现在我们来分析一下我们在过去一年中看见的这些威胁和它们的发展趋势。目前我们知道互联网中有很多计算机的病毒威胁,现在在互联网当中如果一台计算机不使用
防火墙、没有使用反病毒软件的话,它就好像一个在大街上没有穿衣服的人。大家从这张图片当中可以看到以前的程序和现在恶意程序威胁的对比。我们可以看到目前的数据,我们已经证实了下面的一些威胁是在未来的情况中可能会变得非常严峻的,待会儿我们也会讨论到这个问题。比如说路过式下载的技术是目前恶意软件编写者比较常用的技术,我们看看它是怎么工作的,一般情况下这些恶意程序的编写者会首先找到要感染的一些网站,结果用户在根本不需要做什么或者点击什么的情况下,都可能会被这个恶意程序感染。比如说有的时候你会访问一个你认为很安全的网站,比如说一些公共型的网站,也许你并没有在过去访问过上面的资源,但其实现在它已经遭到了感染。感染这样的网站,攻击者仅需要做的是在这个界面上加一串相关的代码,结果就是这个网页并没有从表面上有什么更多的改动,但是它背后的代码已经不是由你的浏览器执行了,是在一个隐藏的窗口上,通常要通过隐性的Iframe架构,用户的信息就会通过这样一个网站发送给被攻击者,通常是导致重新链接导向。通过用户使用软件中的漏洞,他针对计算机的恶意软件就会被自动安装。在这个事例当中我们可以看到恶意软件编写者比较喜欢使用的一系列程序,他们喜欢在这些程序当中寻找漏洞。大家可以看到,比如像Flash SWF的软件,还有一些中文的软件也是受到他们欢迎的,结果你的电脑肯定无疑就会遭到感染了。
在这个例子当中主要是一种木马的程序,这种技术在今天受到非常广泛的欢迎,这个攻击者的目的主要是让用户点击受感染的网站,从而引发出很多方法来促使用户上当受骗。今天这个恶意程序主要是以牟取暴利的目的来编写的,包括一些漏洞探测的程序,结果像这样的感染就会导致用户的计算机被锁定或者被恶意程序编写者加密,导致用户被恶意攻击者恐吓或者威胁他付一定的钱,这样的话才能够移出他计算机当中的恶意程序,这也就是为什么今天这些恶意程序能够得到蓬勃发展的主要原因。攻击者会去恐吓用户,比如说给他们一个恐吓的说明或者声明,告诉用户的电脑已经被感染,需要购买或者安装反病毒软件才能够解决这个问题,而且告诉用户目前这个反恶意程序是不能马上给他的,必须要花一定的钱才能够得到,这样就是我们所谓一些假冒的反病毒恶意程序的传播,而且这种情况也是比较严重的。
还有一种比较独特的方法就是,让用户通过短信的方式来支付一定的费用,这个在俄罗斯是非常普遍的方式,可能在中国也有这样的情况。也还有很多可以让用户遭到攻击的方式,而且去控制这样的攻击也是有一定困难的,因为这些供给者他的想象力也是非常丰富的。还有一种就是在计算机安全中由人为因素而导致的安全事件也是比比皆是,一些攻击者会利用现在社交网络的流行去提供一些恶意程序传播的方式,而且这个社交网络也是为他们提供了一种新的机会。他们使用这个社交网络的主要原因是,我们大家都知道,现在社交网络非常受欢迎,而且通常如果你有一个社交网站帐号的话,从这个帐号上面得到的信息还有交友的列表通常情况下都是非常信任的,但是如果你接收到一些看似是朋友发过来的邮件,你会误认为那是你的熟人,你会点击这个邮件当中的一些链接,它就会把你指向到一些受感染的站点。不止是像Facebook,还有很多知名的社交网站都会被他们利用。这些通过社交网站感染用户的例子不止是在中国,在美国和欧洲社交网络也是相当受到欢迎的。
