1.传播方法
2.通过网站传播的前20位恶意软件
3.前20位恶意软件来源国家
4.特殊案例
5.总结
本文为卡巴斯基实验室追踪恶意网站及恶意软件(通过网站传播)系列报告的首篇。
近几年,恶意软件传播方法已经发生了变化,从固定的介质(硬盘)转向邮件传播(如声名狼藉的爱虫邮件)以及直接的网络攻击(如红色代码)。如今恶意软件最新的发展是通过万维网传播。
我们相信基于网页的恶意软件快速增长有很多因素,其中一个原因是由于在2003到2006年发现了微软IE存在大量漏洞。另外一个原因是由于大多数反病毒引擎和访问网页的方式在理念和设计上不兼容,因为大多数反病毒引擎需要拷贝整个文件来检测是否感染病毒,这就会在扫描类似网页流文件时发生问题,。当然,此问题可通过代理层方案解决,先高速下载流量,下载完毕后便会将其传至反病毒引擎,然而,这种方式也不是很普及。
基于网页的恶意软件快速增长的另外一个因素或许是因为企图阻止电子邮件中的可执行格式附件。早在2003年和2004年,大多数恶意软件通过电子邮件传播(如.EXE/.SCR/.PIF文件等),许多系统管理员决定完全禁止电子邮件中的可执行格式文件,这样做的直接结果就是恶意软件作者开始使用压缩文件传播-如ZIP文件。早在2006年,包含漏洞的微软Office文件也是恶意软件传播的载体。
恶意软件作者想到了一个简单的方法来解决这个问题:他们放弃电子邮件来发送恶意软件主程序,而开始发送包含恶意程序的网站链接地址。因为邮件网关仅过滤邮件正文,不可能检测在邮件中是否链接恶意网站,利用这种手段可以达到目的。
上面列举的因素是恶意软件传播的方式,诱惑用户打开包含恶意软件的web服务器,或者手动执行恶意软件(社会工程学),或者利用用户网页浏览器漏洞达到攻击目的。
传播方法
包含在网站中的恶意软件感染用户计算机主要有两种方法:
第一种方法利用社会工程学攻击,例如,攻击者发送一封包含网页链接的邮件,声称该链接网站很有趣,以下为此类电子邮件实例:
图1. 内含有恶意软件链接的电子邮件
在上面的邮件中,YouTube链接是一个假冒网站,当打开该网页时将显示“无法找到该视频”,影片的HREF链接确指向另一个IP地址的网站,当用户访问时显示以下内容:
图2. 包含恶意软件的假冒网站
“点击这里”链接将指向名为“video.exe”的可执行文件,其为Zhelatin的一个变种,也称为风暴蠕虫。
恶意软件传播的第二种方法是通过网页浏览器漏洞感染系统,以下是这种方式的例子:
图3. 包含漏洞的网页源代码,目的攻击Mozilla Firefox
上面的图片显示了网页中的一部分,该网页包含已加密网页浏览器漏洞。大多数包含网页浏览器漏洞的站点会使用一些模糊化技术,其目的是避免基本的可以通过扫描TCP/IP流的 IDS检测,这些扫描的类型是已知的,也相当于简单基于代码的反病毒系统,该漏洞代码一旦被解密,将进行分析:
图4. 解密攻击程序部分画面(Trojan-Downloader.JS.Agent.ep)
既然如此,恶意代码试图加载具有很长名称的“.WMV”文件,这是Windows Media Player插件 EMBED溢出漏洞(在微软Windows 安全公告MS06-006-说明“Windows Media Player 插件由于其处理格式错误的 EMBED 元素而存在一个远程执行代码漏洞(911564))。现今浏览器回将此类要求传送到Windows Media Player,一旦检测到漏洞,将导致系统崩溃。有趣的是,即使系统已经更新到网页浏览器的最新版本,如果Windows Media Player有漏洞,系统仍然可以被感染。
如以上所述,恶意程序有两种主要的方法通过网络入侵受害者计算机:通过利用社会工程学或者网页浏览器漏洞。不过您也无需感到惊讶,因为在大多数情况下,恶意程序作者依靠这两种方法结合来提高入侵成功率。
上面提到的例子Zhelatin就是利用了这两种技术的结合,传播该蠕虫的后台程序似乎使用PHP语言编写,恶意网页在给用户前要做很多事情。最重要的是,它要检查浏览器User-Agent标识符,假如该标识符不常见,如苹果操作系统中的Safari或Linux中的Lynx,将使用社会工程学技术发布网页。假如浏览器标识符看起来属于Internet Explorer,如“Mozilla/4.0”(和MSIE 6.0; Windows NT 5.1相兼容),它将发布包含特殊IE攻击程序的网页,在Firefox中也是如此。
通过网站传播的前20位恶意程序
在2006年初,我们发现包含恶意软件的网站数量与传统的电子邮件及依靠网络传播的方式相比,数目有明显的提高。卡巴斯基实验室为此研发了“Akross”系统以连续监控恶意内容网站,自从在线运用后,Akross已经识别了53000多个恶意网站,其中在2007年前上半年已经识别了28000多个恶意网站。
