摘要

　　今年造成损害最严重的恶意程序当属Mydoom.a (2004年2月) 和 Sasser.a (2004年5月)。在恶意程序领域最重要的变化包括互联网犯罪化。恶意代码编写者和黑客转而创控网络傀儡机，以支持垃圾邮件发布者。另一方面，反病毒产品厂商的反应更加迅速，而在全球范围内立法强化机构终于将注意力集中到网络犯罪方面。2004年是在抓捕网络罪犯方面创纪录的一年。

广告软件(AdWare) 成为最大的安全难题之一；

Email 数据被垃圾邮件阻塞。在绝大多数情况下，没有垃圾邮件过滤程序，email系统不可能正常工作；

对互联网银行发动了成功的攻击；

大量的互联网敲诈事件(伴随着敲诈的DDoS 攻击)；

反病毒产品提供对广告发布程序的抗御；

对来自新的恶意程序的威胁的反应时间成为评价反病毒产品的最主要的标准；

涌现出许多反垃圾邮件产品，使用这类产品成为邮件服务商的特定标准；

成功查明并拘捕了约100名黑客，其中三人在美国联邦调查局(FBI)急欲抓捕名单的前20名内。

　　恶意程序在2004年的发展

　　每一代恶意程序的编写者都站在前辈的肩膀上。因此，毫不奇怪，前些年播下的恶意程序的种子在2004年结出了果实。Lovesan“普及”了通过互联网直接利用系统漏洞感染捕获傀儡机，向Windows升级服务器发动分布式拒绝服务[DDoS]攻击的方式。Sobig.f通过利用垃圾邮件技术传播，突破了所有先前的记录(在其流行高峰期，电邮的Sobig病毒感染率达到10﹪)，并成为“慢燃烧”方式的先驱：其每个新蠕虫变种创建一个受感染的计算机网络，该网络可用做继续流行传播的平台。当2003 年9月Swen 病毒开始传播时，看着就像另一个大量邮件发送者，然而，它成功完成了“社会工程”。此处的社会工程是指一种描述安全性的、依赖人际交流的非技术分支的特别方式：对病毒和蠕虫，它表示欺诈无警觉的用户，使其运行被感染的附件。Swen 假扮成可堵住微软的所有漏洞的补丁，巧妙利用了用户的不断增长的、防范对操作系统的攻击的需求。

　　在2004年，上述技术得到了成功的延续和发展。

　　利用操作系统的漏洞在用户的网络中植入后门程序并迅速传播已成为众所周知的伎俩。恶意代码的编写者已悟到，可通过一般的应用和操作系统的漏洞获得潜在的“助手”。2004年出现的一些攻击，如Sasser、Padobot及Bobax 都将操作系统的漏洞做为其发动攻击的装置，通过互联网从一台计算机直接传播给另一台计算机，而没有应用“传统的”病毒技术。另一方面，Plexus 及大量 Bagle、Netsky 和 Mydoom 变种 既利用操作系统的漏洞，也应用其它感染方法[如大量邮件和利用网络资源，包括P2P网络]。

　　许多如今最成功的威胁[“成功”系就恶意代码编写者的观点而言] 都是将不同种类的威胁捆绑在一起。这类渐增的捆绑包括将一种木马或其它病毒相捆绑。典型的木马通过某个病毒或蠕虫传播并植入系统，其自身没有繁殖能力，因而通常被认为比病毒或蠕虫的危险性要小。现在的木马程序的作用可能既危险又恶果深远，不仅变得更为老道，而且被更多的恶意程序利用。

　　2004年新年典礼还未结束，木马Trojan proxy Mitgleider 就在屏幕上出现了。数以千计的 ICQ 用户收到了指向含有该木马的网站的链接，Mitgleider 利用了微软视窗 IE 的两个漏洞之一，在用户不知的情况下在感染的计算机上下载安装代理服务器，而后打开计算机的一个端口，允许收发邮件，最终使该机变成喷吐“zombies”垃圾邮件的帮凶。Mitgleider 建立了分级代理木马，使恶意程序与垃圾邮件分发密切联系，并开创了将大量邮件与受感染的网站相联系的趋势。

