二、病毒互联网化链条分析
从技术上讲,目前的病毒产业链条由四个部分组成:挖掘安全漏洞、制造网页木马、制造盗号木马、制造木马下载器(病毒下载者),这些环节形成了分工明确、效率快捷的工业化“生产线”。
挖掘安全漏洞是病毒传播的基础,目前主流的病毒都是利用各种漏洞传播,没有漏洞的电脑病毒很难侵入;网页木马是病毒传播的实际应用,目前90%以上的病毒通过这种途径传播;盗号木马是链条里最重要的部分,它负责窃取用户的游戏账号等;木马下载器是“病毒运输队”,侵入用户电脑后就会从网上源源不断下载病毒。
A、漏洞的挖掘和出售
软件存在安全漏洞是当前病毒传播的一个重要前提,通过用户电脑系统中安装的软件存在的漏洞,病毒可以快速的在用户不知情的情况下进入互联网用户电脑。现在,软件漏洞挖掘已经成为病毒产业链里的一环。
过去,在业界存在着漏洞的“秘密报告”机制,研究人员发现漏洞后秘密报告给软件厂商,厂商获取漏洞信息,提供修复程序,并通过自动更新或者发布公告的形式让用户安装最新版本,消除了安全威胁,这种机制严重依赖研究人员的道德品质。
到了今天,这种情况已经悄然发生了改变。瑞星工程师举例说,有些黑客专门从系统上寻找漏洞,找到之后就可以到地下交易网站进行出售,最便宜的漏洞也可以卖到数百欧元,高的甚至可达五六千欧元,这种高额收入完全可以让黑客不必从事其它工作,专门依赖此种黑色收入。
黑客阻止购买了漏洞信息后,利用这些信息编写强大的新病毒,往往新病毒已经在互联网大量传播的时候,软件厂商还不知道漏洞在哪里,因此不能及时提供修复补丁,造成0day攻击蔓延。
B、网页挂马的策略
近年来,虽然黑客编写的病毒,在技术上并没有飞跃式的变化,但是他们充分利用了互联网,通过互联网的高效便捷来整合整个产业链条,提高运作效率。而网页挂马则使他们利用互联网的能力达到一个新的高度。
从本质上讲,现在主动进行传播的病毒已经非常少,绝大多数木马、后门都是通过网页挂马进行的。而网页挂马是一种“被动”的病毒传播方式,用户只有去主动访问挂马网站,才会遭到木马病毒的侵袭。
为了让更多的用户去主动访问挂马网站,黑客采取了多种方式来提高挂马网站的流量,例如:有的黑客会从色情网站收购流量,按照一定的价格支付报酬,国内收购流量的价格,通常能够达到100元/万IP。
有的黑客团伙,会雇佣专门的人去入侵正常网站,如门户网站、新闻网站、热门论坛等,在其中植入木马。
有的黑客团伙,雇佣专门的公司,对自己建设的挂马网站进行SEO优化,当用户搜索“美女、电影”等热门关键词的时候,这些带毒网站会排在搜索结果的前几页,从而带来大量的用户。
有的黑客团伙,利用新兴的SNS网站散发挂马链接,通过站内信、博客回帖等形式,吸引网民访问挂马网站。现在热门的WEB2.0网站,几乎都遭到过此类带毒链接的侵扰。
C、网页挂马常用的漏洞
2008年,黑客对于漏洞的利用趋势没有明显转变,其主要用途仍然在网页挂马上,包括RealPlayer、迅雷、PPlive等流行软件都出现过严重漏洞,被黑客利用传播木马。而4月份爆出的Adobe Flash Player漏洞也成为本年度最为流行的挂马漏洞,有18%的木马通过该漏洞侵入用户电脑。
传统上,网民们有如下错误观念:只有不良网站才会带毒、才会被挂马,只要坚持良好的浏览习惯,就可以躲避盗号木马的侵袭。统计数据表明,这样的观念已经过时,那些所谓的“正常网站、大中型网站”正在整个木马链条中发挥着越来越重要的作用。
瑞星公司的抽样统计显示,每天约有30%的网民上网时会遇到挂马网站。这些挂马网站中80%以上属于管理不严的正规网站,其中包括新闻网站、网络论坛、博客网站等。2008年,多个主流门户网站首页悬挂的广告中被植入木马病毒,用户访问这些网站就会中毒。
瑞星专家提醒说,现在的木马病毒绝大多数通过漏洞传播,而且多数木马病毒运行时没有明显的异常特征,用户很难及时发现自己已经中毒。只要用户电脑上的漏洞存在,访问挂马网站中毒的风险就一直存在。即使安装了杀毒软件,也只能在病毒入侵时拦截,风险比弥补漏洞之后会高许多倍。
根据瑞星统计,2008年黑客常用的各种漏洞共有16个,其中既有MS06-014、MS08-056这样的系统漏洞,也有Flash Player这样的浏览器插件漏洞,还有迅雷看看、暴风影音等常用软件的漏洞。正是因为这些漏洞的存在,而且用户又没有及时将其弥补,这才使得木马病毒可以很容易的侵入用户电脑。
有鉴于此,安全专家提醒,弥补漏洞(包括系统漏洞、浏览器漏洞和应用软件漏洞)应该成为提升互联网安全的重要举措。而通过宣传帮用户提高安全意识、开发可靠地第三方漏洞弥补工具,也应成为安全厂商应该承担的重要社会责任。
本文来源:网易科技报道
责任编辑:
王晓易_NE0011
