病毒传播渠道再变革：IM软件传播的比例上升

显示全部楼层 · 发表于 2011-6-23 19:19:34

病毒传播渠道再变革：IM软件传播的比例上升

一、基本概况：
安全软件正在让浏览器变得越来越安全，网页挂马成功率已经很低，病毒集团基本放弃这种历史上曾经最猖獗的病毒传播方式。病毒集团在正常网页的广告中嵌入病毒下载链接，或者在正常软件中捆绑病毒木马，最终用户通过浏览器（IE、傲游、搜狗、360浏览器或Chrome、Firefox）下载，或者使用迅雷、旋风、BT等下载工具下载传播。
上面这是以点到面的病毒传播方式，还有一类容易被人们忽视的病毒传播方式。就是利用IM软件（QQ、MSN、淘宝旺旺、YY）等聊天工具传播病毒。网购木马自去年下半年以来愈演愈烈，很多人在淘宝旺旺和QQ上接收文件之后，被骗取几十元上万元不等。一些职业骗子和盗号者冒用他人QQ号登录，在群共享空间中上传病毒或者直接给好友发送病毒。

从金山毒霸云安全中心拦截数据来看，用户使用IM工具传输的可执行文件中，有17%是病毒木马，这相当于每接收6次文件，就可能碰上一次病毒。如果按帐号统计，金山毒霸下载保护拦截的数据是每天10000个IM用户曾经收到过病毒。

二、传播特点：
病毒集团利用IM工具传播主要靠骗术，针对网友心理传播对方最可能点击的文件。并且病毒集团会利用社会热点新闻修改合适的文件名再传播。
比如下面的例子：

1.情se诱惑类（文件数：42%，影响人数：53%）
q q . 载 . 未 . 命 . 名 .. .. .. . .exe
我的裸luo照.rar
夫妻自zi拍.rar
老婆的性感照片.rar
我的照片(1).rar
3D高清版本.rar
日本学妹室外写真（图）.rar

2.娱乐八卦、外{过}{滤}挂、私-Fu类（文件数：21%，影响人数：17%）
鹿鼎记爵士_ver1.64(多开版).zip
ledt刷钻辅助工具.rar
梦幻装备bb.rar
QQ刷钻.rar
仓库装备.rar

3.一本正经类（文件数：37%，影响人数：30%）
5月份资料.rar
实物图.exe
技术资料.rar
毕业论文最新系统.rar
货币战争电子版.exe

三、IM传播病毒、木马的特点：
1.一对一的定点攻击传播。
主要针对性攻击传播，降低中毒用户的心理防范，使中毒成功率提升。
特别典型的就是网购木马，网购木马感染量有限，一旦木马不被安全软件检测到，网购的损失就不可避免。
当然，盗号者或骗子还喜欢利用QQ群空间共享来传播病毒，根据群的属性将木马换成相匹配的文件名，比如，发现是股票群，就伪装成与股市有关的电子书资料。是娱乐讨论群，就上传最新的影片种子下载。是游戏讨论群，就有针对性的上传游戏外{过}{滤}挂或插件。

2.病毒木马对抗杀毒软件的手法新颖
因病毒是小范围内散发，绕过杀毒软件的方法也五花八门。比如开发针对性的免杀、新的病毒启动手法f117、新的结束和绕过安全软件的方法、特殊格式的压缩文件对抗云安全、利用正常互联网软件的漏洞加载等等。
对于Windows XP来说，可以被利用的点多不胜数，很多都处于安全软件的防御盲区，杀毒软件引以为豪的主动防御体系正在被突破。

四、IM软件传播的病毒木马主要类型：
1.盗号木马
主要针对盗取QQ号的居多，盗取QQ后之后，冒用他人身份找朋友借钱，这是盗号者最惯用的一种作案手法。利用偷来的QQ号为基础，借好友关系链逐级传播渗透。大量盗号之后，再发布垃圾广告消息，传播新的木马。

2.远程控制木马、后门程序
主要是利用网上流传的灰鸽子、ghost、白金等成熟的远程控制型木马来控制用户电脑，使用户成为肉鸡，再窃取肉鸡电脑的有价值信息，窥探别人隐私或者从事买卖肉鸡电脑、DDoS攻击等业务。

3.网购木马
主要针对淘宝、在线购物等电子商务平台，通过篡改交易来进行盗取用户钱财，此类木马感染量虽然有限，但危害巨大，木马抢钱成功率很高。如果安全软件没有及时拦截，接收网购木马的网民多半要将网购资金转入骗子帐户。

五、如何防御IM软件传播的病毒木马
1.下载保护可以及时鉴别通过QQ、旺旺、MSN、YY、飞信等IM软件传播的病毒文件。

2.快速云鉴定，对下载保护收集的病毒样本进行快速分析和全网拦阻。

金山毒霸内置的云鉴定器，可以在99秒内鉴定99%的新程序文件，一半左右的新程序文件可以1秒钟内得到鉴定结果。

3.金山毒霸内置强力查杀，使用白名单技术，使用非白即黑的原则，将所有未判断为安全的加载项彻底清除。

4.网购保镖，特别针对危害巨大的网购木马设计。
可以有效拦截钓鱼网站，启发式+云安全鉴定来拦截通过QQ、旺旺传播的网购木马，同时内置网购交易防篡改模块，即使病毒突破了网购保护的前两层，仍然不能达到抢劫网购资金的目的。中毒网民此时仍然会将货款打到支付宝帐户，而不是骗子指定的第三方帐户，骗子仍然无法得手。

本文资料来自珠海研发部阿虎同学。

显示全部楼层 · 发表于 2011-6-23 19:40:19

学习了！现在IM软件传播病毒已经很流行了

显示全部楼层 · 发表于 2011-6-23 19:47:17

还来
为什么要阻止文件传送？
文件传送属于下载保护？
我传个恶作剧程序也要被保护？

显示全部楼层 · 发表于 2011-6-23 20:09:27

不太明白3楼的意思，金山毒霸没有阻止过文件传送吧？
文件传送也是病毒进入电脑的渠道之一。
只要不是病毒木马行为的恶作剧是不会被拦截的。

显示全部楼层 · 发表于 2011-6-23 20:39:59

本帖最后由 ubuntu2011 于 2011-6-23 20:48 编辑

通过IM软件传播的病毒确实挺多的，经常见好友被盗号之后发送一些不正常的信息。自己也曾经被盗号，盗号者用我的QQ邮箱发布了带毒的群邮件

显示全部楼层 · 发表于 2011-6-23 20:54:31

正常，那里防护薄弱就从那里进攻嘛

显示全部楼层 · 发表于 2011-6-23 20:58:10

NT狼狼发表于 2011-6-23 20:09
不太明白3楼的意思，金山毒霸没有阻止过文件传送吧？
文件传送也是病毒进入电脑的渠道之一。
只要不是病毒 ...

我给别人传个文件玩玩都不行

传送文件怎么属于下载保护呢？我给别人传是下载

首次听说

显示全部楼层 · 发表于 2011-6-23 21:17:24

哇今天科普了

显示全部楼层 · 发表于 2011-6-23 21:25:43

阿虎童鞋，嗯嗯

显示全部楼层 · 发表于 2011-6-23 22:59:26

IM中毒的人活该

自作孽

[分享] 病毒传播渠道再变革：IM软件传播的比例上升

评分