2007年病毒量大概比2006年增长了近30倍,接近30万种,其中70%是恶意木马程序,每天感染的用户接近100万。
IXPUB技术博客8`1J!w�p�T�O�g�?;G+K3I�y&u�I6q�d�t�Z7T�l0 由于计算机
软件的脆弱性与
互联网的开放性,我们将与病毒长久共存。
IXPUB技术博客�k5{�U8D)a't9g�W8o�R�Q�M/b;f�?0 而且,病毒主要朝着能更好地隐蔽自己并对抗反病毒手段的方向发展。同时,病毒正在被某些人利用,并与其他功能相结合进行有目的的活动。
�W1E%A�`�@�s�f2{(F�w0IXPUB技术博客%w:]3Y�{;Z"e L 病毒的花样不断翻新,编程手段越来越高,防不胜防。特别是Internet的广泛
应用,促进了病毒的空前活跃,
网络蠕虫病毒传播更快更广,Windows病毒更加复杂,带有
黑客性质的病毒和特洛伊木马等有害代码大量涌现。
IXPUB技术博客"Y�A9h&]�[,\�u�x�@(wIXPUB技术博客�n7],Z�J(~*^�A)k�Q 计算机是人类发明的,计算机病毒也是人类制造的,人类在方便自己的同时,也在攻击着人类自己。
;^$P)o'G
K0&@�|)m A
V#?0 与此同时,对各类病毒的“追杀”也从来没有停止过。
IXPUB技术博客5r�V9S o�H�X�`9[�IIXPUB技术博客,Q
{�N9N1c�H6H4h 病毒源起
IXPUB技术博客�i�I�B
}4Z3B�l:l�]�`6J�V!o�i0 20世纪60年代初,美国贝尔实验室里,三个年轻的程序员编写了一个名为“磁芯大战”的游戏,游戏中通过复制自身来摆脱对方的控制,这就是所谓“病毒”的第一个雏形。
:t�g�I�J�Q#Y�J�\0IXPUB技术博客�T:U&f+i�r E�N�c 20世纪70年代,美国作家雷恩在其出版的《P1的青春》一书中,构思了一种能够自我复制的计算机程序,并第一次称之为“计算机病毒”。
IXPUB技术博客8y�o
v�h�i�Z�\IXPUB技术博客�V�I�R9n�x�~�C 1983年11月,在国际计算机
安全学术研讨会上,美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验,世界上第一个计算机病毒就这样出生在实验室中。
IXPUB技术博客�B3z�x v�e�}�Z�H,_8i/f0M�c�]�]8?3a!D0 20世纪80年代后期,巴基斯坦有两个以编软件为生的兄弟,他们为了打击那些盗版软件的
使用者,设计出了一个名为“巴基斯坦智囊”的病毒,该病毒只传染软盘引导。这就是世界上流行的第一个真正的病毒。
�s:b-u*u+u�N/W0A�Q0IXPUB技术博客,y�v�^${'R c�K$U�M�g 而如今,对计算机病毒的制造与应用已到了一个“全新的阶段”。
�S�^7q:c.p0p�L�O0.m�U8n
{+A5L
_1_�`0 以木马为例,有相当多的黑客利用的是攻击系统漏洞的方式。黑客们现在已经不喜欢在网站上挂木马,在他们看来这种行为太小儿科了,他们已经发明出了各种各样更高级的批量抓“肉鸡”的方式,也就是在互联网上扫描存在漏洞的机器,加以远程控制,速度可以达到一小时抓几万台。
IXPUB技术博客�? H�{6E�e$j9d�L�J7A8K4D
s'D"d�H:z0 在中国,计算机用户的安全意识都不够强,由于大量使用盗版软件,安全漏洞非常多。在这种情况下,用户的机器很容易变成“肉鸡”。变成“肉鸡”后,就有可能被境内的一些黑客集团利用,也有可能被境外的利益集团利用。
%b�K�B:r�O'E�}+U�m�G�`0;h/|:s:Y(w*H'p0黑客异化
�M)M�O6w5k(F3J%}&f
\0IXPUB技术博客�T�Z�T�O-P2~
k�i 若干年前,一提到黑客,人们脑海里联想起的是“痴迷于
技术,戴着啤酒瓶一般厚眼镜的狂人”,或者“自由出没于美国五角大楼网络的幽灵”。
IXPUB技术博客�m2^�q"G�~�f
T
