病毒制售形成產(chǎn)業(yè)化

調(diào)查顯示，趨利性成為計算機病毒發(fā)展的新趨勢，近年來全球病毒編寫和制作者的目的有了根本性的改變，由“損人不利己”的炫耀個人技術(shù)轉(zhuǎn)向以獲取利益為主要目的地下組織。利益的驅(qū)使下，病毒制作由個人的興趣愛好，演變?yōu)椴《拘袠I(yè)，病毒作者變身為“職業(yè)選手”，目前，病毒行業(yè)基本形成黑客培訓(xùn)、病毒制造、病毒加工、出售病毒、傳播病毒、竊取信息、銷售贓物等已經(jīng)形成以獲取利益為核心的病毒產(chǎn)業(yè)鏈。

目前，在我國已基本形成制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺銷贓、洗錢這一分工明確的網(wǎng)上黑色產(chǎn)業(yè)鏈。當前病毒已形成了‘產(chǎn)、供、銷’一條龍的灰色產(chǎn)業(yè)鏈。

2008年揚州警方破獲的“伯樂木馬案”就牽出完整盜號產(chǎn)業(yè)鏈，從頂端“制馬”到終端的盜取裝備牟利，犯罪嫌疑人呈金字塔形分布。僅目前掌握的就多達700余人，涉及20多個省50多個市。網(wǎng)絡(luò)新型犯罪團伙糾合之快、人數(shù)之眾，超乎人們的想象。此外，涉案人員身份隱匿，查證困難，盜號產(chǎn)業(yè)鏈給用戶、廠商乃至整個互聯(lián)網(wǎng)帶來巨大危害。 

病毒產(chǎn)業(yè)化催生病毒新特點

在這種產(chǎn)業(yè)化的形勢下，病毒在制作和傳播上具有了新的特點。網(wǎng)絡(luò)中大量出現(xiàn)的“自動加殼機”“自動免殺機”等自動化加工病毒工具，側(cè)面證明了病毒制作開始“產(chǎn)業(yè)化”和“自動化”，而黑客制作的病毒也逐漸呈現(xiàn)出隱蔽性、抗殺性、針對性以達到最終獲取利益的目的，當今計算機病毒出現(xiàn)了新的特點。

1）   隱蔽性：

即兼容性、程序不可見性，任務(wù)完成后自殺。

通常一般的病毒程序都夾在正常程序之中或者將自身程序隱藏，很難被用戶發(fā)現(xiàn)，病毒進入用戶計算機后，計算機系統(tǒng)通常仍能正常運行，使用戶不會感到任何異常，好像不曾在計算機內(nèi)發(fā)生過什么，而病毒目的只是為了竊取用戶系統(tǒng)有價值的信息，在成功完成任務(wù)后，自動刪除自身程序。

為了達到獲取利益的目的，病毒就要做得隱蔽性強，越隱蔽的病毒越難被用戶發(fā)現(xiàn)，從而越不容易被反病毒公司收集，反病毒公司無法收集到樣本就無法查殺。

        被稱為2008年感染和危害最強的機器狗病毒：它采用了能突破系統(tǒng)還原卡（硬件）的技術(shù)，可以穿透系統(tǒng)還原軟件和常見的硬盤保護卡，下載病毒木馬程序，而后在被感染的電腦上安插木馬和病毒。當感染機器重啟還原后，該樣本仍存活在系統(tǒng)中，從而達到長期駐用戶機器的目的。

2）   抗殺性： 

對老病毒進行改造，采用加花、加殼、變種等免殺技術(shù)，躲避殺毒軟件查殺。采用內(nèi)核技術(shù)加強對病毒的保護，使殺毒軟件即使發(fā)現(xiàn)也難以清除。直接對殺毒軟件進行攻擊，導(dǎo)致殺毒軟件不能正常工作。 

近年危害性較強的AV終結(jié)者/磁碟機病毒，主動劫持殺毒軟件，令殺毒軟件無法正常運行，讓用戶機器處在無安全防護狀態(tài)；主動關(guān)閉殺毒軟件界面或包含殺毒文字的qq窗口或ie窗口，令中毒者無法上網(wǎng)求助，并借助于網(wǎng)上流行的加殼器等免殺工具躲避殺毒軟件特征碼的查殺。

3）   針對性：

針對特定的目標，采用特定的病毒攻擊。如果被攻擊的用戶沒有發(fā)現(xiàn)，反病毒公司就無法收集到這個病毒，這個病毒將在用戶的計算機中長期與殺毒軟件共處。

游戲盜號類木馬病毒，中毒后自動遍歷進程查詢是否運行游戲，如果沒有則不作進一步行為，一旦發(fā)現(xiàn)目標立即動手盜取用戶帳號及網(wǎng)絡(luò)游戲虛擬財產(chǎn)。

