计算机病毒安全威胁的七大特征
计算机病毒安全威胁的七个特征:
■历史悠久的防身技术
早在过去,文件型、开放型或宏型病毒就开始使用加密、压缩、自编码、变种引擎(McTation Engine或多态引擎)、改名感染等技术,以逃避杀毒软件的检测和追捕。目前流行的恶性程序仍在使用这些病毒自我防御技术。
此外,一些恶意程序还具有自检和杀毒软件的能力。他们会在电脑启动时卸载系统中的杀毒软件或防火墙软件。
然而,目前恶性程序的发展趋势似乎有所改变。过去的防身功能虽然还在继续使用,但已经不是关注的焦点了。
相反,这些恶意程序已经不在乎能否被杀毒软件或其他安全设备屏蔽,因为无论如何防范,用不了多久安全厂商就会很快拿出对策和解决方案。所以他们追求的重点就变成了“快、狠、准”,即在最短的时间内,以迅雷不及掩耳、秋风扫落叶的方式,造成一定的影响或达到一定的目的。正因为如此,很多恶意程序甚至设置了自毁时间。
■令人眼花缭乱的品种。
变种的祖先可以追溯到1997到98年间非常流行的多态/突变病毒。该病毒具有自我编码的能力,它的病毒代码对于每个被感染的文件都是不同的。基本上,成千上万的人应该被归类为多态病毒。
虽然病毒有着不可预测的外表,但它还是有瑕疵的,那就是每一个被改造的病毒代码在开始都有相同的程序,所以还是有迹可循的。为了解决这个问题,有一个变体引擎子程序。OBJ在互联网上供人下载和编写多态病毒。总之,由于变种引擎和病毒源代码的公开,在网络上击退了各种变种。
如今,恶性程序除了全球传播的“横向繁殖”外,通过不断的变异,已经“纵向繁殖”了几十代。更可怕的是,这些恶性程序结合不同的混合攻击技术,使得每一代变种都具有不同的“邪恶”特征和破坏力,或者每隔一代就添加新的“毒技”。
以前病毒大多是两三代之后就“结束”了。现在恶意程序传宗接代的能力越来越强,几十代,甚至突破30代大关。比如Bagle至今已经有37代变种了,真的很神奇。
从平均天数来看,从2002年6月的第一代(10)到2004年9月的第四代,更早的淘气熊病毒平均每176天就有新的变种推出。现在Bagle、MyDoom、NetSky、Korgo等蠕虫平均不到10天就推出新变种。其中最可怕的是Korgo蠕虫,它在短短三个多月的时间里接连产生了多达27代的变种,换句话说,不到三天就变异一次。
感觉好像这些恶意程序在生育率上互相竞争。其实Bagle,Netsky,MyDoom一直以来都是各不相同的,不仅仅是争夺变种数量,甚至是互相攻击(比如Bagle变种专门砍Netsky,Netsky也专门找MyDoom)。
■垃圾邮件的随机“片段”。
对于恶意程序来说,邮件似乎是增加他们技能的补药。为了达到最终感染和传播的目的,黑客大多会利用社交工程引诱接收者打开附件或链接,然后启动或下载攻击程序。此外,过去有许多病毒邮件,这导致了一种技术的发展,可以在不打开邮件和附件的情况下浏览中毒。
在信件传播方面,由于使用微软消息应用编程接口(MAPI)发送病毒邮件,很容易被杀毒软件拦截,所以大部分黑客会使用专属的SMTP发件服务器发送病毒邮件,绕过杀毒软件的拦截网络。
自从Melissa宏病毒开启了第一个恶意程序拿走电子邮件的案例之后,很多恶意程序,尤其是影响巨大的蠕虫病毒,几乎都把垃圾邮件作为作恶的工具,垃圾邮件问题开始被广泛关注。
索比格。f,史上利用垃圾邮件最彻底最成功的蠕虫,每隔几秒钟就自动向受害者电脑中的所有通讯录列表发送毒药,从而达到史上传播最快的宝座。难怪有人称之为史上最强大的群发邮件器。
■不可抗拒的诱惑-社会工程
社会工程学原本是一种起源于Phreak的诈骗方法,读者应该不会对这种方法太陌生,因为不久前,我相信很多人应该都接到过一些诈骗电话,比如谎称自己是警察,通知接听者自己的银行账户被盗,或者“我现在有你的儿子,请赶快给我拿两百万来”,等等。这些都是使用社会工程的明显例子。
基本上,社会工程是一种利用人的弱点,用威胁和利诱来骗取对方信任或服从某个动作的技术。对于大多数企业来说,技术问题很容易解决,但涉及人性的问题却相当难以防范。正因为如此,社会工程已经成为蠕虫和特洛伊木马等恶意程序常用的技术之一。
尤其是对于个人来说,每天令人头晕目眩的邮件确实让人防不胜防,网络上琳琅满目的MP3音乐、* * * *软件或者图文文件的诱惑更是难以抵挡,但这些东西正是黑客利用社会工程的最佳试验场。
■如果有孔,则钻孔。
