与先前发布的半年以及年度统计数据报告不同的是,此份报告完全参照来自卡巴斯基安全网络(KSN)所收集到和处理的数据来完成。KSN是卡巴斯基实验室2009版个人产品线中一项主要创新功能。目前,公司正在准备将这项技术融入到企业版产品中去。 KSN为卡巴斯基实验室的专家们提供迅速、实时的监测情况,能有效地检测出没有数字签名的或者在启发式分析中尚未被确认的新恶意程序。还能使我们的分析师确认互联网上恶意程序的来源,从而避免其他用户去访问这些资源。而且,KSN能够确保对新威胁做出更快的反应:现在,一旦某个程序被确认为恶意程序后,我们只需几秒钟就可以阻止该恶意程序在KSN用户的计算机上运行。这项功能是独立运行的,不同于标准的病毒数据库更新。
互联网上的恶意程序(基于网页的攻击) 现在,利用电子邮件作为传播和感染恶意程序的途径,已经远远落后于通过网络的感染方式。网络罪犯利用web网络资源对受害者的设备进行初步感染,然后下载各种新式恶意程序变种。网络罪犯利用各种隐蔽的服务器提供商,例如上面提到的McColo和Atrivo以及声名狼籍的RBN,以及一些遭到入侵的合法网站。
大多数基于网页的攻击通常采用路过式(drive-by)下载方式,在用户浏览网页时,可以在用户不知情的情况下感染计算机。许多被入侵的网站会偷偷将用户重定向到其他网络资源,这些网络资源中含有恶意代码,可以感染用户的计算机,而且通常是利用浏览器或者浏览器插件漏洞(如ActiveX controls, Real Playe等)进行感染。
互联网上排名前20位的恶意程序 2008年,卡巴斯基安全网络成功拦截针对用户的23,680,646次攻击。在所有发起攻击的恶意程序中,我们筛选出100种最为活跃的恶意程序,仅它们就造成了3 513 355 次攻击。
这100种恶意程序中的任何一种被监测到的次数都超过7000次。而其中排名前20位的恶意程序攻击数更是占到这100种恶意程序的59%以上,这些也是2008年互联网上传播最广的恶意程序。
| 排名 | 恶意程序名称 | 造成的攻击数量 | 占排名前100的恶意程序造成攻击数的比率 | | 1 | Heur.Trojan.Generic | 248,857 | 7.08% | | 2 | Trojan-Downloader.Win32.Small.aacq | 228,539 | 6.50% | | 3 | Trojan-Clicker.HTML.IFrame.wq | 177,247 | 5.04% | | 4 | Exploit.JS.RealPlr.nn | 157,232 | 4.48% | | 5 | Trojan-Downloader.SWF.Small.ev | 135,035 | 3.84% | | 6 | Trojan-Clicker.HTML.IFrame.yo | 121,693 | 3.46% | | 7 | Exploit.Win32.Agent.cu | 120,079 | 3.42% | | 8 | Trojan-Downloader.HTML.IFrame.wf | 107,093 | 3.05% | | 9 | Exploit.SWF.Downloader.hn | 85,536 | 2.43% | | 10 | Trojan-Downloader.Win32.Small.abst | 78,014 | 2.22% | | 11 | Trojan-Downloader.JS.Agent.dau | 73,777 | 2.10% | | 12 | Exploit.Win32.PowerPlay.a | 70,749 | 2.01% | | 13 | Exploit.JS.RealPlr.nl | 70,082 | 1.99% | | 14 | Exploit.SWF.Downloader.ld | 69,804 | 1.99% | | 15 | Trojan-Downloader.JS.IstBar.cx | 68,078 | 1.94% | | 16 | Trojan-GameThief.Win32.Magania.gen | 66,136 | 1.88% | | 17 | Trojan-Downloader.JS.Iframe.yv | 62,334 | 1.77% | | 18 | Trojan.HTML.Agent.ai | 60,461 | 1.72% | | 19 | Trojan-Downloader.JS.Agent.czf | 41,995 | 1.20% | | 20 | Exploit.JS.Agent.yq | 40,465 | 1.15% |