^�P8hIXPUB技术博客�a�f�~�w n(t6J�H 不管怎样,黑客最初的含义只关乎技术,偶尔流传出的“恶作剧”程序也往往是出于对技术执着的崇拜。
�}�q7|�@/W�\'A08a�H0U�U�R:A8e0 即便是到了上世纪90年代,席卷全球的“CIH病毒”始作俑者——台湾大学生陈盈豪的“作案”动机也“单纯得可爱”,仅仅是为了让一款在广告上吹嘘“百分百
防毒”的杀毒软件出洋相。
IXPUB技术博客�@3}6g�H�]�J�x�i�l�g�a�V:q$q;R�L�K0 而在中国大陆,“黑客”一词一再被异化,最先是与“中国红客联盟”等组织捆绑在一起的“爱国精神”,然后是商业利益,到现在则几乎成了网络“偷窃”、“抢劫”的代名词。
;|3D�A�M,v+P�l0IXPUB技术博客�d�D�J�A�?�D 回顾近年来爆发的众多恶意程序,从“熊猫烧香”到“灰鸽子”,从“AV终结者”到“机器狗”,从“网络窃贼”到“磁碟机”,没有一个不是直接冲着攫取暴利而来。“熊猫烧香”贩卖者王磊在落网时曾哀叹:“这是个比房地产来钱还快的暴利产业。”据说去年底某程序员光是靠出售其发现的微软“ANI光标漏洞”就获利800万元。
IXPUB技术博客2}/U/Y u4d+S!h1A%]�IIXPUB技术博客3S�H6K+W�l
i�K;T�k�k;o�f 拿弹弓打邻居家玻璃的顽童已经不在了,现在当“黑客”纯粹是个敛财的门路。利益的驱动正是这个黑色产业能持续并日益壮大的最大原动力。
C�T'`�H�K*L)L)t0IXPUB技术博客�~$f�?�w'i&r�e 木马屠城
IXPUB技术博客�i g.Q${6y!y7k�o�h7\�|+SIXPUB技术博客!N�@;K D�q “黑客”内涵沦落的同时,以往流行的以破坏系统为目的的蠕虫等病毒,由于没有“钱途”而乏人问津,取而代之的是以获取利益为动机的木马的肆虐。
!s7W-z�M(g�A�|�]0IXPUB技术博客�S5G�l7x�N!w8G�j 据统计,2007年病毒量大概比2006年增长了近30倍,接近30万种,其中70%是恶意的木马程序,每天感染的用户接近100万。
IXPUB技术博客�h�O1w6m9R3[(^�`�B%H�K1BIXPUB技术博客2a�l8G�J�z&M�g�Q 或许在大多数人看来,木马也是一种病毒,实际上木马并不完全具备病毒的复制传播、潜伏、感染文件等特征。但木马对电脑用户的侵害比病毒更甚,并且黑手直接伸向用户的“腰包”。
m,{4}5E&h c5|�E�\/S0.f�m i!I�l(Q0 木马程序之所以肆虐,还与它在传播渠道上的“革新”有着必然联系。以前木马主要通过系统漏洞、植入网页、捆绑软件等途径进行传播,而现在,传播木马者瞄上了第三方软件漏洞,目前最流行的迅雷、暴风影音等软件几乎无一幸免。这些软件动辄拥有数千万用户,给木马肆虐提供了最佳渠道,而用户对此往往毫不知情。
IXPUB技术博客�p(\�R�@�e�w m�L�\�\�s"}3\:t�Q _0 除此之外,木马传播者还渗透到了U盘的生产线上,在U盘出厂之前就把木马植入了U盘的AUTORUN程序中,用户一旦插入U盘,即便不进行任何操作,都会“中招”,同样,盗版光盘也成为植入的目标。更有甚者,一些木马制造者发起针对局域网的攻击,把中了木马的机器伪装成局域网中的
服务器,然后再向局域网中的电脑成员发送木马……
.E+H+U0Y�z7Z*w#V0IXPUB技术博客7r6{1D�B+S:I&S正邪失衡
6a&f�d2P�\#D8c�U�B�~'|0�J!Q6m)H�t B7S0 当金钱成为互联网安全危害者的惟一信仰,一切就变得复杂起来——自古以来,凡是有利益的地方,纷争就不会休止。而在这场正义与邪恶的较量中,永远不会有最后的赢家。种种迹象表明:随着互联网安全形势的嬗变,邪恶的一方似乎正占据上风。
'Z2d$b1Q�p�q8i�k!|0�|�v�W/c1x�`&q�r0�W j)Y�X2u0 2007年初,“熊猫烧香”袭来,短短三个月时间,数百万台电脑被侵入,尽管其设计者已经身陷牢狱,但其变种依然没有绝迹。最近湖北警方更透露,对“熊猫烧香”相关嫌疑人的抓捕还在持续。