过去,软件中的bug最多会导致软件或系统的稳定性或兼容性出现问题,但现在已经成为黑客攻击的主要目标。赛门铁克亚太区技术安全顾问林宇民表示,如今很多软件和平台都存在很多漏洞,软件的后一版本大部分都会继续使用前一版本的组件,因此漏洞也可能会扩散到不同的版本。这样就成了黑客和蠕虫的目标。因此,系统弱点和软件漏洞已经成为计算机安全的主要问题。
根据Gartner Group今年4月的分析报告,2003年25%的网络攻击来自已知漏洞。面对漏洞问题,唯一直接的解决办法就是下载厂商提供的补丁。对于企业来说,由于软件系统种类繁多、数量庞大,需要匹配漏洞和弱点管理工具进行固定的扫描、检测和修复操作。不过,赛门铁克的研究报告前面提到过。目前漏洞发布与相关蠕虫攻击的平均时间差仅为5.8天,机智蠕虫甚至创下了2天的惊人记录。未来随着蠕虫技术的不断突破,平均时间差只会越来越短。在未来,与黑客竞争攻击漏洞肯定是企业和信息安全厂商关注的焦点之一。对于个人来说,修补漏洞一直是不得不做的事情,但又极其麻烦。主要原因是操作系统最终会随着软件、游戏或硬件的安装和移除、文件的进出或其他不当操作而变慢甚至崩溃。换句话说,为了稳定系统,操作系统每隔一段时间就要重新充电。因此,给计算机充电也意味着给所有以前安装的补丁充电。如果用户在线打补丁,很难保证在漫长的打补丁过程中不被蠕虫入侵,不被植入后门。虽然通过下载的补丁打补丁比较安全,但是大量的打补丁操作还是挺累的。
虽然操作系统也有提供系统还原的功能,但是只要选择后期还原点,就可以减少打补丁操作的次数。但是用户如何确认哪个还原点是完全安全干净的呢?总之,对于个人来说,修补漏洞绝对是一件令人费解又无奈的事情。
另外,需要强调的是,用户千万不要以为因为麻烦或者运气,不修复旧漏洞就没关系,只要修复最新的漏洞就可以了。事实上,老漏洞是黑客的最爱。根据Gartner Group今年4月的分析报告,2003年25%的网络攻击来自已知漏洞。因此,系统或软件中的任何漏洞都必须被填补。
■只想让你无法忍受——DDoS
拒绝服务;DoS)已经成为黑客和蠕虫的主要攻击手段之一。通过DoS攻击,网站会被大量密集的数据包淹没,导致网站用户无法正常进入网站,享受应有的内容或服务。
如今的蠕虫病毒、特洛伊木马或BOT远程控制程序使用的是更大的分布式拒绝服务攻击(Distributed DoSDDoS)技术,形成对企业和网站更长时间、更大损失的“封锁”。
所谓DDoS,就是通过搜索、扫描漏洞、植入后门等方式,在网络上整合更多的攻击源,从而对主要目标发起更猛烈、更持久的服务封锁。这样做的好处是可以组合更多的攻击能量,同时真正发指令的黑客也不容易被抓到。BOT远程控制程序是通过网络扫描感染更多的BOT,形成庞大的僵尸网络大军,然后对主要目标发起猛烈的DDoS攻击。历史上著名的DDoS攻击,比如2001的Code Red,就是针对微软IIS服务器发起DDoS攻击的蠕虫病毒。2003年MSBlast。利用RPC DCOM缓冲区溢出的漏洞攻击了Microsoft Windows Update网站。2004年6月底5438+10月,雅虎、谷歌等搜索引擎网站更是遭到MyDoom蠕虫的DDoS攻击,损失相当大。
陆海空联合攻击——混合攻击
自2006 54 38+0 Code Red率先采用混合攻击技术以来,混合攻击已经成为恶意程序开发中的最大特点和常用方法。通过不同攻击技术的组合,恶意程序可以发起传播速度更快、渠道更多样化、破坏力更强的奇袭。目前“纯种”的恶意程序越来越少,甚至大部分都会在下一代变种中不断加入新的攻击技术和特性。
就恶意程序的特点而言,病毒具有其他恶意程序不具备的传染性,而蠕虫则提供了无与伦比的主动传播能力。至于遥控能力最强的特洛伊马。混合攻击是新一代的恶意程序技术,它集成了病毒、蠕虫、木马、间谍软件或网络钓鱼的特征,以及扫描网络漏洞和系统漏洞。
混合攻击计划可能通过不同的媒体和渠道,实施陆海空联合多点攻击。换句话说,它可能一方面通过垃圾邮件传播,一方面在互联网上扫描并寄生在易受攻击的主机上,另一方面在互联网上“装可爱”成MP3、游戏或软件供人下载,或者在邻近的受感染网络上搜索共享目录文件夹,或者提高访客账号的权限级别。由于攻击来自各个方向的不同管道,传统的单一杀毒软件无法有效应对。目前信息安全厂商提倡多层次的主动防御方案作为应对。