排名前20位的恶意程序中有10种是以利用JavaScript 编写成HTML标签的形式出现。这又恰恰表明在计算机上安装一个具有网页监控并且可以扫描可执行脚本的反病毒软件是非常必要的。很多浏览器的插件都可以有效阻止此类威胁的发生,这些插件可以阻止网页脚本在用户不知情的情况下自动运行。例如Firefox的NoScript工具。我们强烈推荐用户使用这些工具增强反病毒保护。因为这些工具不仅可以减小计算机受感染的风险,还能够阻止其他类型的网络攻击,如利用XSS漏洞的攻击等。
网络资源被用于加挂恶意程序排名前20位的国家 如上所述,网络罪犯同时利用各种隐蔽的服务器提供商和被入侵的合法网站传播恶意程序。2008年,在我们截获的所有攻击中,有23,508,073次攻击源自全球126个国家的互联网资源(我们也尝试确定其他172,573次攻击源的地理位置,但尚未成功)。这充分表明网络犯罪已经确实成为一个全球现象,因为现在几乎世界上任何一个国家的互联网资源都加挂有恶意程序。
但这些攻击中,有99%被确认为是来自22个国家的网络资源。我们没有根据位于这些国家的互联网资源总数详细计算出“感染因素”。不过根据下列数据,任何人都可以很容易地为这些国家排名并计算出受到感染最为严重的资源:
| 排名 | 国家 | 攻击数量 | 占总攻击数量的比率 | | 1 | 中国 | 18,568,923 | 78.990% | | 2 | 美国 | 1,615,247 | 6.871% | | 3 | 荷兰 | 762,506 | 3.244% | | 4 | 德国 | 446,476 | 1.899% | | 5 | 俄罗斯联邦 | 420,233 | 1.788% | | 6 | 拉脱维亚 | 369,858 | 1.573% | | 7 | 英国 | 272,905 | 1.161% | | 8 | 乌克兰 | 232,642 | 0.990% | | 9 | 加拿大 | 141,012 | 0.600% | | 10 | 以色列 | 116,13 | 0.494% | | 11 | 立陶宛 | 110,38 | 0.470% | | 12 | 韩国 | 46,167 | 0.196% | | 13 | 爱沙尼亚 | 41,623 | 0.177% | | 14 | 瑞典 | 40,079 | 0.170% | | 15 | 法国 | 31,257 | 0.133% | | 16 | 意大利 | 29,253 | 0.124% | | 17 | 巴西 | 25,637 | 0.109% | | 18 | 菲律宾 | 19,92 | 0.085% | | 19 | 日本 | 16,212 | 0.069% |
一些小国家,如爱沙尼亚、拉脱维亚以及立陶宛能够进入前20名,是因为这些国家的网络犯罪分子同俄罗斯和乌克兰的犯罪分子有亲密的同僚关系。波罗的海三国仍然是滋生网络犯罪活动的热土。以前,俄语国家的网络罪犯经常利用波罗的海银行对银行卡窃取以及其他计算机犯罪获得的利益进行洗钱。2008年底,关于爱沙尼亚的注册商EstDomains为很多网络罪犯提供服务的事件被广泛揭露。
此类事件的发生大大出乎我们的意料,因为以往一直认为爱沙尼亚是欧洲打击网络犯罪的先锋,具有丰富的反网络攻击能力。
2008年遭受攻击次数最多20个国家 还有一项数据非常重要,即哪个国家和地区的用户遭受的网络攻击最为严重。
2008年,全球215个国家的计算机用户们共遭受23,680,646次感染威胁,可以毫不夸张的说,这个数据就是全球的数据。世界上任何一个国家的用户,甚至包括密克罗尼西亚、基里巴斯、开曼群岛这样很小且偏远的国家也分别遭受到15次、2次和13次感染威胁。而我们对这些攻击成功与否并不知情。
下列20个国家的用户所遭受的攻击占全球总攻击数量的89%:
| 排名 | 国家 | 攻击数量 | 占总攻击数的比率 | | 1 | 中国 | 12,708,285 | 53.665% | | 2 | 埃及 | 3,615,355 | 15.267% | | 3 | 土耳其 | 709,499 | 2.996% | | 4 | 印度 | 479,429 | 2.025% | | 5 | 美国 | 416,437 | 1.759% | | 6 | 越南 | 346,602 | 1.464% | | 7 | 俄罗斯 | 335,656 | 1.417% | | 8 | 墨西哥 | 308,399 | 1.302% | | 9 | 沙特阿拉伯 | 287,3 | 1.213% | | 10 | 德国 | 253,097 | 1.069% | | 11 | 摩洛哥 | 230,199 | 0.972% | | 12 | 泰国 | 204,417 | 0.863% | | 13 | 印度尼西亚 | 190,607 | 0.805% | | 14 | 英国 | 188,908 | 0.798% | | 15 | 法国 | 182,975 | 0.773% | | 16 | 叙利亚 | 134,601 | 0.568% | | 17 | 巴西 | 123,736 | 0.523% | | 18 | 意大利 | 121,508 | 0.513% | | 19 | 以色列 | 118,664 | 0.501% |
