “網頁掛馬”黑客產業鏈日益成熟
2009年江民惡意網頁監控系統數據顯示,網頁掛馬、釣魚網站已經成為病毒制造者傳播有害程序的最佳途徑,同時也成為互聯網最為嚴重的安全威脅。進入2009年以來,病毒制造者的人數大幅上升,也帶來了計算機病毒數量的激增。一些道德、法律意識單薄的人意識到,如果涉入灰色產業,付出最少的成本或者零成本、用最少的時間、承擔最低的風險,就能獲得頗豐的收益。
據中國互聯網絡信息中心(CNNIC)日前在2009中國反釣魚網站聯盟年會上公布的最新統計數據顯示,截至09年11月22日,經CNNIC認定并處理的釣魚網站域名已累計達8342個。江民全球病毒監控系統、云安全防毒系統的統計數據中顯示,每天都可以監測到大量的新的釣魚網站,這其中以“福彩”“非常6+1”等模仿央視、騰訊等知名單位的中獎網站最為泛濫。這些釣魚網站主要以中獎為誘餌,通過發布各種虛假的中獎信息,欺騙用戶填寫個人的身份信息、銀行賬戶等私密信息,從而來騙取網民的錢財。
隨著灰色產業鏈的日益成熟,以獲取高額的經濟利益為目的,集團化的運作,明確的分工,甚至可以按照需求定制,木馬病毒的制造已經形成了流水線式的生產模式。制造與傳播病毒的人群分工明確、技術合作與成果共享頻繁。計算機病毒的設計者作為少數具有程序編寫能力的人,之間也存在明確的分工:有的負責編寫盜號木馬、有的負責編寫木馬下載器、有的負責編寫反殺毒軟件的驅動程序、有的負責分析最新的漏洞、有的負責制作網頁木馬等等,所以經常可以看到同一驅動程序在不同病毒中出現共用的現象。而最新漏洞的利用代碼也可以在網上輕易地獲取,從而使得大量尚未來得及修復漏洞的用戶掉入駭客布下的陷阱,而病毒的威力也越發強大,破壞性和傳播速度遠遠的超越從前。
三、病毒創新欺騙方式,偽裝成文件夾的病毒增多
進入2009年以來,有越來越多的病毒采用了全新的欺騙方式,偽裝成IE快捷方式和文件夾已經成為一種新的趨勢。
在江民反病毒中心監測到的“BHO劫持者”變種aie和“代理木馬”變種cbnq病毒,就采用了這種欺騙方式。“BHO劫持者”變種ai病毒的主程序為深藍色IE瀏覽器水晶效果圖標,病毒運行后會在用戶當前桌面上創建IE快捷方式,用戶一旦啟動IE瀏覽器,就會默認自動打開駭客預先設置好的惡意網頁,并在后臺獲取“惡意程序下載地址列表”,然后在被感染計算機上下載該文件中所指定的惡意程序并自動調用運行。其中,所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅。
“代理木馬”變種cbnq病毒會將系統盤以外的所有盤符下的文件夾屬性都設置為系統、只讀、隱藏,并在當前目錄下生成一個與被隱藏的文件夾同名的“.exe”病毒程序,同時顯示為文件夾圖標。通過這樣的偽裝后,用戶在打開文件夾時,實際上運行的就是病毒程序,然后病毒再把用戶當前要打開的文件夾自動打開,從而達到了欺騙用戶的目的。與“BHO劫持者”變種病毒一樣,該病毒最終也是指向駭客指定的惡意網址,并下載大量惡意程序。
近年來隨著用戶安全意識的不斷提高,病毒為了提高自身的生存幾率,也在不斷的改變著偽裝方式。通常情況下,病毒入侵到用戶的電腦后,想讓用戶去點擊運行病毒是很難的,而這就需要病毒做好自身的偽裝工作,來誘騙用戶點擊。偽裝成快捷方式,一般不會被用戶懷疑,同時中毒后,病毒文件也不易被察覺,提高了病毒的隱蔽性,使用戶更易遭受到病毒的侵害。
四、計算機病毒技術特征變化明顯
2009年度,計算機病毒技術特征較2008年度相比有明顯的變化,首先,病毒的傳播方式主要以掛馬網頁和U盤傳播為主,通過感染文件或郵件傳播的方式目前已經被大部分病毒作者摒棄。由于目前網頁技術和網站內容的豐富,腳本ActiveX控件技術被大量的利用,彈出網頁,插入廣告都需要使用這一技術。病毒作者利用這一機會,在病毒中大量利用惡意腳本,或誘使用戶下載帶有漏洞的ActiveX控件,從而達到傳播大量的病毒、木馬之目的。
為了增加反病毒軟件的清除難度,2009年大部分病毒通過注入系統進程中運行,由于其注入到系統進程,使得殺毒軟件清除起病毒來難以下手,往往會導致清除病毒后系統進程損壞或應用程序損壞的情況發生。
2009年度,網游盜號病毒仍然為所有木馬病毒中的主流,今年木馬盜取游戲帳號的方式多數為通過內存截取技術,與往年通過紀錄擊鍵技術相比有了大幅提高;此外,受到目前多數主流反病毒軟件已經加入了內核級自我保護技術,驅動技術對付主流反病毒軟件已經開始落后,因此今年使用驅動的病毒較去年有所降低,病毒、木馬開始學會利用漏洞或避開主動防御與殺毒軟件在電腦和睦共處,不再是你死我活的斗爭方式,這方面在沒有安裝殺毒軟件或安裝了未帶有內核級主動防御殺毒軟件的用戶電腦中體現最直接,他們的電腦往往已經成為毒窩,但卻并不特別影響正常的電腦操作和應用。
2009年度,由于各種名目的廣告聯盟出現,受到廣告聯盟按點擊量計費的利益誘惑,各種惡意廣告病毒大量涌現,通過病毒方式騙取大量虛假點擊,按照點擊量向通過廣告聯盟發布廣告的廠商收取費用,已證實國內有多款業內知名軟件成為受害者,遭到惡意廣告程序欺騙式點擊推廣。通過病毒方式惡意推廣網站的還包括,用特殊處理過的IE圖標替換掉桌面上正常的IE圖標或在桌面上新增一個特殊IE圖標,鎖定用戶IE首頁,使得用戶每次打開IE瀏覽器,首先進入惡意推廣者指向的一個或幾個網站。惡意推廣者還屏蔽掉鼠標右鍵“刪除”選項,使得用戶無法刪除惡意IE圖標,以此來騙取大量的用戶點擊和IP流量。
此外,2009年通過替換系統文件來傳播自身的病毒也呈多發態勢,病毒通過復制與系統同名的文件,從而逃避用戶和殺毒軟件清除和查殺,增加自身的存活機率,給電腦用戶帶來不同程度的損失。
