瑞星一周播报(2005.01.03－01.09)

　　一个新的病毒被瑞星截获，该病毒可以自动利用关键字在Google中进行搜索并攻击所查询到的论坛，所以瑞星将这个病毒命名为“ 论坛杀手 ”，同时该病毒也是第一个论坛病毒。手机病毒的手段非常隐蔽，它可以伪装成网络游戏被用户下载后再去破坏用户的手机系统。整个网络安全界所围绕的主要话题依旧是关于怎么去扼制网络钓鱼的继续发生。

本周热门病毒：

    论坛杀手（ Net-Worm.Perl.Santy.a ）：警惕程度 ★★★★ ，蠕虫病毒，通过Google 传播，依赖系统： WIN9X/NT/2000/XP 。病毒通过Google查找由PhpBB程序建立的论坛，并对这些论坛进行攻击，遭攻击的论坛可能会丢失很多资料。

本周发作病毒：

    ① 武汉男生2005变种 F （ Trojan.PSW.Whboy.2005.f ）：警惕程度 ★★★☆ ， 木马病毒，通过网络传播，依赖系统： WIN9X/NT/2000/XP 。病毒会强行关闭多种反病毒软件，使用户面临较大的安全风险。它还试图窃取用户的《传奇》游戏账号、密码、装备等等资料，发送到指定的邮箱里。

    ② 蜜蜂变种 F （ Trojan.PSW.Mifeng.f ）：警惕程度 ★★★☆ ， 木马病毒，通过网络传播，依赖系统： WIN9X/NT/2000/XP 。该病毒会修改电脑系统配置，当屏幕保护程序启动的时候病毒也随之运行，试图窃取用户的 QQ 密码和多种网络游戏的用户资料。

本周升级版本：

    瑞星已于2004年12月1日正式发布《瑞星杀毒软件2005版》！瑞星杀毒软件2005版、瑞星在线杀毒、瑞星杀毒软件2005“下载版”，这三款产品本周将同步升级至17.08版。

出处 : 瑞星公司

2004年恶意程序走势

　　2004 年造成损害最严重的恶意程序当属 Mydoom.a (2004年2月) 和 Sasser.a (2004年5月) 。在恶意程序领域最重要的变化，包括互联网犯罪化，恶意代码编写者和黑客转而创控网络傀儡机，以支持垃圾邮件发布者。另一方面，反病毒产品厂商的反应更加迅速，而在全球范围内立法强化机构终于将注意力集中到网络犯罪方面。2004年是在抓捕网络罪犯方面创纪录的一年。

•  广告软件 (AdWare) 成为最大的安全难题之一；

•  Email 数据被垃圾邮件阻塞。在绝大多数情况下，没有垃圾邮件过滤程序， email 系统不可能正常工作；

•  对互联网银行发动了成功的攻击；

•  大量的互联网敲诈事件(伴随着敲诈的DDoS攻击)；

•  反病毒产品提供对广告发布程序的抗御；

•  对来自新的恶意程序的威胁的反应时间成为评价反病毒产品的最主要的标准；

•  涌现出许多反垃圾邮件产品，使用这类产品成为邮件服务商的特定标准；

•  成功查明并拘捕了约 100名黑客，其中三人在美国联邦调查局(FBI)急欲抓捕名单的前20名内。

恶意程序在 2004 年的发展

　　每一代恶意程序的编写者都站在前辈的肩膀上。因此，毫不奇怪，前些年播下的恶意程序的种子在2004年结出了果实。Lovesan“普及”了通过互联网直接利用系统漏洞感染捕获傀儡机，向Windows升级服务器发动分布式拒绝服务[DDoS]攻击的方式。Sobig.f通过利用垃圾邮件技术传播，突破了所有先前的记录 ( 在其流行高峰期，电邮的 Sobig 病毒感染率达到10﹪) ，并成为“慢燃烧”方式的先驱：其每个新蠕虫变种创建一个受感染的计算机网络，该网络可用做继续流行传播的平台。当 2003年9月Swen病毒开始传播时，看着就像另一个大量邮件发送者，然而，它成功完成了“社会工程”。此处的社会工程是指一种描述安全性的、依赖人际交流的非技术分支的特别方式：对病毒和蠕虫，它表示欺诈无警觉的用户，使其运行被感染的附件。Swen 假扮成可堵住微软的所有漏洞的补丁，巧妙利用了用户的不断增长的、防范对操作系统的攻击的需求。

　　在 2004 年，上述技术得到了成功的延续和发展。

　　利用操作系统的漏洞在用户的网络中植入后门程序并迅速传播已成为众所周知的伎俩。恶意代码的编写者已悟到，可通过一般的应用和操作系统的漏洞获得潜在的“助手”。2004年出现的一些攻击，如Sasser、Padobot及Bobax都将操作系统的漏洞做为其发动攻击的装置，通过互联网从一台计算机直接传播给另一台计算机，而没有应用“传统的”病毒技术。另一方面， Plexus 及大量Bagle、Netsky和Mydoom变种既利用操作系统的漏洞，也应用其它感染方法 [ 如大量邮件和利用网络资源，包括 P2P 网络 ] 。

　　许多如今最成功的威胁[“成功”系就恶意代码编写者的观点而言]都是将不同种类的威胁捆绑在一起。这类渐增的捆绑包括将一种木马或其它病毒相捆绑。典型的木马通过某个病毒或蠕虫传播并植入系统，其自身没有繁殖能力，因而通常被认为比病毒或蠕虫的危险性要小。现在的木马程序的作用可能既危险又恶果深远，不仅变得更为老道，而且被更多的恶意程序利用。

　　2004年新年典礼还未结束，木马 Trojan proxy Mitgleider 就在屏幕上出现了。数以千计的 ICQ 用户收到了指向含有该木马的网站的链接， Mitgleider 利用了微软视窗 IE 的两个漏洞之一，在用户不知的情况下在感染的计算机上下载安装代理服务器，而后打开计算机的一个端口，允许收发邮件，最终使该机变成喷吐“zombies”垃圾邮件的帮凶。Mitgleider建立了分级代理木马，使恶意程序与垃圾邮件分发密切联系，并开创了将大量邮件与受感染的网站相联系的趋势。

　　在 Mitgleider 之后，大多数较严重的威胁都利用了Trojans Bagle。这个蠕虫与Mitgleider似乎是出自一人之手，不是安装木马代理就是从互联网下载木马。该蠕虫是 Mitgleider的简单改进版，包括通过电子邮件传播。Bagle通过感染Mitglieder的计算机分发，这是 2004 年恶意代码威胁的另一个重要特性：利用木马程序在网络上“播种”计算机，做为日后流行的平台。利用这一技术获得巨大成功的不仅有Bagle，还有Netsky、Mydoom 等危害较大的威胁。在这些蠕虫中每出现一个成功的变种，就会增加一批被感染的计算机：一旦达到 “临界质量”，就出现一次新的流行。这是在 Mydoom 的成功背后的主要的因素，并使之超越 Sobig 而成为到目前为止流行最强的蠕虫。Mydoom 也是一个前面关于恶意程序“捆绑”的好佐证，它有效地利用了一个聪明的社会工程模块，对 “www.sco.com” 发动了 DDoS 攻击，将 SCO 网站冲垮达数月之久，并将一个木马程序植入受到攻击的计算机，使之被许多 copycat 激活利用。

出处：卡巴斯基 实验室