【IT168 分析报告】领先的信息技术解决方案提供商——卡巴斯基实验室发表题为《卡巴斯基安全公告:2008恶意软件发展情况》的报告,该报告由公司高级分析师撰写。
此报告面向的读者包括IT安全领域的专家以及所有对恶意软件程序感兴趣的用户。
据悉,通过卡巴斯基安全网络所收集到的数据也是首次被用在这样的年度报告中,并作为论述的依据。这项新技术不仅使卡巴斯基实验室能够获得有关恶意软件威胁的信息,还能实时跟踪、监控其演变过程,同时,在签字或启发式检测尚未形成时,显著加快了检测新威胁的速度。
2007年,专家们强调“非营利性”的恶意软件正在逐渐消失。2008年,真正意义的“独家”恶意程序(主要指那些由一人或最多两人创建和使用的程序)出现。今年检测出的绝大多数木马和病毒都是被开发出来以后用于出售给他人的。而与此销售配套的相关“支持”服务也以一个相当惊人的规模出现,其中包括帮助避开反病毒产品的承诺。网络犯罪开始表现出明确的分工,从创建、传播和使用恶意程序,每个阶段都由不同的人参与并完成。
从全球范围来看,中国可谓是几大恶意程序出产国中的远远领先者。中国黑客不断的创造各种各样的木马程序变种,而且还开始将其他国家创建的恶意程序本地化。中国黑客是2008年4月到10月间发生的两次主要攻击的幕后黑手,攻击的目标都为网站。第一起攻击发生在2008年4月到6月间,全球超过 200万个网站遭到黑客攻击。
随着犯罪分子活动范围在恶意软件2.0的领域展开 ,俄罗斯病毒编写者成为了该领域的先锋者。从Rustock.c和Sinowal这两个rootkit所构成的重大威胁中让我们能够清楚的认识到这点 ,这些恶意软件中所包含的科技成分也远远高出过去常见的的Zhelatin和Warezov蠕虫等。
如同预期那样,文档病毒在2008年又开始死灰复燃。但与之前不同的是,新的病毒还增加了盗窃用户数据以及通过移动存储设备传播的功能,通过后一种方式,该病毒可以在短时间内感染全世界的大量计算机。
这种方法能够使蠕虫通过闪存驱动器绕过传统保护(如电子邮件和文件服务器反病毒,以及防火墙)的企业网络。而一旦工作站遭到侵入,这种蠕虫便能够将自身复制到所有可以访问的网络资源,从而迅速蔓延到整个网络。
在2008年,许多Zhelatin 变种(又称风暴蠕虫)停止传播。这种存在近两年的病毒(第一批变种出现在2007年1月)引发了很多疑问。而颇具传奇色彩的“风暴僵尸网络(Storm botnet)”,估计影响了超过200万台计算机,但最终没有充分发挥其潜力。而之前预计的大量垃圾邮件和DDoS攻击却从未发生。其中的一个原因可能是RBN(俄罗斯商务网)的及时关闭,它曾经是网络犯罪提供主机业务的平台。这个网络可能参与了几乎所有网络犯罪活动,而它是如何被卷入其中的正成为大家热议的话题。据悉,这些活动导致RBN的未知业主将这种犯罪交易转移到几十个世界各地的分网站,并以秘密的方式开展他们的活动。直到去年秋天,打击网络犯罪活动的力度加大,Atrivo / Intercage 、 EstDomains和McColo在网络公司、政府和反病毒软件公司的合作下纷纷关闭。而McColo的关闭促使互联网中垃圾邮件的数量大幅下滑了50 %以上。同时,大量依赖这类公司资源的僵尸网络也停止了运作。尽管几个星期后,垃圾邮件的数量又恢复到了之前的水平,但是这一事件应被看作是在过去的几年里最重要的反病毒胜利之一。
2008年对整个反病毒行业以及整个信息安全产业都产生了重大影响的安全事件主要为rootkit的传播,以及针对在线游戏产生的恶意程序及僵尸网络。
与前一年相比,2008年中rootkit的传播成为了更严重的问题。卡巴斯基实验室发表了三篇与这个问题相关的研究性文章,分别为:“Rustock及同类恶意代码”,“ rootkit的演变”和“ Bootkit : 2008年的挑战”。这些文章都叙述了rootkit是如何被用来进行复杂性攻击的,这使得整个杀毒行业必须努力确定如何才能检测和清除活动的rootkit。随着社交网站越来越普及,并在一些国家(如东南亚,印度,中国,南美,土耳其,北非,和前苏联国家)十分受欢迎,并且还拥有大量的新客户,因此通过这些社交网站发起的攻击不再成为发生在虚拟世界的孤立事件,而是成为了日常生活中的一个事实。专家估计,通过社交网站传播恶意代码大约有10 %的成功率,这大大高于通过电子邮件传播的方式获得的不到1 %的成功率。
而社交网站不仅仅被利用来传播新的恶意程序,还被用作数据的采集和各种各样的新型诈骗,其中包括钓鱼行为。最典型事件便是Koobface的流行;这种蠕虫的首个变种于2008年7月被卡巴斯基实验室检测到,12月,这种蠕虫不仅可以攻击Facebook和MySpace的用户,还能够攻击另一个受欢迎的社交网站Bebo的用户。
2008年,窃取在线游戏密码的恶意程序数量稳步上升: 在这一年确认的新游戏木马数量达到100397个,是2007年( 32374 个)的3倍。尽管绝大多数的在线游戏禁止出售虚拟资产以换取真实货币,但是买家的数量却在不断增加。一般来说,买主毫不关心虚拟资产是否是其他玩家赢来的还是通过恶意代码偷窃的。因此,这样的条件对于病毒编写者来说无疑是如虎添翼,因而导致虚拟资产的价格上升并增加了虚拟资产市场的不法交易。
仅仅在几年前, '僵尸网络'这个词只是被反病毒公司人员使用,但在过去的一年里,僵尸网络俨然已成为一个普通的术语。僵尸网络已成为垃圾邮件、DDoS攻击和新恶意程序传播的最主要来源。应当指出的是,僵尸网络与本报告中强调的所有主题都有着直接的联系:例如rootkit以及针对社交网站和网络游戏的攻击等。因为目前的技术重点都主要集中在这块领域,这一点并不令我们感到惊讶。最重要的是, 2008年发生的事件表明,这些问题存在着巨大的潜在隐患,而且在不久的将来,他们将继续发展和演化。
关于此报告每章细节总概括如上。