　　在Mitgleider 之后，大多数较严重的威胁都利用了Trojans. Bagle。这个蠕虫与Mitgleider 似乎是出自一人之手，不是安装木马代理就是从互联网下载木马。该蠕虫是Mitgleider 的简单改进版，包括通过电子邮件传播。Bagle通过感染Mitglieder的计算机分发，这是2004年恶意代码威胁的另一个重要特性：利用木马程序在网络上“播种”计算机，做为日后流行的平台。利用这一技术获得巨大成功的不仅有Bagle，还有Netsky、Mydoom等危害较大的威胁。在这些蠕虫中每出现一个成功的变种，就会增加一批被感染的计算机：一旦达到“临界质量”，就出现一次新的流行。这是在Mydoom的成功背后的主要的因素，并使之超越Sobig而成为到目前为止流行最强的蠕虫。Mydoom也是一个前面关于恶意程序“捆绑”的好佐证，它有效地利用了一个聪明的社会工程模块，对“www.sco.com”发动了DDoS攻击，将SCO网站冲垮达数月之久，并将一个木马程序植入受到攻击的计算机，使之被许多copycat激活利用。

2004年见证了一场恶意代码编写者之间的争斗。Netsky不是简单的传染给计算机，它会删除已存在的Mydoom，Bagle，Mimail蠕虫。紧接着，Netsky的作者和对手Bagle的作者发动了一次文字战争。在它最猖獗的时候，每天都会出现一些这两个蠕虫的变种。

　　Bagle和Netsky的作者都将染毒附件加密。使其很难被检测到。邮件正文中包含文本或图形式的密码，用户会得到与运行附件有关的一切信息。

　　Mass－mailling是感染附件的技术。它于1999年第一次运用在Melissa上。从那以后已经被大多数攻击使用。无论如何，有两种方法可供选择。一种我们已经讨论过：互联网蠕虫，比如Lovesan, Welchia和Sasser通过系统直接感染。另一种在2004年更常见，它使用户直接连到含有恶意代码的网站。至于Mitgleider 木马代理，我们很早就讨论过，不止是这种病毒采用这种技术，许多蠕虫也已经使用了它。

　　Netsky，例如,它会发一封包含一个链接的邮件，使用户的计算机连接到已被感染的计算机上。Bizex是第一个ICQ蠕虫。Bizex进入计算机通过ICQ向所有打开ICQ软件并且被感染的计算机发送链接，该链接包含蠕虫。用户一旦点击了该链接，将会从已被感染的网站下载蠕虫，并且周而复始地形成恶性循环。之后的Snapper和Wallon也使用同样的技术，用它下载被作者放置在网站上的木马。

　　迄今，包含链接的电子邮件还没有被收件者视为可疑对象，与双击一个附件相比，许多人还是很容易点击链接的。另外，这种方法可以有效'逃避'很多企业在互联网网关上部署的防御：它们通常阻止可疑的扩展名(EXE，SCR等等),但是包含链接的电子邮件通过却未被注意到。无疑，这种方法将被继续使用，直到用户意识到点击恶意链接与点击附件具有相同的危害。

　我们已经注意到特洛伊木马间谍数量的显著增加，这些木马用于偷取机密金融数据。每周都有许多新变种出现，通常在形式和功能上都不同。其中一些只是键盘纪录，它们通过电子邮件给特洛伊木马作者或者控制者发送全部键盘纪录。更多的说明是特洛伊木马间谍提供对被感染计算机的完全控制，给远程服务器发送数据流并且通过这些服务器接收高级命令。

　　这些被完全控制的计算机经常是木马编写者的目标。被感染的计算机频繁地合成网络蠕虫，经常使用IRC信道或者编写者存放新命令的站点。更复杂的特洛伊木马，像很多Agobot的变种，将全部感染的计算机组成一个独立的点对点网络。一旦建立了蠕虫网络，它们会被用于垃圾邮件分发，或DDoS攻击当中(就像被Wallon，Plexus，Zafi和Mydoom 执行的那些一样).

　　我们也能够看见许许多多的木马下落者和木马下载者。它们的目标都是为了在已感染的计算机上安装其它的恶意代码，不管它是病毒，蠕虫还是其它木马。它们只是使用不同方法来达到它们的目的。


Dropper病毒含有附加的恶意代码。它们既可以安装其它恶意程序也可以安装一些已安装的恶意程序的新版本。它们可以携带许多不相干的恶意程序段；具有不同的行为方式甚至由不同编码器生成。它们是一种能够压缩多种不同恶意代码的恶意压缩程序。Dropper病毒经常携带已知的木马，因为编写一个Dropper 病毒比编写一个全新的反病毒软件检测不到的木马要容易得多。大多数Dropper病毒是用Visual Basic Script [VBS] 或者JavaScript [JS] 编写的，因为它们比较容易编写并且可以执行多个任务。

　　病毒编写者经常像使用Dropper病毒一样使用Downloaders，虽然它们比Downloaders更有效。首先Downloaders比Dropper病毒小得多。其次，它们能够不停的下载新型目标恶意代码。Dropper和Downloaders通常用脚本语言编写，例如VBS和JS，但它们同样会利用微软的IE漏洞。