其他一些国家,如埃及、土耳其和印度遭到的大量攻击也并不令人感到惊讶。首先,这些国家正处于互联网高速发展时期,用户数量在急剧增长。其次,这些国家的用户普遍技术水平不高,这就使得他们很容易落入网络罪犯的圈套,成为网络犯罪的受害者。这些国家的计算机被感染后,通常是用来构建僵尸网络,用于发布垃圾电子邮件、进行网络钓鱼攻击或者传播恶意程序。
排名前20位的国家还包括美国、俄罗斯、德国、法国、巴西、意大利和以色列。在这些国家,网络犯罪分子的袭击目标通常包括在线支付系统、银行账户以及其他各种网络资源和个人信息。
恶意URL链接的存活时间 通过分析超过26,000,000次有记录的攻击,我们发现一个有趣的数据:那就是恶意URL链接的存活时间。以往由电子邮件造成的病毒爆发通常持续数月甚至数年。但现在由于主要的传播方式已经变为通过web网页传播,它的传播和爆发周期已经缩短到几天甚至几个小时。这些攻击持续的时间很短,并不仅仅是因为被攻陷网站的拥有着很快清除了恶意程序,还由于网络罪犯会不停变换所用的资源。这样做的原因是避免该恶意URL链接被杀毒软件或者浏览器的黑名单屏蔽,而且可以防止恶意程序的新变种被探测到。2008年,恶意URL链接的平均存活时间为4小时。
针对端口的攻击 防火墙是现代反病毒方案中的不可或缺的部分。防火墙能够拦截来自外部的各种不通过浏览器入侵系统的攻击。同时也能够防止计算机用户的数据被窃取。
卡巴斯基全功能安全软件内置的防火墙能够扫描进入计算机的数据包并进行相应拦截。因为有些数据包可以利用操作系统的网络服务漏洞感染未打补丁的系统,或者让网络罪犯长驱直入。2008年,卡巴斯基全功能安全软件2009的实时监测系统成功拦截了30,234,287次网络攻击。
| 排名 | 攻击类型 | 数量 | 占总攻击数的比例 | | 1 | DoS.Generic.SYNFlood | 20,578,951 | 68.065 | | 2 | Intrusion.Win.MSSQL.worm.Helkern | 6,723,822 | 22.239 | | 3 | Intrusion.Win.DCOM.exploit | 783,442 | 2.591 | | 4 | Intrusion.Win.NETAPI.buffer-overflow.exploit | 746,421 | 2.469 | | 5 | Scan.Generic.UDP | 657,633 | 2.175 | | 6 | Intrusion.Win.LSASS.exploit | 267258 | 0.884 | | 7 | Intrusion.Win.LSASS.ASN1-kill-bill.exploit | 194643 | 0.644 | | 8 | Intrusion.Generic.TCP.Flags.Bad.Combine.attack | 172636 | 0.571 | | 9 | DoS.Generic.ICMPFlood | 38116 | 0.126 | | 10 | Scan.Generic.TCP | 38,058 | 0.126 | | 11 | Intrusion.Win.HTTPD.GET.buffer-overflow.exploit | 13,292 | 0.044 | | 12 | Intrusion.Win.Messenger.exploit | 5505 | 0.018 | | 13 | DoS.Win.IGMP.Host-Membership-Query.exploit | 2566 | 0.008 | | 14 | Intrusion.Win.EasyAddressWebServer.format-string.exploit | 1320 | 0.004 | | 15 | Intrusion.Win.PnP.exploit | 1272 | 0.004 | | 16 | Intrusion.Win.MSFP2000SE.exploit | 1131 | 0.004 | | 17 | Intrusion.Win.VUPlayer.M3U.buffer-overflow.exploit | 1073 | 0.004 | | 18 | DoS.Win.ICMP.BadCheckSum | 986 | 0.003 | | 19 | Intrusion.Unix.Fenc.buffer-overflow.exploit | 852 | 0.003 | | 20 | Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit | 821 | 0.003 |
