回顾 2004 年恶意程序走势(三)
Dropper病毒含有附加的恶意代码。它们既可以安装其它恶意程序也可以安装一些已安装的恶意程序的新版本。它们可以携带许多不相干的恶意程序段;具有不同的行为方式甚至由不同编码器生成。它们是一种能够压缩多种不同恶意代码的恶意压缩程序。Dropper病毒经常携带已知的木马,因为编写一个Dropper 病毒比编写一个全新的反病毒软件检测不到的木马要容易得多。大多数Dropper病毒是用Visual Basic Script [VBS] 或者JavaScript [JS] 编写的,因为它们比较容易编写并且可以执行多个任务。
病毒编写者经常像使用Dropper病毒一样使用Downloaders,虽然它们比Downloaders更有效。首先Downloaders比Dropper病毒小得多。其次,它们能够不停的下载新型目标恶意代码。Dropper和Downloaders通常用脚本语言编写,例如VBS和JS,但它们同样会利用微软的IE漏洞。
Dropper和Downloader不仅仅安装恶意代码。它们还会未经用户许可安装没有病毒的广告或者色情软件程序。广告经常以标语的形式自动弹出。色情软件会安装一个拨号器,在没有得到用户许可的情况下会自动拨号到收费的色情网站。
木马程序可以盗取密码,获得机密数据,发动DDoS攻击和垃圾邮件分发,这一重大改变对未来有严重影响,而且越来越趋向于商业化。很明显计算机地下工作者已经认识到他们打造的有线世界挣钱的潜力。其中包括使用租借给最高出价人的垃圾邮件平台的'zombie'计算机。或者用于勒索,使用相同的zombie'计算机用于对被攻击计算机进行DDoS攻击来勒索钱财(要么破财免灾,要么站点被大量DDoS攻击搞垮)。此外,还盗取登录信息。并且使用'phishing'诡计骗取用户银行详细信息(用户名, 密码, PIN 号码, 等等)。
2004年也已经看到了一系列以无线设备为明确目标的威胁。Cabir,6月出现的第一个手机病毒,此病毒首先在远东出现,这是一个由病毒编写组29A编写的手机概念病毒。7月紧随其后的Duts病毒(另一个29A的作品)和8月的Brador木马,两者都瞄准了掌上电脑。整个世界范围内无线设备的数量在增长。特别是掌上设备- PDA和手机使用的迅速增多和应用于它的一种或其它无线技术[802.11b, 蓝牙, 等等]。这些设备功能强大,可以运行IP服务,提供网站连接并且贯穿整个网络,也可以为用户提供远程连接其它设备和网络的功能。不幸地是,在安全性上却先天不足,超出了传统的网络安全所能保护的范围。并且当它们开始携带越来越多的有价值的公司数据时,无线设备和无线网络很可能成为恶意代码编写者感兴趣的目标。
此外,2004年也逮捕了大批的恶意代码编写者。二月,比利时的病毒编写者Gigabyte被捕。5月,德国有2名病毒编写者被缉拿归案。一名是Sven Jaschen,他承认编写了Sasser和一些Netsky变种。另一名因为编写了大量的Agobot/Phatbot蠕虫系列而被捕。微软宣布悬赏缉拿消息的传出促使更多的病毒编写者被逮捕。
七月,一名十几岁的匈牙利青年‘Laszlo K’由于散布Magold蠕虫而被判有罪,2003年5月该蠕虫曾在匈牙利广泛传播。他被判处2年徒刑缓期执行并且被责令向法院交纳2400美元罚款。同月,一位台湾电脑工程师被捕。Oscar Lopez Hinarejos企图在西班牙散布Cabrotor木马,被判处2年徒刑。同月里,还有其他人在台湾,加拿大和罗马尼亚被捕。
8月,一名十几岁的明尼苏达州青年Jeffrey Lee Parson,由于制造Lovesan.b蠕虫威胁计算机而被判有罪。
近几年病毒和蠕虫的快速蔓延已被明确认定为全球的自然威胁。然而,由于各国政府通力协作制裁恶意程序编写者,加强执法力度已成为一种全球现象。举一个成功的实例:10月,通过联合行动成功捕获28名涉嫌在6个国家参与身份盗取的人。此次联合行动包括美国情报局,英国国家高科技犯罪调查组,温哥华警察局金融犯罪部(加拿大),加拿大皇家骑警队以及白俄罗斯,波兰,瑞典,荷兰,乌克兰各地警察局。
近期,一名俄罗斯人phisher在波士顿被捕,他被指控涉嫌多起诈骗,身份盗窃和使用信用卡扫描设备等多项罪名。
未来又会怎样呢?我们可能会发现悲剧在不断重演,只要能证明前面所描述的攻击计算机用户的技术是有效的,恶意代码编写者仍然会义无返顾的使用它们。其中包含尝试用户信任的方法,比如:群发邮件,利用系统漏洞攻击计算机。广泛使用木马来盗取数据,使用 DDoS 攻击平台或垃圾邮件分发。其中还包括了今年的领先技术,比如在email中使用链接来从站点下载恶意代码。更为关键的是已经证明了这些方法对于恶意代码编写者和那些付钱给他们编码的人获得不法之财是非常有效的。当然,他们会继续开发恶意代码,增加新特性而使代码更有效,或者使用新的自防御机制使其不容易被探测或删除。同过去一样,一些恶意程序编写者会继续开辟新天地。尤其值得注意的是,他们正把目光瞄向那些被越来越多的企业和个人用户使用的大量的无线设备上。