　　Dropper和Downloader不仅仅安装恶意代码。它们还会未经用户许可安装没有病毒的广告或者色情软件程序。广告经常以标语的形式自动弹出。色情软件会安装一个拨号器，在没有得到用户许可的情况下会自动拨号到收费的色情网站。

　　木马程序可以盗取密码，获得机密数据，发动DDoS攻击和垃圾邮件分发，这一重大改变对未来有严重影响，而且越来越趋向于商业化。很明显计算机地下工作者已经认识到他们打造的有线世界挣钱的潜力。其中包括使用租借给最高出价人的垃圾邮件平台的'zombie'计算机。或者用于勒索，使用相同的zombie'计算机用于对被攻击计算机进行DDoS攻击来勒索钱财(要么破财免灾，要么站点被大量DDoS攻击搞垮)。此外，还盗取登录信息。并且使用'phishing'诡计骗取用户银行详细信息(用户名, 密码, PIN 号码, 等等)。

　　2004年也已经看到了一系列以无线设备为明确目标的威胁。Cabir,6月出现的第一个手机病毒，此病毒首先在远东出现，这是一个由病毒编写组29A编写的手机概念病毒。7月紧随其后的Duts病毒(另一个29A的作品)和8月的Brador木马，两者都瞄准了掌上电脑。整个世界范围内无线设备的数量在增长。特别是掌上设备- PDA和手机使用的迅速增多和应用于它的一种或其它无线技术[802.11b, 蓝牙, 等等]。这些设备功能强大，可以运行IP服务，提供网站连接并且贯穿整个网络，也可以为用户提供远程连接其它设备和网络的功能。不幸地是，在安全性上却先天不足，超出了传统的网络安全所能保护的范围。并且当它们开始携带越来越多的有价值的公司数据时，无线设备和无线网络很可能成为恶意代码编写者感兴趣的目标。

　　此外，2004年也逮捕了大批的恶意代码编写者。二月，比利时的病毒编写者Gigabyte被捕。5月，德国有2名病毒编写者被缉拿归案。一名是Sven Jaschen，他承认编写了Sasser和一些Netsky变种。另一名因为编写了大量的Agobot/Phatbot蠕虫系列而被捕。微软宣布悬赏缉拿消息的传出促使更多的病毒编写者被逮捕。

　　七月，一名十几岁的匈牙利青年‘Laszlo K’由于散布Magold蠕虫而被判有罪，2003年5月该蠕虫曾在匈牙利广泛传播。他被判处2年徒刑缓期执行并且被责令向法院交纳2400美元罚款。同月，一位台湾电脑工程师被捕。Oscar Lopez Hinarejos企图在西班牙散布Cabrotor木马，被判处2年徒刑。同月里，还有其他人在台湾，加拿大和罗马尼亚被捕。

　　8月，一名十几岁的明尼苏达州青年Jeffrey Lee Parson，由于制造Lovesan.b蠕虫威胁计算机而被判有罪。

　　近几年病毒和蠕虫的快速蔓延已被明确认定为全球的自然威胁。然而，由于各国政府通力协作制裁恶意程序编写者，加强执法力度已成为一种全球现象。举一个成功的实例：10月，通过联合行动成功捕获28名涉嫌在6个国家参与身份盗取的人。此次联合行动包括美国情报局，英国国家高科技犯罪调查组，温哥华警察局金融犯罪部(加拿大)，加拿大皇家骑警队以及白俄罗斯，波兰，瑞典，荷兰，乌克兰各地警察局。

　　近期，一名俄罗斯人phisher在波士顿被捕，他被指控涉嫌多起诈骗，身份盗窃和使用信用卡扫描设备等多项罪名。

　　未来又会怎样呢？我们可能会发现悲剧在不断重演，只要能证明前面所描述的攻击计算机用户的技术是有效的，恶意代码编写者仍然会义无返顾的使用它们。其中包含尝试用户信任的方法，比如：群发邮件，利用系统漏洞攻击计算机。广泛使用木马来盗取数据，使用 DDoS 攻击平台或垃圾邮件分发。其中还包括了今年的领先技术，比如在email中使用链接来从站点下载恶意代码。更为关键的是已经证明了这些方法对于恶意代码编写者和那些付钱给他们编码的人获得不法之财是非常有效的。当然，他们会继续开发恶意代码，增加新特性而使代码更有效，或者使用新的自防御机制使其不容易被探测或删除。同过去一样，一些恶意程序编写者会继续开辟新天地。尤其值得注意的是，他们正把目光瞄向那些被越来越多的企业和个人用户使用的大量的无线设备上。

　　要了解最新的恶意程序发展趋势，请点击viruslist.com.

　　作者：

　　Eugene Kaspersky

　　David EmmAleks

　　GostevMarc

　　Blanchard