12月13日,卡巴斯基發布2007年上半年報告,根據巴斯基實驗室2007年上半年的追蹤惡意網站及惡意軟件(通過網站傳播)報告中顯示,近幾年,惡意軟件傳播方法已經發生了變化,從固定的介質(硬盤)轉向郵件傳播(如聲名狼藉的愛蟲郵件)以及直接的網絡攻擊(如紅色代碼)。如今惡意軟件最新的發展是通過萬維網傳播。
基于網頁的惡意軟件快速增長有很多因素,其中一個原因是由于在2003到2006年發現了微軟IE存在大量漏洞。另外一個原因是由于大多數反病毒引擎和訪問網頁的方式在理念和設計上不兼容,因為大多數反病毒引擎需要拷貝整個文件來檢測是否感染病毒,這就會在掃描類似網頁流文件時發生問題。當然,此問題可通過代理層方案解決,先高速下載流量,下載完畢后便會將其傳至反病毒引擎,然而,這種方式也不是很普及。
基于網頁的惡意軟件快速增長的另外一個因素或許是因為企圖阻止電子郵件中的可執行格式附件。早在2003年和2004年,大多數惡意軟件通過電子郵件傳播(如.EXE/.SCR/.PIF文件等),許多系統管理員決定完全禁止電子郵件中的可執行格式文件,這樣做的直接結果就是惡意軟件作者開始使用壓縮文件傳播-如ZIP文件。早在2006年,包含漏洞的微軟Office文件也是惡意軟件傳播的載體。
惡意軟件作者想到了一個簡單的方法來解決這個問題:他們放棄電子郵件來發送惡意軟件主程序,而開始發送包含惡意程序的網站鏈接地址。因為郵件網關僅過濾郵件正文,不可能檢測在郵件中是否鏈接惡意網站,利用這種手段可以達到目的。
惡意軟件來自哪里呢?要回答這個問題,很有必要來回顧一下黑客操縱惡意軟件的解決方案。
今天已經發現了大量猖獗的惡意軟件,他們的傳播方式很多。可以在入侵的家庭計算機上發現其蹤影,他們通過運行少量http服務的計算機的僵尸入侵計算機并將其變為傳播點。也可以在一些被黑客攻擊的ISPS網站上發現。這對于提供給用戶免費網頁空間來建立自己的網站是常見的選擇。
也有一些情況是使用偷竊來的信用卡去合法網絡提供商那里購買域名和主機資源,目的是傳播惡意軟件。
今年早些時候,一個中等規模的托管公司遭受了黑客的攻擊,黑客利用控制面板版本的漏洞獲得了托管在該公司服務器上所有帳號權限,該攻擊者檢查了入侵計算機上的所有網站的主頁,利用IE漏洞加入了一小段腳本語言,黑客還安裝了惡意軟件,包含隱藏程序。在類似攻擊事件中,二月份超級杯海豚體育場網站被黑客攻擊,在網頁源代碼中注入了漏洞。或許近期出現的是印度銀行網站被攻擊事件,該事件發生在2007年8月底,在這次攻擊中,主頁代碼被修改,在其中加入了一個IEE漏洞,這樣可以進一步有利于惡意軟件傳播。
以下為使用Akross系統檢測到的傳播惡意軟件IP地址地理分布圖:
排名 國家及地區 百分比
1. 中國 31.44
2. 美國 25.90
3. 俄國 11.05
4. 巴西 4.40
5. 南韓 3.64
6. 阿根廷 2.90
7. 德國 2.31
8. 法國 1.70
9. 巴拿馬 1.53
10. 荷蘭 1.31
11. 烏克蘭 1.26
12. 加拿大 1.24
13. 西班牙 1.15
14. 英國 1.15
15. 香港特別行政區 0.83
16. 意大利 0.72
17. 葡萄牙 0.70
18. 羅馬尼亞 0.68
19. 臺灣省 0.65
20. 馬來西亞 0.52
前20位惡意軟件來源國家及地區
中國以31.44%的惡意網站數量居排行榜首位,美國以25.90%緊鄰其后,這些國家在近幾年相關的惡意軟件統計中幾乎一直占主導地位,要改變排名先后取決于惡意軟件編寫的趨勢和操作系統的發展,十分有趣的是,在中國最流行的惡意軟件載體是被黑網站和所謂的“防彈主機”,在美國,主要是被黑客攻擊“.com”網站和一些利用竊取的信用卡購買到的合法主機資源。俄羅斯和巴西占據第三和第四位。這些國家情況類似,因為大多數惡意程序托管在“免費主機資源”中,網絡服務提供商為用戶提供機會可以向計算機上傳自己的網站。
隨著惡意程序傳播方法的不斷變化,可以預料惡意程序的作者將繼續構思感染計算機的新方式。現有的傾向包括通過P2P網絡傳播或通過自由軟件傳播。
毫無疑問,在這種情況下,網絡成為惡意程序作者首選的傳播媒介,并且這種傳播方法在2007年五月似乎達到了高峰。不過從那以后,新的惡意網站的數量在某種程度上有所下降。盡管這是個好消息,但每天仍然有很多新的惡意網站出現,誘惑用戶的社會工程學技術或攻擊程序變得越來越復雜。
中國和美國是惡意網站數量的兩大巨頭,盡管上述兩國的政府做了最大的努力。惡意網站仍然盛行。雖然美國有能力在48小時內關閉包含惡意網站,但中國卻并非如此。我們都知道,惡意網站在中國已經肆虐一年之余,所有關閉包含的惡意網站的努力都以失敗而告終。在這種情況下,越來越多的惡意網站將會在中國落戶,所以中國正在成為惡意程序滋生的溫床。
本篇文章來源于 安全中國-全球最大中文黑客門戶
原文鏈接:http://www.anqn.com/news/a/2007-12-16/a0991004.shtml |