排名第三的是一些利用RPC-DCOM (MS03-026)漏洞入侵系统的蠕虫。该漏洞曾经导致了2003年8月的全球lovesan 蠕虫大爆发。
排名第四的恶意程序与2008年最危险的漏洞——MS08-063有关。在发现互联网上有几个恶意程序利用NetAPI服务的漏洞后,安全专家们很快指出了该漏洞的存在。比如Gimmiv网络蠕虫就是这些恶意程序中的一种,它曾经引起上千次计算机感染。此漏洞信息泄露后,很快互联网上出现了几十个利用这个漏洞攻击计算机的恶意程序,成为2008年后期最具威胁性的恶意程序。
排名第六和第七的恶意程序利用了MS04-011漏洞。该类恶意程序中最具代表性的有Sasser蠕虫,它是2004年4月期间大规模病毒爆发的罪魁祸首。
上述数据表明,尽管这些网络蠕虫造成的病毒爆发是很久以前的事了,但这些蠕虫还活跃在互联网上,寻找着新的受害目标。对于那些没有防火墙并且旧的未打系统补丁的系统,很容易就被这些恶意程序感染。
计算机本地感染 统计数据中还有一项很重要的数据,即在用户计算机上监测到的本地感染数量。这些感染方式不是通过web网页、电子邮件或者网络端口入侵计算机。我们的反病毒解决方案从KSN(卡巴斯基安全网络)中的计算机上监测到超过六百万次(6,394,359)病毒入侵。在这些攻击事件中,我们一共监测到189,785种不同种类型的恶意程序和未知不良程序。排名前100位的恶意程序的非法入侵有941,648次,占到所有非法入侵总数量的14.72%。
T2008年排名前20位最常见的计算机本地感染型恶意程序
| 排名 | 监测到的恶意程序名称 | 监测到的感染该类恶意程序的计算机数量 | | 1 | Virus.Win32.Sality.aa | 29,804 | | 2 | Packed.Win32.Krap.b | 27,575 | | 3 | Trojan-Downloader.Win32.Small.acmn | 25,235 | | 4 | Worm.Win32.AutoRun.dui | 22,127 | | 5 | Trojan-Downloader.Win32.VB.eql | 21,615 | | 6 | Packed.Win32.Black.a | 19,586 | | 7 | Trojan.Win32.Agent.abt | 17,832 | | 8 | Virus.Win32.Alman.b | 16,799 | | 9 | Trojan-Downloader.JS.IstBar.cx | 16,264 | | 10 | Trojan.Win32.Obfuscated.gen | 15,795 | | 11 | Worm.VBS.Autorun.r | 15,24 | | 12 | Trojan-Downloader.WMA.Wimad.n | 15,152 | | 13 | Trojan.Win32.Agent.tfc | 15,087 | | 14 | not-a-virus:AdWare.Win32.BHO.ca | 14,878 | | 15 | Trojan-Downloader.WMA.GetCodec.c | 14,638 | | 16 | Virus.Win32.VB.bu | 14,452 | | 17 | Trojan-Downloader.HTML.IFrame.sz | 14,247 | | 18 | not-a-virus:AdWare.Win32.Agent.cp | 14,001 | | 19 | Email-Worm.Win32.Brontok.q | 13,142 | | 20 | Worm.Win32.AutoRun.eee | 12,386 |
2008年,在用户计算机上检测到的Sality.aa病毒数量远比其他任何恶意程序都多。六年来,这是第一次一个经典文件病毒获得“年度最具威胁病毒”称号,而不是被电子邮件或者网络蠕虫摘取此称号。Sality.aa病毒确实在2008年造成了全球大范围的感染,我们从俄罗斯、欧洲、美洲和亚洲都收到过相关报道。
正如我们曾经提到过很多次,近几年一个重要的恶意程序发展趋势是利用可移动存储设备如USB闪存等作为传播媒介。这是由于可移动存储设备的快速发展引起的。Windows系统的自动运行autorun文件这个功能很容易就激活USB存储设备上的恶意程序。这种感染方式可以追溯到15年前,当时经典的引导扇区病毒是利用软盘启动激活病毒,其感染原理相同。
