互联网病毒传播和攻击行为的新趋势

互联网病毒传播和攻击行为的新趋势 瑞星公司 2008年11月

病毒如何感染计算机 演示1 演示2 • 用户访问挂马网站，致使后台下载并自动运行大量的木马病毒程序 • 用户浏览挂马网站，导致严重感染病毒，程序被破坏，最终系统瘫痪视频截图视频截图

反病毒行业应对“无力” 病毒为何这么厉害? 病毒技术更牛了? 制作病毒的人更多了? … … ?

计算机病毒的发展简史 木马群 2008年利用flash漏洞等第三方应用程序漏洞挂马传播传播自身，攻击安全软件，组建僵尸网络，盗取账号牟利熊猫烧香 2006年利用所有成熟的网页挂马、U盘 ARP欺骗、网络共享传播自身，破坏用户数据，组建僵尸网络震荡波 2004年利用windows的 LSASS 中存在一个缓冲区溢出漏洞进行传播传播自身，瘫痪网络，破坏计算机系统 SQL蠕虫王 2003年利用SQL server 2000远程堆栈缓冲区溢出漏洞通过网络传播公用互联网络瘫痪爱虫病毒 2000年电子邮件传播自身并破坏数据文件 CIH病毒 1998年盗版光盘破坏硬盘数据 1998 2000 2002 2004 2006 2008 计算机病毒已经实现互联网化

计算机病毒的过去与现在 目的依托互联网，集团化运作，以经济利益作为唯一目标从炫技、恶作剧、仇视破坏到贪婪技术自我复制和传播，破坏电脑功能和数据，甚至破坏硬件，影响电脑正常使用病毒技术本身没有突破，和以前的病毒没有本质区别传播途径通过磁盘、光盘、电子邮件、网络共享等方式传播危害的表象：一个电脑病毒感染数千万台电脑，横行全球，破坏用户系统 (CIH、梅丽莎、冲击波、尼姆达等等) 生产、传播、破坏的流程完全互联网化，组成分工明确、日趋成熟的病毒产业链；各种基础互联网应用都成为病毒入侵通道，其中“网页挂马”最常见，占总量90%以上。

互联网病毒产业链 流量商 (病毒植入者) 病毒持有人木马病毒的传播木马病毒的制造病毒销售人盗号人(病毒购买人) 网站 (病毒传播者) 病毒制作人网民 (病毒受害者) 漏洞挖掘人 • 分工明确，制造、传播、贩卖、获利环环相扣，非常成熟

木马病毒的制造 流水线式的工业化生产病毒程序的模块化使得病毒制作门槛大大降低,带来网上木马制作工具泛滥,进而使病毒制作呈现出商业化运作模式各种基础互联网应用都成为病毒入侵通道，其中“网页挂马”最常见占总量90%以上病毒下载器制作盗号木马制作网页木马制作安全漏洞挖掘单纯的漏洞挖掘已经成为病毒产业链中的一环（黑客发现漏洞后无需编写病毒即能挣钱）按照“客户”需求批量定制盗号木马，去窃取客户指定的有价值的信息

软件漏洞挖掘 软件漏洞被公开或地下出售（某黑客网站截图）挖掘漏洞挖掘漏洞报告软件厂商厂商修复漏洞提供安全更新公开或地下出售获利 0day 攻击出现用户安装补丁

木马制作模板 • 网页木马制作模板 • 盗号木马制作模板某网页木马制作的模板粉红色区域可以定制式地填入所利用的漏洞、攻击功能等要素只需要填入、勾选所要盗取的网络游戏的名称

互联网化病毒组成 完全区别于以往的单个病毒，现在的病毒，更多的通过模块清晰、分工明确的一个超级组合，利用互联网像工业流水线那样的制造和传播病毒，使得其传播速度和破坏能力急剧增强。漏洞信息网页木马超级病毒组合盗号木马病毒下载器

木马病毒传播流程 病毒传播病毒购买病毒制作病毒销售各种基础互联网应用都成为病毒入侵通道，其中“网页挂马”最常见，占总量90%以上。利用SEO技术优化欺骗性挂马网站搜索排名利用P2P网络欺骗性传播挂马网页雇佣黑客入侵网站挂马收购流量挂马

传统杀毒软件面临的困境 A.漏洞攻击防不胜防 B.通过加密变形躲避查杀 C.利用ARP欺骗扩大攻击 D.挂马威胁无处不在

漏洞攻击防不胜防 流行漏洞利用率常用应用软件 63% 70% 2% 其他 35% 微软操作系统和OFFICE

通过加密变形躲避查杀 • 加密前网页木马 • 加密后网页木马

利用ARP欺骗扩大攻击

挂马威胁无处不在 并非只在浏览网页的时候并非只在使用浏览器的时候

总结网页挂马是计算机病毒的主要传播源，牟取一定的经济利益是其根本目的普通用户仅依靠自身安全意识,很难应对复杂多变,花样翻新的病毒入侵渠道网页木马可以任意变形加密，传统的依赖特征码的查杀方法失去原有威力计算机只要被感染一次，就有可能长期成为多种病毒和恶意程序破坏的目标计算机病毒已经互联网化

问题计算机病毒呈现爆发性的增长，广大的用户如何才能获得一个安全和谐的上网环境？反病毒厂商是否真的在病毒面前无可奈何？是否真的会节节败退，无法抵御？面对挑战，我们如何应对

谢谢！

互联网病毒 传播和攻击行为的新趋势