当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 回顾 2004 年恶意程序走势(二)

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 回顾 2004 年恶意程序走势(二)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 32 ::
收藏到网摘: n/a

   2004年见证了一场恶意代码编写者之间的争斗。Netsky不是简单的传染给计算机,它会删除已存在的Mydoom,Bagle,Mimail蠕虫。紧接着,Netsky的作者和对手Bagle的作者发动了一次文字战争。在它最猖獗的时候,每天都会出现一些这两个蠕虫的变种。

    Bagle和Netsky的作者都将染毒附件加密。使其很难被检测到。邮件正文中包含文本或图形式的密码,用户会得到与运行附件有关的一切信息。

    Mass-mailling是感染附件的技术。它于1999年第一次运用在Melissa上。从那以后已经被大多数攻击使用。无论如何,有两种方法可供选择。一种我们已经讨论过:互联网蠕虫,比如Lovesan, Welchia和Sasser通过系统直接感染。另一种在2004年更常见,它使用户直接连到含有恶意代码的网站。至于Mitgleider 木马代理,我们很早就讨论过,不止是这种病毒采用这种技术,许多蠕虫也已经使用了它。

    Netsky,例如,它会发一封包含一个链接的邮件,使用户的计算机连接到已被感染的计算机上。Bizex是第一个ICQ蠕虫。Bizex进入计算机通过ICQ向所有打开ICQ软件并且被感染的计算机发送链接,该链接包含蠕虫。用户一旦点击了该链接,将会从已被感染的网站下载蠕虫,并且周而复始地形成恶性循环。之后的Snapper和Wallon也使用同样的技术,用它下载被作者放置在网站上的木马。

    迄今,包含链接的电子邮件还没有被收件者视为可疑对象,与双击一个附件相比,许多人还是很容易点击链接的。另外,这种方法可以有效'逃避'很多企业在互联网网关上部署的防御:它们通常阻止可疑的扩展名(EXE,SCR等等),但是包含链接的电子邮件通过却未被注意到。无疑,这种方法将被继续使用,直到用户意识到点击恶意链接与点击附件具有相同的危害。

    我们已经注意到特洛伊木马间谍数量的显著增加,这些木马用于偷取机密金融数据。每周都有许多新变种出现,通常在形式和功能上都不同。其中一些只是键盘纪录,它们通过电子邮件给特洛伊木马作者或者控制者发送全部键盘纪录。更多的说明是特洛伊木马间谍提供对被感染计算机的完全控制,给远程服务器发送数据流并且通过这些服务器接收高级命令。

    这些被完全控制的计算机经常是木马编写者的目标。被感染的计算机频繁地合成网络蠕虫,经常使用IRC信道或者编写者存放新命令的站点。更复杂的特洛伊木马,像很多Agobot的变种,将全部感染的计算机组成一个独立的点对点网络。一旦建立了蠕虫网络,它们会被用于垃圾邮件分发,或DDoS攻击当中(就像被Wallon,Plexus,Zafi和Mydoom 执行的那些一样).

    我们也能够看见许许多多的木马下落者和木马下载者。它们的目标都是为了在已感染的计算机上安装其它的恶意代码,不管它是病毒,蠕虫还是其它木马。它们只是使用不同方法来达到它们的目的。