Sality.aa病毒正是利用这种感染方式。它会复制自身到闪存储存设备并创建一个autorun.inf文件以实现自启动。下面是一个典型的autorun文件例子:
[AutoRun]
;sgEFA
;uloN hbXYcKOjfOmfO
sHelL\oPen\DEfAult=1
;ajdsvAswgioTfv
sheLl\open\COmmAnD= qwail.cmd
;
sheLl\exPLoRe\commANd= qwail.cmd
;LtCTlKvhfbrDtfPpmnkawlLHemPefllTI aDekTmqqhj
opEn =qwail.cmd
;sAmqcWVlGkgqe
shElL\AUtOplay\commANd=qwail.cmd
;JduAKbkYnfWejLP cNLU PyAdJo TkGRDlpvoMvJPqvD kptHbu
其中绿色标出的为可执行命令,其他命令行是病毒作者故意加入的以避免反病毒软件的检测。
在排名前20位的此类恶意程序中,还有其他五种使用了类似的感染方式,分别是:Worm.Win32.AutoRun.dui, Virus.Win32.Alman.b, Worm.VBS.Autorun.r, Email-Worm.Win32.Brontok.q and Worm.Win32.AutoRun.eee.。
被上述六种恶意程序感染的计算机在上表中占到前20位恶意程序感染总数的30.77%,同时占到排名前100位恶意程序感染计算机总数的18%。
如今,这种流行的病毒感染技术被许多病毒作者所采用,不仅如此,他们通常会在病毒中植入其他恶意功能,如文件感染、数据盗窃、僵尸网络创建等功能。通过可移动存储设备进行传播也也是一些木马家族的典型特征,如Trojan-GameThief。
在这些局域传播恶意程序中,其中有六种为木马下载器(其中两种登上了排名前五位的榜单)。这说明病毒作者倾向于首先使用木马下载器感染计算机,而不是用主恶意程序。这样对于受感染计算机的利用,就有很大的灵活性,可以在同一台被感染的计算机上安装其他的木马或者其他网络犯罪集团编写的恶意程序。
我们稍微偏离一下主题,重温一下古希腊的特洛伊木马传说。当时希腊人在围攻特洛伊城,特洛伊木马是希腊人留给特洛伊人的一件礼物。特洛伊人发现被遗弃在城墙外的巨型木马后,就将木马拖入城中。当夜幕降临,特洛伊人都入睡后,藏在木马里面的希腊勇士们从木马里出来,打开了城门,让希腊军队长驱直入,直接导致了特洛伊城的陷落。现在,回到恶意程序领域,木马下载器是目前唯一能够在被感染计算机中充当特洛伊木马角色的恶意程序。
漏洞 对于用户来说,软件漏洞是最危险的一种威胁。软件漏洞可以让网络犯罪分子避开计算机安全保护系统,直接攻击计算机。一般来说,对于一个新发现的、尚无补丁修复的漏洞而言,就是那些所谓“零日攻击”的目标。
2008年,网络犯罪份子多次利用最新的漏洞进行零日攻击,主要的攻击目标是微软的Office办公软件漏洞。
2008年9月,身份不明的中国黑客开始积极探测微软Windows系统中的.NETAPI服务漏洞。该漏洞可通过网络攻击感染计算机。这个漏洞后来被命名为MS08-063漏洞。在端口攻击排行榜上,利用该漏洞进行的攻击排第四位(请参考“针对端口的攻击”一章)。
然而,利用浏览器和浏览器插件漏洞进行攻击仍然是网络犯罪分子最热衷使用的攻击方式。
卡巴斯基实验室是最早在其个人产品中加入漏洞扫描功能的安全厂商。该举措是迈向创建一个完善的补丁管理系统的第一步。不仅反病毒行业,操作系统和应用软件开发商也迫切需要创建一个这样的管理系统。漏洞扫描功能可以检测到计算机上应用程序或者文件的漏洞,并做出相应提示,指导用户采取措施消除这些隐患。尤其值得注意的是,尽管有自身的更新系统,恶意程序仍然能发现微软Windows操作系统的漏洞,还可以发现其他第三方应用软件存在的漏洞。我们使用2008年的漏洞分析系统获得的数据分析一下排名前100位的比较普遍的漏洞。在安装卡巴斯基实验室反病毒产品的计算机上,我们共发现130,518,320个系统和文件漏洞。在这100个漏洞中,其中有10种最常见漏洞影响到多达125,565,568个文件和应用程序,占总数的96%。
