病毒的内涵和外延随着时代的发展被不断的扩大化,早期的病毒主要是感染型病毒。而随着互联网的发展,蠕虫、后门、木马逐步引入。如今随着商业化大潮的趋使,Spyware、Malware、Spam,Phishing等新的事物又蓬勃发展,病毒的概念逐步泛向安全化,它的触角已经涉及到计算机安全的方方面面。目前主流的计算机病毒主要向着以下几个方向迅速发展。
总体来讲,病毒将向六个方向发展:
一、 经济动机无处不在
“利益”是目前病毒发展的源动力,目前病毒的绝大部份变化都是围绕此中心展开的。有人想盗网游装备,有人想“免费”用QQ服务,有人想窥探他人隐私,有人想提高网站流量,有人想迅速“抢占”桌面……,有需求就有市场,有市场就会有现金流,有现金流,Vxers(病毒作者)可以“潜心”开发病毒。
以“灰鸽子”为例,其官方网站宣称为远程管理软件,事实上灰鸽子具有很多后门特征,如文件、进程隐藏,强行视频等等。并且他们还专门为正版用户提供免杀版的程序。仅今年我们截获的灰鸽子的样本变种就高达万余种。目前国内著名的商业木马有:灰鸽子、黑洞、阿拉QQ大盗、顶狐下载器等。
流氓软件如今的情形可以用“泛滥”来形容,随着打击力度的增大,这些软件为了生存,目前开始广泛采用病毒技术,如my123使用了驱动隐藏;7379使用了感染技术;3448采用了随机名;,Roogoo采用了LSP劫持技术等。
敲诈病毒也是今年的新型病毒,加密用户文档,然后网上敲诈。 因此,安全厂商面对的主要对手早已不是一群纯玩技术的Vxers,而是有资金储备、有技术,有组织的恶意软件开发团队。
二、多平台迅速扩展
从第一个手机病毒Cabir出现,到现在短短两年的时间,已经出现了三百余种手机病毒。PSP,NDS等游戏平台病毒相继出现Mac平台病毒,今年已开始活跃。Vista这块处女地,将是病毒滋生的新温床。基于Web 2.0的网络蠕虫近年来也开始流行,他们利用网站XSS(跨站)漏洞进行迅速传播。如在MySpace传播的Samy,以及利用百度空间自动添加好友链接的蠕虫等。
三、Rootkit大行其道
木马后门为了延长自身在肉鸡上的生命周期,大量使用Rootkit技术隐藏自己,如隐藏文件,隐藏连接端口等。使得反病毒厂商很难收集到该样本。从而达到长期生存的目的。如灰鸽子、恶鹰、PCShare,sdbot等主流病毒都或多或少的采用了Rootkit技术。
四、抗特征识别逐步加强
传统的反病毒软件都是通过文件特征匹配识别来识别病毒的。病毒作者也找到了一些对抗特征识别的技术手段,如:加新壳、入口代码混乱、查找修改特征、重编译、频繁升级,加密数据等等。Worm.Warezov在编译时就可以对自身的字符串等资源采用随机算法加密,这样不但特征码很难匹配,而且提高的样本的分析难度。而且病毒在选择加壳程序时,主要选择新出的壳或者使用了变形技术的壳或者公开的具有高保护强度的保护壳。
五、感染病毒死灰复燃
感染病毒曾经一度销声匿迹,但现在感染型病毒又有活跃的迹象。因为优化过的感染的天然特性更适合时代的发展。现在新流行的感染型主要分为两类:一类是捆绑感染,如Viking,通过频繁升级样本躲避反病毒软件查杀。另外一类是局部感染,只感染几个系统文件,或随机感染某个启动项文件,这样可以很好的躲过Sreng、HijackThis、Autoruns等启动项检查工具。而上面这些工具正是目前手工处理病毒的利器。
六、“0Day”漏洞与日俱增
最近几个月安全界关注的最多的不是Windows系统漏洞,而是每在微软发布补丁随后几天之后,黑客们放出来的“0Day”漏洞,这些漏洞由于处在系统更新的空白期,使得所有的电脑都处于无补丁的可补危险状态。