2004年至今, 传播范围比较大的主要是“震荡波”(I-Worm/Sasser)、“雏鹰”(I-Worm/BBEagle)、“挪威客” (I-WORM/Novarg或I-WORM /MYDOOM)、“网络天空”(I-Worm/NetSky)等病毒。
此类病毒的主要特征是传播快、变种多,发送大量带毒垃圾邮件,对网络资源造成极大损耗,严重的导致局域网瘫痪,系统资源耗尽死机,机器频繁重启等危害。
今年蠕虫变种频繁是今年病毒的显著特点,以“网络天空”为例目前已经有数十种变种。2004年1月19日,“雏鹰” 蠕虫病毒首次被截获,也出现数十个变种,病毒变种首次耗尽了26个字母,而不得不以I-Worm/BBEagle.ab的形式加以标别,最新的雏鹰变种已以AU命名。
病毒每次变种都是为了躲避反病毒厂商追杀和进行更大范围的传播,频繁变种证明了该病毒的顽固性,以网络天空为例,从年初爆发持续到现在一直高居病毒排行榜榜首。今年混合型病毒特征明显,危害加剧。这种病毒集蠕虫、黑客、木马、后门程序特征于一体,传播速度快,途径广泛,潜在危害十分巨大。
以“超级密码杀手”(I-worm/supkp)为例,不但带有自发信模块向外狂发带毒邮件,而且能破解系统弱口令,并通过各种网络共享传播自身,更人严重的是,病毒入侵后,还会在电脑上开一个后门,黑客可以远程操纵进行任意操作。
木马,无法抑制的膨胀欲望
综合前十一个月的病毒发作情况,2004年计算机病毒开始向本土化趋势发展。从今年年初的“桃色陷阱”、“武汉男生”、“盗号王”来看,本土病毒的爆发几率和破坏强度都有所增强,其中,QQ病毒“武汉男生”从去年出现至今,几乎每周都有变种产生。最新截获的本土木马病毒“密码张”以及“密蜂大盗”更极尽盗号之能事,不但能盗几乎所有类型的密码,还能远程监控,打开中毒用户的摄像头,偷拍照片等。
2004年病毒的另一个特征是盗号特性。新年伊始,电脑病毒就开始将破坏重点从单纯的破坏系统文件转移到盗取用户卡号、密码等隐私信息上。今年4月份云南一网吧传出80余台电脑网络游戏账号一夜全部被盗事件,紧接着“网银大盗”突现网络,能够轻松绕过某银行网上银行系统的安全插件,盗窃用户银行卡账号及密码,数千亿资产岌岌可危。
就在人们庆幸“网银大盗”作者落网的同时,一个更加疯狂的“网银大盗Ⅱ”病毒木马惊现网络,几乎所有网上银行的用户成为病毒侵害的目标。2004年11月25日,江民反病毒中心截获“证券大盗”木马病毒(Trojan/PSW.Soufan)。该木马可以盗取多家证券交易系统的交易账号和密码,被盗号的股民帐户存在被人恶意操纵的可能。
江民科技对2004年发现的病毒、木马、黑客程序与2003年进行了对比分析,2003年所截获的各类病毒中,木马占全年截获病毒总数的32.24%, 2004年这一比例达到63%,同比增长了30.76个百分点。统计结果还表明,在所发现的木马类病毒中,窃取银行账号、信用卡、游戏账号、邮箱账号等偷窃个人信息性质的木马数量有快速增长趋势,其中2003年发现此类木马占所发现木马类的9.75%, 2004年发现此类木马占所发现木马类的31.74%,同比增长了21.99个百分点。
2004年,更多病毒制造者已不再满足游戏账号的盗取,经过尝试盗取信用卡的试探后,充分利用各种各样的新技术、系统漏洞,试图用“网络钓鱼” 等欺骗手段,伪装官方网站或假冒官方发送客服邮件等手段,偷窃电脑用户的银行账号和其它机密信息(如游戏的账号、虚拟装备等),病毒的牟利特征十分明显。
黑客,穿过你的防火墙我的手
今年的黑客程序较往年功能更强大,传播途径和范围更广泛。象“黑洞”“蜜蜂大盗”等都属于比较典型的黑客程序,此类黑客程序不但具有强大的远程控制功能,还有强大的信息窃取功能。
6月24日,江民快速反病毒中心率先截获“蜜蜂大盗”病毒。该病毒有强大的信息窃取、远程监控功能。病毒可以窃取几乎所有类型的密码,自动打开染毒者的摄像头,进行远程监控、远程摄像、遥控QQ,并可中止防火墙,可谓“五毒”俱全。该病毒自身为合成文件,运行木马程序后,病毒将自身进程设为较高优先级,用户不能正常手工清除。
8月17日,江民反病毒中心捕获了一种危害更为巨大的网络巨盗“黑洞”病毒。 “黑洞”病毒是一种比“网银大盗”危害面更广,比“蜜蜂大盗”盗窃功能更强的木马病毒。“黑洞”病毒通过网络传播,它能够自动搜索用户客户端,并且能够绕过部分防火墙直接“植入”用户电脑当中。
“黑洞”的主要“恶行”在于它不但能够像“蜜蜂大盗”那样自动开启用户的摄像头偷窥隐私,盗取用户所有密码,掌控用户电脑的所有资料,而且还具有录音功能,能够偷录下用户语音、视频聊天的一切隐私。