| 排名 | 漏洞ID | 漏洞名称 | 被发现漏洞的文件和程序数量 | 危险评级 | 影响 | 漏洞威胁方式 | 发布日期 | | 1 | 29293 | Apple QuickTime Multiple Vulnerabilities | 70849849 | 高危 | 系统访问 | 远程 | 10.06.2008 | | 2 | 31821 | Apple QuickTime Multiple Vulnerabilities | 34655311 | 高危 | 系统访问 | 远程 | 10.09.2008 | | 3 | 31010 | Sun Java JDK / JRE Multiple Vulnerabilities | 2374038 | 高危 | 系统访问,曝露系统信息、敏感信息以及并可绕过DoS安全 | 远程 | 07.09.2008 | | 4 | 31453 | Microsoft Office PowerPoint Multiple Vulnerabilities | 2161690 | 高危 | 系统访问 | 远程 | 12.08.2008 | | 5 | 30975 | Microsoft Word Smart Tag Invalid Length Processing Vulnerability | 1974194 | 极度危险 | 系统访问 | 远程 | 09.07.2008 | | 6 | 28083 | Adobe Flash Player Multiple Vulnerabilities | 1815437 | 高危 | 绕过安全系统,跨网站指令码,系统访问 | 远程 | 09.04.2008 | | 7 | 31454 | Microsoft Office Excel Multiple Vulnerabilities | 1681169 | 高危 | 曝露敏感信息,系统访问 | 远程 | 12.08.2008 | | 8 | 32270 | Adobe Flash Player Multiple Security Issues and Vulnerabilities | 1260422 | 中度危险 | 绕过安全系统,跨网站指令码,数据操作,曝露敏感信息 | 远程 | 16.10.2008 | | 9 | 29321 | Microsoft Office Two Code Execution Vulnerabilities | 1155330 | 高危 | 系统访问 | 远程 | 11.03.2008 | | 10 | 29320 | Microsoft Outlook "mailto:" URI Handling Vulnerability | 1102730 | 高危 | 系统访问 | 远程 | 11.03.2008 | | 11 | 29650 | Apple QuickTime Multiple Vulnerabilities | 1078349 | 高危 | 曝露敏感信息,系统访问,DoS | 远程 | 03.04.2008 | | 12 | 23655 | Microsoft XML Core Services Multiple Vulnerabilities | 800058 | 高危 | 跨网站指令码,DoS,系统访问 | 远程 | 09.01.2007 | | 13 | 30150 | Microsoft Publisher Object Handler Validation Vulnerability | 772520 | 高危 | 系统访问 | 远程 | 13.05.2008 | | 14 | 26027 | Adobe Flash Player Multiple Vulnerabilities | 765734 | 高危 | 曝露敏感信息,系统访问 | 远程 | 11.07.2007 | | 15 | 27620 | RealNetworks RealPlayer Multiple Vulnerabilities | 727995 | 高危 | 曝露敏感信息,系统访问 | 远程 | 25.07.2008 | | 16 | 32211 | Microsoft Excel Multiple Vulnerabilities | 606341 | 高危 | 系统访问 | 远程 | 14.10.2008 | | 17 | 30143 | Microsoft Word Two Code Execution Vulnerabilities | 559677 | 高危 | 系统访问 | 远程 | 13.05.2008 | | 18 | 25952 | ACDSee Products Image and Archive Plug-ins Buffer Overflows | 427021 | 高危 | 系统访问 | 远程 | 02.11.2007 | | 19 | 31744 | Microsoft Office OneNote URI Handling Vulnerability | 419374 | 高危 | 系统访问 | 远程 | 09.09.2008 | | 20 | 31371 | Winamp "NowPlaying" Unspecified Vulnerability | 378329 | 中度危险 | 未知 | 远程 | 05.08.2008 |
