【IT168 报道】近年来,计算机病毒传播的趋势日益呈现出针对特定地区、特定行业企业或有明确目的的传播或攻击现象。尤其在中国,很多具有威胁性的病毒都是“本土制造”。 从“熊猫烧香”到“克邻大盗”到“磁碟机”,中国的计算机用户已经成为世界范围内最大的计算机病毒受害群体,尤其是产生了以经济利益为驱使的黑色病毒产业链,不仅给受害者带来直接的、严重的经济损害,而且也使得病毒本身越来越难杀,更新速度越来越快,本身破坏反病毒软件能力越来越强。《2008年上半年中国电脑病毒疫情及互联网安全报告》中,金山毒霸公布今年上半年十大病毒,其中机器狗病毒因危害程度以及感染率均超越其他病毒,成为名副其实的2008年上半年“毒”王。这款病毒,正是病毒软件黑色化、产业链化典型代表。
黑色病毒产业链危害深远
去年9月和今年3月,机器狗病毒曾以穿透还原卡技术在网上掀起大波澜,一时间网友和网吧业主谈”狗”色变。而本月,机器狗病毒家族又展开了新一轮的攻势。病毒变种除了利用原有的RealPlay等漏洞外,还利用了近日刚发现的Adobe Flash Player的零日漏洞——先构造一个恶意的Flash动画或广告,将其链接在恶意网站上。当用户浏览该网页时,该恶意Flash就会攻击用户网页浏览器中Flash Player加载的漏洞。一旦攻击成功恶意代码就会成功拿到系统控制权,开门放”狗”,从Internet指定位置下载机器狗新变种。像登陆舰艇一样,机器狗病毒一经成功登陆,多达几十个的负载病毒群就会通过internet浩浩荡荡进入受害者机器。
| 软件名称 | “机器狗/AV终结者/8749” 木马专杀工具 | |||
| 软件作者 | 金山公司 | |||
 | ||||
| ||||
尤其值得网吧业主警惕的是,新变种采用了新的的穿透还原软件的技术,病毒会重置系统内核中SSDT系统服务描述符表中的内核API的地址,来破坏还原软件的工作机理,导致还原软件工作失效。因此通过还原软件来进行系统修复的方法将成为徒劳。该病毒修改动作还会导致某些著名防毒厂商的防病毒和HIPS中的主动防御功能失效。另外机器狗病毒还会在内存中搜索众多杀毒软件的进程,并将强行终止。而且,由于病毒群变种是实时更新的,即使使用所谓的打狗棒专杀也很难彻底清楚干净。
机器狗病毒的危害真正核心更在于它的目的,它攻击对象的特性性。从穿透还原卡技术来看,机器狗主要攻击目标是全国各地十多万家网吧,核心目的在于窃取网吧电脑中的各种信息。
据《CNNIC第21次中国互联网发展状况统计报告》统计显示,2007年网吧上网人数达到了7000万人,为相关行业带来的间接经济收入超过2000亿元。这2000亿元中很大部分包括如网络游戏的点卡、虚拟资产带来的价值,通过各种电子支付手段进行流通产生的商业价值。但很多人不知道的是,锁定这些价值的工具仅仅是一道非常薄弱的密码锁。
当网络游戏提供商、IM增值服务提供商、电子支付中介商为客户提供服务时候,绝大多数不具备提供动态密码和硬件加密的能力,当机器狗病毒带来的大量木马在电脑中潜伏的时候,这些密码其实是赤裸在远方控制端前窃贼的面前。点卡、Q币、虚拟资产、电子支付帐号中的现金,在网络的即时、不可控的特征前,瞬间就可能消失无踪,造成用户经济上巨大损失,沉重打击网吧的信誉和业务。
事实上,类似机器狗这种目的性明确,以盗窃为目标的病毒层出不穷,已经形成一条完整的黑色产业链——病毒产业链顶端是“机器狗”等下载器病毒核心代码的作者,中端的病毒加工者利用核心代码制作“机器狗生成器”或者机器狗病毒,将机器狗和其他木马病毒捆绑起来。下端的病毒传播者将这些病毒通过入侵网站、局域网、QQ传播等方式将病毒种植到受害者机器上,窃取帐号和虚拟财产后交给销赃团伙。病毒制造、销售、盗号、销赃都有着明确的分工,甚至有了标准化的流程。
据cnnic的调查数据显示,约有40%的人曾有过被盗号的经历,可以估算,这个黑色产业的影响到的资金不下30亿元。可见,这种黑色产业链给整个互联网的发展带来的危害不可估量。
${PageNumber}悬赏50万 网吧维护业在行动
据行业人士计算,机器狗给网吧及相关行业造成的损失约有70亿~80亿,此外,因为盗窃帐号给网民带来了逾20亿元的损失。在过去的十一个月中,地下的病毒产业和地上的安全软件公司进行着漫长的鏖战。为了防范病毒,杀毒软件、网维软件的还原驱动一次次更新升级,病毒制造团伙则根据安全软件的变化不断寻求新的漏洞。双方的博弈周期已经缩小到以小时为单位。顺网科技的研发工程师说:他们曾经在一日内,遭到机器狗病毒三种方式的轮换攻击。这给他们带来了巨大压力。经过连夜的奋战,他们成功地抵挡住了这一波连续攻击。其他厂商更是被穿得一塌糊涂。