当然说到当今的一些恶意软件情况,就不得不提到僵尸网络。现在大部分的恶意软件有一种传播的方法,就是通过僵尸网络,当然如果要谈僵尸网络的话,可以是成为一个很长的话题,可以单独拿出来说。我们的年度报告当中如果要详述僵尸网络也是不太可能的,但我们也提到了一些僵尸网络最严重的情况,还有对这个僵尸网络规模的预计。现在它们是否具有足够大的规模并不重要,关键是要看他们传播的程序。也许Kido并不是导致僵尸网络形成的最大原因,但是Kido受到了更多的关注,比如我们一说到Kido,它现在已经感染了全世界数百万的计算机,而且这个蠕虫还侵入了一些受害者的设备,他们有很多的方式来完成这个过程,比如说通过强制破解网络的密码,使用USB或者通过微软的MS08067漏洞,每个受感染的机器就马上成为了僵尸网络的一部分。要打击这个僵尸网络的话,事实上是非常困难的。因为事实上Kido在执行的时候携带了一些最为复杂的病毒结构,这些病毒都拥有最新的一些技术,比如说一个蠕虫的变种,它可以自身升级自己,通过500种不同的域名来完成这个活动,这些域名的地址都是随机挑选的,他们可以从五万种地址当中挑选想要的域名。还有现在P2P式的链接,也是他们可以用升级的通道。Kido也能够阻止一些安全解决方案的执行或者更新,或者直接导致这些安全服务的软件或者程序不能使用,并能够阻止他们访问反病毒厂商的站点。Kido的创建者在2009年3月的时候比较沉寂,但是我们估计在那个时候,他们已经设法在全世界范围感染到了500万台的计算机。尽管Kido并不通过邮件传播,也不会主导Dos的攻击,但是研究人员还是看到了这样一些情况,比如说在4月1日,Kido一种新的版本开始传播,它主要是用于下载一些额外的模块,在4月8日到9日之间有一个指令,通过受感染的设备传播,然后让这个恶意程序通过P2P的方式来进行更新。除了Kido这个自我更新以外,受害设备也会下载其他两个额外的程序,比如说电子邮件的蠕虫变种,专门用来散发垃圾邮件或者一个间谍软件的变种,它是一种流氓反恶意软件,会要求用户强制向它付款,下载一些伪造或者假的反病毒软件。为了能够解决病毒这样日益传播的问题,我们Kido的工作小组成立了,我们这个小组主要是团结各个反病毒公司,一些互联网的供应商,独立的研究机构、教育机构以及一些执法机构,这个团体是第一次以国际合作的方式成立的,它超越了国界,每天我们都会跟各种不同的反病毒专家和学者进行沟通。要给Kido做总结的话,我想说的是,在2009年11月的时候,它感染的设备已经超过了700万台。
其他一些现代恶意软件的特征,主要的共性就是变得越来越复杂。总的来说,可以看到一些简单的恶意程序已经没有什么价值了,它现在对于一些恶意软件编写者的要求也越来越高,还需要这些编写者不仅拥有编程的技术,还要对不同计算机技术的知识有全面的了解,比如说网络技术、加密技术还有其他等等一些技术。而这些恶意程序的创建也不单单是由一个人完成的,完成这样一个程序可能需要一个小组共同完成,而且时间也会变得比较长。去年从这个方面,我们可以看到最独特的恶意程序就是Sinowal TDSS,这是一种木马,我想着重说一下Sinowal,这个程序的结构是相当复杂的。我们第一次发现Sinowal的踪迹是在2008年,从那个时候它就开始不断的演变和发展,到现在它已经成为了一种非常复杂的恶意程序。传播Sinowal并不需要应用路过式下载的技术,攻击者会使用另外一种更不常见的形式,这个方法并不是新的,但是它也是比较有效的。对那些受到黑客攻击的站点,这些站点也不需要去添加代码或者是需要Iframe或者其他脚本的功能,但是它使用的攻击手段比较特殊,也比较不容易被检测到。他们通过向这些站点发送一些链接,如果点击这个链接的话,情况就会变得比较严重,如果有用户点击这个链接,攻击者就可以马上得到访问者的地址,IP地址都会被检测到。根据用户拥有的不同的IP地址,他可以识别用户的身份,随着就会把这些数据存在服务器上。用户首先是要看这个计算机系统或者软件的漏洞,其次就是要看一下使用了什么样的反病毒软件来防止这种情况的发生。比如说你的计算机上装了一个阅读器的话,你的计算机就会自动下载到一个PDF漏洞探测的程序,如果是使用其他的一些程序,比如说播放器,也会被检测到相应的漏洞。从用户的角度来看,用户可能对整个过程都不会察觉到,可能会打开一些网站,他们并不知道这个网站有什么问题。
人次