卡巴斯基公司 2003年病毒回顾.txt

功能齐全的oa系统

卡巴斯基公司 2003年病毒回顾

(这条文章已经被阅读了196次) 时间：2003年12月30日 09:25　来源：卡巴斯基 官方新闻

 
文包括2003年度具有广泛影响的病毒事件，以及卡巴斯基反病毒权威专家对下一年病毒发展趋势的预测。

介绍

2003年，造成全球性爆发的计算机病毒共9种，在一定范围内扩散的病毒共26种，这相对于2002年12种全球流行性病毒和34种中等规模病毒事件，从数量来说是降低了，但这并不意味着病毒破坏性的降低，相反，今年计算机病毒对互联网的破坏是空前的。

主要流行性病毒

今年，有两件在互联网发展史上影响巨大的病毒攻击事件，特别应该说明的是，它利用的不是邮件做病毒载体，而是通过修改后的数据包进行传播。

第一件，在1月25日爆发的互联网蠕虫病毒Slammer(又称Helkern)，它利用微软的SQL Server漏洞进行复制传播。Slammer病毒充分展示了通过内存而非文件进行病毒传播的巨大能力，在短短的几分钟时间，该蠕虫病毒感染了全球数以万计的计算机，造成网络流量迅速增加40%到80%，使有该漏洞的服务器崩溃。Slammer病毒利用1434端口，它并不是在感染计算机的硬盘上复制自己，而是感染内存。对这个病毒的分析表明它最初可能来源于东亚。
第二件，在8月12日爆发的Lovesan病毒（又称Blaster），它的破坏性一点都不亚于Slammer病毒，Lovesan利用Windows的安全漏洞进行传播并充分展示了这种漏洞的普遍性。但与Slammer病毒不同，Lovesan利用Windows 2000/XP 平台上RPC DCOM服务漏洞，这就意味着更大多数的用户会成为此病毒的受害者。
在Lovesan病毒出现的短短几天时间里，它的三个变种相继现身，其中Welchia病毒，利用与Lovesan同样的漏洞迅速传播，但与Lovesan的破坏性不同是，它会检测计算机上是否存在Lovesan病毒，并尝试安装RPC DCOM漏洞补丁。
2003年邮件病毒并没有停歇，Ganda 和Avron邮件蠕虫病毒在一月份现身，Ganda病毒是瑞典人编写的，现在仍然在斯堪的纳维亚(半岛)广泛流行，病毒制作者在三月份被瑞典警方抓获。Avron病毒的源代码公布在某些网站上，它给一些病毒爱好者提供了思路，在此基础上又制造出一些小有名气的蠕虫病毒。

2003年1月，我们看到本年度首屈一指的蠕虫病毒Sobig出现，该病毒及其变种在全年有规律的现身及破坏，特别是Sobig.f病毒造成全球大范围的邮件蠕虫病毒的蔓延，病毒爆发的高峰在八月份，几乎每20封邮件中就有一封是携带Sobig.f的病毒邮件。

Sobig病毒的制作者的目标之一是感染最大范围的计算机，然后对某一网站发动DDoS攻击，同时，这些被感染的计算机也扮演成为分发垃圾邮件的代理服务器。

Tanatos.b是另一个在2003年不能“小觑” 邮件蠕虫病毒，它的第一个版本Tanatos (又称Bugbear)在2002年年中就被编写出来了，第二版在去年年底出现，都是利用微软Outlook程序的很旧的漏洞-IFRAME进行感染传播。

Lentin(Yaha)病毒的变种也马不停蹄的不断翻版，根据目前的资料表明Lentin病毒及其变种是印度和巴基斯坦两国黑客在虚拟战争中印方的产物，在全球流行较广泛的是Lentin.M和Lentin.O这两个变种，它们都是以zip压缩文件邮件附件的形式进行传播。

2003年东欧的病毒制作者也不甘寂寞，第二大蠕虫病毒Mimail在俄罗斯病毒爱好者手中诞生，它利用IE的漏洞复制自己---这是Mimail病毒扩散的基础。该漏洞允许从HTML文件直接提取或执行二进制代码，2003年5月它就率先被俄罗斯人在Trojan.Win32.StartPage.L.病毒上开发利用。随之而来就是利用此漏洞源源不断出现的Mimail病毒变种及后门程序。Mimail病毒作者把源码公布在互联网上，世界各地包括美国和法国有同类爱好的人士在此基础上又“开发”或“提升”了Mimail病毒的不同版本。