主要厂商产品的漏洞情况
Adobe公司的Flash播放器,是漏洞数量排名第三的产品。也是2008年病毒编写者探测漏洞最积极的产品。该产品中的漏洞给了病毒编写者提供了众多良好的机会,很快成千上万的相关恶意程序出现了,所有这些恶意程序都伪装成SWF动画flash文件,用户只要在互联网上浏览这些文件,就会遭到攻击。SWF木马已经成为反病毒公司面临的一个难题,甚至需要在它们的产品中加入处理SWF文件的步骤,而在以前是根本没有必要去这么做的。
另一个流行的媒体播放器Real Player也面临相似的情况。自从它的漏洞被发现以后,网络犯罪分子已经十分活跃地在利用这些漏洞了。我们的网络攻击统计数据也反映出该情况,排名前20位的网络攻击恶意程序中已经包含此类程序,例如Exploit.JS.RealPlr。
尽管Adobe公司的其它产品的漏洞,像Acrobat Reader,并未进入排名前20的恶意程序榜单,但大量的PDF木马已经在利用这些漏洞大肆传播,因此,反病毒公司不得不对此采取一些应急措施。
我们认为2008年最危险的应用程序为:
- Adobe Flash Player
- Real Player
- Adobe Acrobat Reader
- Microsoft Office
可以看出,最常被检测到的二十大漏洞都是“远程”类型,这意味着网络犯罪分子甚至都不需要直接接触到这些计算机,就可以远程利用这些漏洞。
在系统遭受攻击时,不同的漏洞会造成不同的后果。最危险的是“系统访问”类型所造成的影响,这给了网络犯罪分子几乎全部的系统访问权限。
如下的图表根据影响来显示排名前二十的常见漏洞:
漏洞造成的各类影响
平台和操作系统 如果操作系统或应用程序运行的程序不是它们系统本身的一部分,那么它们可能会遭受到恶意程序的攻击。该准则符合所有的操作系统、许多的办公应用程序、图片编辑器、计算机辅助设计系统和其它嵌入了脚本语言的软件。
在2008年,卡巴斯基实验室在46种不同的平台和操作系统上检测到恶意程序。这些程序中大多数都是为Win32环境编写的,并且都为可执行的二进制文件。恶意软件增长率最高平台出现在:Win32, SWF, MSIL, NSIS, MSOffice, WMA。
WMA是一种经常被用来执行驱动下载攻击的平台。木马下载器的Wimad家族则用来探测视窗媒体播放器(Windows Media Player)的漏洞,它是二十个最常感染本地计算机的威胁之一。一些针对MSIL, NSIS and SWF平台的恶意程序需要特别关注。我们很久以前就预测过MSIL恶意软件的增长:由于微软不断地开发该编程环境,使得它在程序员之间也日趋流行,许多教育机构的MSIL教学、Windows最优化和Windows Mobile程序的编写都使用了该平台。
病毒作者们已经把NSIS作为重点研究对象,因为它是一个带有强大脚本语言的安装程序。网络罪犯们利用它来编写了一系列的Trojan Dropper程序。病毒作者使用合法的安装程序来传播病毒,可能会成为2009年最严重的问题之一。并不是所有的反病毒产品都能对这样的文件进行脱壳。此外,这种文件通常都非常大,这使模拟环境变得更加困难。
SWF木马是今年我们最不愿意看到的一个意外。这些利用Macromedia Flash Player漏洞的木马在20大基于Web攻击木马排行中占据一席之地。相关的漏洞在用户计算机20大漏洞排名上也有亮相(分别为第6,8和14位)。SWF木马和利用PDF漏洞的恶意程序,是2008年最为棘手的恶意软件问题:如果不把少量的 proof-of-concept PDF病毒算在内,08年以前还没有出现过针对这些格式的恶意程序,并且没有人意识到它们可能会作为一种威胁存在。这也是为什么一些反病毒软件制造商无法对这样的攻击做出快速的反应。SWF 漏洞使病毒编写者产生了另外的想法:他们利用一些宣称有大量的视频文件的假冒网站,当访问者来访问时会被告知他们缺少一个必要的编码解码器,或者告知他们需要更新编码解码器(由于之前的那个存在有漏洞)。然而,木马就在这些解码器下载的链接后面蓄势待发。
尽管Linux和MacOS系统越来越流行,但是针对这些系统的恶意程序的数量几乎没有增加。这很大程度上是因为作为当前全球病毒编写中心的中国,这些操作系统的流行度还远不如欧美国家。另外,网络游戏已经成为网络罪犯主要的攻击目标之一,而相比Windows平台来说,网络游戏很少出现在其它的平台上。然而,我们预计游戏开发商会对其他操作系统表现出更大的兴趣,尤其是移动设备相关的操作系统,会涌现出针对这些操作系统而进行的游戏客户端的开发。因此,新的恶意软件也会不可避免的出现。 |
[复制链接]
发表于 2009-5-1 10:04:38
发表于 2009-5-1 11:46:03
楼主