如下圖就是針對大話夢幻游戲盜號的木馬生成器，該生成器生成的病毒木馬程序是專門用來盜取該款游戲的賬號密碼信息。

4）   小批量、多變種、自動更新：

小批量：小批量感染用戶，反病毒公司可能無法獲取病毒樣本。

多變種：同一個病毒采用多種免殺技術(shù)生成多個變種，損失降到最小。

自動更新：頻繁自動更新自身，使得病毒特征碼不斷發(fā)生變化，即使反病毒公司獲取到原來病毒樣本，在殺毒軟件升級前，病毒已經(jīng)自動更新，殺毒軟件升級后依然無法發(fā)現(xiàn)病毒。

由于殺毒軟件的依靠特征碼技術(shù)查殺病毒，只有獲取樣本，提取病毒特征后，才能查殺病毒，病毒編寫者為了獲取經(jīng)濟利益，避免自己的病毒程序被殺毒軟件查殺，就采用這種小批量、多變種、自動更新的方式，在病毒數(shù)量、更新時間上與殺毒軟件抗衡，病毒制造者使得殺毒軟件即使升級也無法查殺，由于批量小，殺毒公司根本無法獲取到病毒樣本。

5）   工具化、自動化：

當前病毒已出現(xiàn)工具化和自動化的最新特征，由于病毒編寫者的目的發(fā)生了根本的改變，由過去的‘損人不利己’轉(zhuǎn)向以獲取利益為主要目的。編寫病毒目的的改變，使得病毒從形式、傳播方式、數(shù)量等方面均發(fā)生了顛覆性的變化，也因此出現(xiàn)了‘自動加殼機’‘自動免殺機’‘病毒生成器’等自動化加工病毒工具，自動生成病毒變種，導(dǎo)致病毒數(shù)量呈幾何級數(shù)增長，反病毒公司處于難以應(yīng)付的境地。

生成器可根據(jù)自定義的功能來生成病毒文件：

搜索引擎搜索框輸入病毒生成器，可以查詢到上百萬的結(jié)果，其中不乏有各種病毒的自動批量生成器，即使菜鳥使用這種生成器，也可在很短的時間內(nèi)創(chuàng)造成百上千的病毒。而這些新生成的病毒對于殺毒軟件廠商來說在未收集到樣本前都是不能夠識別的。

以趨利性為顯著特征的病毒攻擊，已完全顛覆了傳統(tǒng)意義上的病毒危害，反病毒形式嚴俊。

專家支招：如何保護我們的信息安全

傳統(tǒng)的殺毒軟件已經(jīng)很難對付當前病毒的新威脅，在互聯(lián)網(wǎng)廣泛應(yīng)用、全球病毒特征出現(xiàn)了顛覆性變化的今天，傳統(tǒng)殺毒軟件已經(jīng)顯得力不從心。其原因在于傳統(tǒng)殺毒軟件采用的是特征值掃描技術(shù)-- "病毒出現(xiàn)--用戶提交――廠商人工分析――軟件升級"的思路，對病毒的防范始終是落后于病毒出現(xiàn)。換句話說，當前病毒都已經(jīng)自動化產(chǎn)業(yè)化了，殺毒廠商還在采用落后的人工分析的思路，必然做不到對未知病毒和新病毒的防范，更談不上有效防止用戶被動泄密。實現(xiàn)反病毒技術(shù)由被動事后殺毒到主動防御的變革，不僅是全球反病毒產(chǎn)業(yè)的共同課題和新的競爭焦點，更是計算機用戶的迫切需求。

為此，反病毒專家微點總裁劉旭提出了以下四點策略，用以實現(xiàn)用戶對信息資產(chǎn)的保護。

其一、用戶應(yīng)養(yǎng)成良好的上網(wǎng)習(xí)慣，應(yīng)該是不該上的網(wǎng)站，盡量別上，往往一些不健康的網(wǎng)站也是造成用戶病毒感染的重要原因。

其二、應(yīng)有自覺的信息安全意識。在一個單位，同事之間，應(yīng)給注意存儲信息的工具不能輕易共享。隨意通過U盤把自己的文件拷給別人，或者到別人機器上拷文件，不僅是感染并傳播病毒的途徑，也是造成病毒攻擊、黑客入侵而導(dǎo)致信息被動泄密的重要原因。我認為，在實際工作中，特別是對信息安全要求高的用戶，應(yīng)該杜絕用U盤在不同的用戶間來回拷文件的做法，并且還應(yīng)加強對用戶自身郵件安全的保護，拒收不明郵件。同時，有條件應(yīng)該做到專機專用。

其三、采用安全可靠的反病毒工具。傳統(tǒng)殺毒軟件在原理和技術(shù)根基上就難以對付未知病毒和新病毒，依賴殺毒軟件難以很好的保障用戶信息安全。越來越多的例子已經(jīng)證明，殺毒軟件自身也容易被攻擊。所以，我認為不僅要慎用非正版軟件，還要謹慎選用反病毒工具。采用具有主動防御技術(shù)的反病毒工具是比較可靠的選擇。

其四、對一個單位來說，建立嚴格的信息安全管理機制是重要的保障，這與前面提到的三條措施并行不悖，不僅應(yīng)做到內(nèi)外網(wǎng)分開，更重要的是建立信息安全保障的管理流程，從習(xí)慣、意識、工具、機制等四個層面上確保網(wǎng)絡(luò)安全，防止出現(xiàn)被動乃至主動信息泄密。