当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 回顾 2004 年恶意程序走势(二)

安全基础
找出安全漏洞 QQ盗号软件后门分析与反击
网络安全技术 再谈跨站脚本攻击与防御
掌控PC 如何应对僵尸主机及僵尸网络
如何在Windows中构建蜜罐?
分析并清除web服务器上的网页木马
基础知识讲解 病毒的IFEO映像劫持技术
网管秘籍 拒绝服务攻击防御全攻略
网管秘籍 如何减轻DDoS攻击带来的危害
利用输入法漏洞轻松破解Vista登录密码
安全保障!封杀木马病毒十大绝招
变态入侵:有史以来最酷的Windows后门
安全导航:认识反网络钓鱼欺骗新技术
管理好自己密码的10个技巧
如何隐藏管理员帐号
网络监听的原理、实现技术与防范方法
简单分析微软无线键盘的安全隐患
解密美国FBI的电话及网络监控技术
突破ADSL限制 通过宽带路由多机共享上网
Autorun病毒防御者 让U盘不中毒
计算机的密码设置技巧

安全基础 中的 回顾 2004 年恶意程序走势(二)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 36 ::
收藏到网摘: n/a

   2004年见证了一场恶意代码编写者之间的争斗。Netsky不是简单的传染给计算机,它会删除已存在的Mydoom,Bagle,Mimail蠕虫。紧接着,Netsky的作者和对手Bagle的作者发动了一次文字战争。在它最猖獗的时候,每天都会出现一些这两个蠕虫的变种。

    Bagle和Netsky的作者都将染毒附件加密。使其很难被检测到。邮件正文中包含文本或图形式的密码,用户会得到与运行附件有关的一切信息。

    Mass-mailling是感染附件的技术。它于1999年第一次运用在Melissa上。从那以后已经被大多数攻击使用。无论如何,有两种方法可供选择。一种我们已经讨论过:互联网蠕虫,比如Lovesan, Welchia和Sasser通过系统直接感染。另一种在2004年更常见,它使用户直接连到含有恶意代码的网站。至于Mitgleider 木马代理,我们很早就讨论过,不止是这种病毒采用这种技术,许多蠕虫也已经使用了它。

    Netsky,例如,它会发一封包含一个链接的邮件,使用户的计算机连接到已被感染的计算机上。Bizex是第一个ICQ蠕虫。Bizex进入计算机通过ICQ向所有打开ICQ软件并且被感染的计算机发送链接,该链接包含蠕虫。用户一旦点击了该链接,将会从已被感染的网站下载蠕虫,并且周而复始地形成恶性循环。之后的Snapper和Wallon也使用同样的技术,用它下载被作者放置在网站上的木马。

    迄今,包含链接的电子邮件还没有被收件者视为可疑对象,与双击一个附件相比,许多人还是很容易点击链接的。另外,这种方法可以有效'逃避'很多企业在互联网网关上部署的防御:它们通常阻止可疑的扩展名(EXE,SCR等等),但是包含链接的电子邮件通过却未被注意到。无疑,这种方法将被继续使用,直到用户意识到点击恶意链接与点击附件具有相同的危害。

    我们已经注意到特洛伊木马间谍数量的显著增加,这些木马用于偷取机密金融数据。每周都有许多新变种出现,通常在形式和功能上都不同。其中一些只是键盘纪录,它们通过电子邮件给特洛伊木马作者或者控制者发送全部键盘纪录。更多的说明是特洛伊木马间谍提供对被感染计算机的完全控制,给远程服务器发送数据流并且通过这些服务器接收高级命令。

    这些被完全控制的计算机经常是木马编写者的目标。被感染的计算机频繁地合成网络蠕虫,经常使用IRC信道或者编写者存放新命令的站点。更复杂的特洛伊木马,像很多Agobot的变种,将全部感染的计算机组成一个独立的点对点网络。一旦建立了蠕虫网络,它们会被用于垃圾邮件分发,或DDoS攻击当中(就像被Wallon,Plexus,Zafi和Mydoom 执行的那些一样).

    我们也能够看见许许多多的木马下落者和木马下载者。它们的目标都是为了在已感染的计算机上安装其它的恶意代码,不管它是病毒,蠕虫还是其它木马。它们只是使用不同方法来达到它们的目的。