2003年9月Swen病毒出现，它扮演成微软的补丁程序，迅速地感染全球上百万台计算机，直到目前为止，它仍然是最广泛传播的邮件蠕虫病毒之一。该病毒制作者成功地利用Lovesan和Sobig.f病毒事件给计算机用户的影响，因为大家非常愿意接受安装称为补丁的程序来预防病毒的感染。

另外，我们还必须要提到两个安全事件，第一是德国人编写的Sober病毒，它模仿今年第一大邮件蠕虫病毒Sobig.f。第二是后门程序Trojan Afcore，尽管没有大范围传播，但是它将NTFS数据交换流替换成病毒代码，并将自身隐蔽在系统中的方法还是值得关注的，更有趣的是，Afcore病毒不是利用文件数据流去替换，而是利用目录数据流。

2003年排名前十位的计算机病毒



 

纵观全年，互联网蠕虫类病毒仍然是主角，其它类病毒排在第二位，他们的代表是宏病毒Macro.Word97.Thus和Macro.Word.Saver。但是，从今年秋天开始，我们发现后门程序类型的病毒正跃跃欲试，敢超排在第二位的“其它类型病毒”。





趋势

2003年最明显的变化是互联网蠕虫病毒的增长高于邮件病毒，Kaspersky Labs预计这样的势头还将继续保持下去，2004也将是互联网蠕虫病毒的高发年，强烈建议用户在安装反病毒软件的同时，也不能忽略个人版防火墙或企业级防火墙对网络环境及计算机系统的保护。

2004年还应密切关注操作系统及应用程序的漏洞。今年利用漏洞进行传播的病毒广为所知，相关的补丁程序也公布多时，我们注意到发布补丁程序及利用漏洞传播病毒，这两个事件间隔都在几个星期之间，但是预测这个时间差会越来越短。例如，Slammer病毒，它利用SQL Server的漏洞的补丁程序被公布在六个月前。然而在8月12日爆发的Lovesan病毒，它的漏洞补丁程序却刚刚被公布了26天。

病毒制造者已渐渐感觉到利用系统的漏洞进行攻击是最直接、最有效的办法，这样他们开始关注于最新的漏洞并快速地写出利用此漏洞的恶意程序。后门程序'StartPage'在今年5月20日被发现，它利用'Exploit.SelfExecHtml'漏洞进行传播，当时却没有补丁程序公布。举这个例子的目地是说，可能在不远的将来，软件厂商还没有发现自身的漏洞之前，病毒的制作者就已经利用这些漏洞发明新病毒而“率先垂范”了。

2003年并没有继承前年恶意程序转向攻击新平台和新的应用程序的趋势，在2002年病毒制作者曾把目标锁定在Flash技术、SQL Server及文件共享网络(KaZaA)等等，今年它们仅把目标转向一个图形处理软件MapInfo上， Kaspersky Labs率先发现专门针对此软件的病毒，即MBA.Kynel。

后门程序持续2002年以来的发展势头，今年特别应该关注的Agobot和Afcore这两个后门程序，Agobot目前有超过40多个版本，这是因为它的作者创建一些网站和IRC通道，任何人只要支付$150就会获得依照对方提出的，满足“个性化”要求的Agobot后门程序。

2003年秋，一种新类型的后门程序出现，即TrojanProxy，它试图非法安装代理服务器。这是第一个也是最应该密切关注的混合型攻击（掺杂了病毒及垃圾邮件技术）。被此后门程序感染的计算机将成为垃圾邮件的传播者，而用户却一无所知。

非常清楚，垃圾邮件制造者推波助澜了几个影响广泛病毒的传播，利用垃圾邮件技术不断地复制，散播病毒邮件，如Sobig病毒。

蠕虫病毒也通过窃取远程访问资源密码积极复制自己，常用的伎俩是基于IRC的客户，扫描IRC通道用户的地址，利用NetBIOS协议及445端口进入用户计算机。充分展现此特性的病毒是Randon。

最后，恶意程序也正在开始使用所谓的“免疫”技术，以对付反病毒软件或防火墙。事实上，这些恶意代码总是会尝试删除计算机系统上的安全产品，比如，Swen, Lentin 和 Tanatos病毒都是这方面很好的例子。