IXPUB技术博客�r�v�n3D�^�E�zIXPUB技术博客�]3W�P4J)S 还是2007年,“灰鸽子”开始肆虐,感染电脑上百万台,在经过多家杀毒厂商的联合剿杀后曾一度停止开发,但没过多久,“灰鸽子”重新低调开张。
IXPUB技术博客�P&J�Z�m�v�e�D�Y+h�M5g%C
K0 而进入2008年,最新爆发的“磁碟机”木马更是几乎让所有杀毒软件“集体失语”,凡是感染者均会自动将杀毒软件强行关闭,当用户试图进入安全模式时,会造成蓝屏。这次对杀毒厂商的“集体检阅”让正邪势力的天平倾斜。
IXPUB技术博客�}�t9o&v1f�A3b9h)y�{$Z#S4_�B;p0 由于木马制作技术的门槛大幅度降低,单个木马变种数量开始暴增。一个熟练的杀毒工程师每天可以分析40~50个样本,而现在每天出现在网络上的病毒样本平均多达3000~4000个。敌我之间的力量对比太过悬殊,杀毒厂商疲于奔命。
.m2Z
x�p�c6P0
U$k
A�D"u�R�o,c�d0 一份安全报告指出,如果不能从根本上
解决问题,这种对比悬殊可能产生两个后果:1.传统的样本采集渠道不堪重负,在短时间内收集不到必需的样本;2.受限于现有的样本分析能力,海量的样本将让工程师无所适从。
IXPUB技术博客�p9V"I�S+|�\-R;k;T�P&k&m6U3~ }5B0 人民战争
IXPUB技术博客�H7k-f!G�S8|�Y @:b�d-q�@'Q*m1V�b0 传统杀毒软件赖以生存的查杀机制是基于样本分析的特征码扫描技术,当恶意程序逐步占据主导地位时,这种技术开始面临严峻挑战。
IXPUB技术博客.@7I�Q�e�B�z�S�y5VIXPUB技术博客�a�z�X
c�d�K6K 很多专家都注意到了这一点,有分析师甚至因此作出了“杀毒软件将死”的预测。来自YankeeGroup研究机构的AndrewJaquith表示,多变种木马的传播不再是曾经的线性传播,而是完全遵循“长尾理论”来制造持续性危害,绝大多数被变种病毒感染的计算机都在长尾尾部,“如果维持现状,未来杀毒软件可能会变得无用”。
IXPUB技术博客#~6n�N'G9G�|�v6`IXPUB技术博客�h�j�B�o�D-q�G3I-C 种种迹象表明,杀毒厂商可能被自己数十年构建的安全体系所束缚,木马泛滥时代的到来加速了矛盾的激化。
IXPUB技术博客$B g�M1E�}3e�W2q�fIXPUB技术博客�s;g1l�i6L+F�w!Z�] 怎么办?难道用户面对木马的威胁只能束手就擒?
�F
F.M2g�?�[�q*`'I�f!E%X3p0�f�T
R!c�K�w0 魔高一尺,道高一丈,以“360安全卫士”为代表的一批杀毒厂商的“人民战争理论”,让我们又找到了围剿病毒的路径和方向。
+@�u�D�t+a5h�}0�w
k�@#O4U)b,S$b2|�A0 什么是“杀毒人民战争”?就是发动群众发现病毒,发动群众查杀病毒。
�d7k,H(@&K
T�q0IXPUB技术博客,L"I�f y
g�Y5E2}:e�w4F 单靠杀毒厂商的力量是无法分析完所有木马样本的,需要全体用户一起来互帮互助,让那些有能力分析木马和恶意软件的技术人员都能贡献他们的力量。从此,查杀病毒进入了轰轰烈烈的“全民战争”阶段。任何一个人发现了新的木马变种,都可以立即向“总部”进行举报,与此同时,各地的网络高手会群起而攻之,直到找到最有效的“绞杀工具”,并将这种工具在网络上共享。
�R3`8G:d+I�?;l�H'S0�j
C�\"g�r9X0 360软件平台中集合了用户反馈机制,可以迅速发现木马的流行趋势。一旦有流行病毒小范围发作,第一时间就能捕获,而不是等到它大规模肆虐后才能发现。
�h
S&a�U�^�K7y0IXPUB技术博客�\.u�O�J$\�Q�F7_�m 人类终将有一天能消灭所有电脑病毒吗?我们不得而知。但有一点是肯定的,在与病毒的较量中,正义的力量将变得更为强大。