对整个网吧行业来说,机器狗带来的压力是自上而下、全方位的。由此引发的网民被盗号、网吧停业整顿以及网维公司连夜为网吧检修,将网维软件公司被推到了直接与病毒对抗的风口浪尖上。作为最大的受害者,网吧行业对此深恶痛绝,而以杭州顺网科为代表的网吧维护行业也开始联手对抗机器狗病毒——作为网吧行业的实力派厂商,顺网科技曾用“网维大师”为网吧提供娱乐平台和安全服务,在短短1年的时间内就抢占了40%的市场占有率。
“病毒不断更新,软件不断升级。即便网维软件打得过病毒,几十万网吧业主和7000万网民在这个过程中已经受损了。”顺网科技的总经理寿建明说:“发生在网吧行业的事情很少为公众关注,而网吧业的企业也都是沉默的人,在这种情况下,我们应该为行业做点什么。网吧业还很年轻,需要健康的发展环境,为行业等于为自己。”于是,顺网科技近日发出悬赏公告,宣布出资50万通缉“机器狗”病毒作者,近年来国内企业悬赏金额最高的“病毒通缉令”由此诞生。
“公司不少员工出自网吧行业,应该为中国的网吧做一些力所能及的事情。”顺网科技总经理寿建明表示,公司有能力在技术上应对机器狗病毒,但对网吧而言,攻击和反攻击的过程本身便是一种伤害,因此希望通过悬赏活动凝聚社会各界力量,尽快消减网吧业遭受的伤害。他进一步指出,悬赏通缉活动只是打击病毒、维护行业安全的开始,顺网科技将继续推出一系列有效防范病毒的措施,通过社会各界的力量维护行业的秩序与安全。
针对目前病毒的破坏原理,顺网科技推出IE保护器,有效防止了操作系统漏洞及第三方IE插件漏洞被网马利用,阻止了网马的执行,从而防范大多数网马的植入,有效净化网吧客户机运行环境,减少穿透和盗号现象的发生。另据透露,功能更强大,技术更安全的顺网科技网维大师版本即将面世,该版本在防穿透的技术上有了重大革新,目前已经进入兼容性测试阶段,预计将于8月初发布。
${PageNumber}沉默的网吧业需要“保护神”
网吧曾经被认为是一个相对安全的上网环境。网吧电脑都安装有还原驱动,每次电脑重启之后,都会自动还原到原先的状态。因此,网吧电脑通常没有安装其他的安全软件——即便安装了,也会因为还原系统的存在而不能正常更新使用。但2007年秋,一个形象酷似索尼狗的病毒毁掉了网吧业的平静。从去年8月份起,到今年7月份,十一个月的时间里,机器狗不断出现新变种,不断爆发。仅给网吧停业一项,就给网吧带来了逾30亿元损失,其他行业的间接损失加起来约有70-80亿元。此外,中国网民在网吧因为盗号造成的损失有二十多亿元,这其中大多数与机器狗相关。
网吧行业会遭受如此大伤害和它本身的特性分不开——电脑数量多、人流量大、人群复杂、使用者相关知识不高且受限于网吧本身的技术实力和安全级别。恰恰后者,正是对网吧,对网吧用户带来最大伤害的关键——毕竟,网吧的技术人员或者外包团队由于收入所限,水平相对较低,并没有像顺网科技那种一日内抵挡机器狗病毒三种方式轮换攻击的可能。
 |
| 顺网科技总经理寿建民接受媒体采访 |
幸好,现在还有网吧维护公司的存在。如今,网维软件开发商——网维服务商——网吧的产业结构已经形成。网维软件开发商处于产业链的上游,中游是大约2000家左右的网维服务商。像是使用顺网科技等企业开发的软件进行提供局域网管理和内容服务的网吧已经达到13万家。他们每日所做的,只需要在安装过这些管理软件的电脑上,或者中心服务器控制下,自动升级各种防毒/杀毒病毒库,各种游戏、软件补丁就可。
但这并不能说,网吧就可以高枕无忧。从机器狗的爆发可以看到,网维软件也有高低之分,也有企业实力区别。像是顺网科技提供服务的网吧,也许能在机器狗的攻击下闲庭信步,但也有许多网吧就输得惨不忍睹。
网吧行业聚集了中国三分之一的网民,有100万人在这个行业谋生,7000万人在网吧上网,却是互联网大产业中最薄弱的一环。即便机器狗不再咬人,但黑色产业的人也会想方设法以其他方式入侵网吧——毕竟攻击网吧获益巨大,风险却几乎为零。所以,这个行业的安全不容忽视。正如有人会谴责微软对桌面/笔记本电脑操作系统的垄断,但也不能否认,正是这种垄断,带来丰富多样,数不胜数的软件,极大扩展了电脑的应用。那,网吧维护业是否也需要这样一个“盟主”,来为网吧的安全负责呢?