| 排名 |
恶意软件名称 |
百分比 |
| 1. |
Trojan-Downloader.Win32.Small.on |
11.26 |
| 2. |
Trojan-Downloader.Win32.Zlob.bbr |
6.01 |
| 3. |
Trojan-Downloader.Win32.Zlob.bjt |
4.59 |
| 4. |
Trojan.Win32.DNSChanger.is |
3.19 |
| 5. |
Trojan-Downloader.Win32.Zlob.bon |
3.17 |
| 6. |
Trojan.Win32.DNSChanger.ih |
2.74 |
| 7. |
Trojan.Win32.DNSChanger.hk |
2.50 |
| 8. |
not-a-virus:Porn-Dialer.Win32.PluginAccess.s |
2.08 |
| 9. |
Trojan.Win32.DNSChanger.io |
1.77 |
| 10. |
Trojan.Win32.DNSChanger.jb |
1.02 |
| 11. |
Trojan.Win32.DNSChanger.ik |
0.76 |
| 12. |
Trojan-Downloader.Win32.Small.dam |
0.62 |
| 13. |
Trojan-Spy.Win32.Banker.ciy |
0.59 |
| 14. |
Trojan-PSW.Win32.OnLineGames.es |
0.48 |
| 15. |
Backdoor.Win32.Rbot.gen |
0.48 |
| 16. |
Trojan-Spy.Win32.Banker.anv |
0.42 |
| 17. |
Trojan-Spy.Win32.Banker.awa |
0.40 |
| 18. |
Trojan-Downloader.Win32.CWS.j |
0.36 |
| 19. |
Trojan.Win32.DNSChanger.hj |
0.36 |
| 20. |
Trojan-Spy.Win32.Bancos.zm |
0.34 |
通过网站传播的前20位恶意程序 ( 2007 1月-7月)
在排行榜中独占鳌头的是Trojan-Downloader.Win32.Small.on,它实际上是一个很常见的木马下载器,从另一个硬编码URL获取可执行文件并且执行,木马下载器在多级恶意网站中广泛使用。通常记忆紧密攻击程序会在此加载一个小型的木马下载程序,然后可以进一步加载最终负载或另一个下载器。
Zlob是另一个有趣的实例,该排行榜的前几名中可以看见该变种很流行,在年初Zlob一直很流行,然而,现在该蔓延趋势有所减弱,Zlob大多数是通过精心策划的社会工程学被安装:经过精心策划的网站声称拥有可以播放DVDs和各种影片格式的转换器。
图5. 传播 Zlob 变种的钓鱼网站
在前20位排名中,DNSChanger也是广泛流行,在Zlob和DNSChanger之间实际是有联系的-我们相信这些都是由同一个组织创造。虽然DNSChanger在其全盛时期中产生了很多变种,它最基本的行为就是篡改用户计算机上DNS设置,将其修改为一组两租特定的IP地址。该IP地址可以从庞大的地址池中选择,然后该变种传播很多个不同的DNSChanger二进制文件,每个域名服务器设置指向特定的IP地址。可能更改域名服务器。或许您并不认为这是很严重恶意行为,但是可以引起很多问题-如,如将Amazon.com或美国银行定向到钓鱼网站,用户在完全不知情的情况下被安装了钓鱼软件。大多数最近的DNSChangers包含隐藏组件,甚至下载其它附加恶意软件目的是用户很难移除该木马程序。
not-a-virus:Porn-Dialer.Win32,就如名称所言,并不是一种病毒。该分类表示一组程序,其可以将恶意软件和用户选择安装的程序加以区分。
图6. ‘not-a-virus:Porn-Dialer.Win32.PluginAccess.s’两个具有特定标识的可执行文件
PluginAccess.s 变种通常其中包括一组国家指定的高费率号码,该号码依据Windows中控制面板的电话和调制解调器选项中的拨号规则来选择。一旦用户拨打该高费率号码,将获得一个认证标记,稍后可以获得允许访问互联网不同服务。通常利用社会工程学来安装PluginAccess.s,安装该程序后可以获得访问各种成人网站。上网的费用如上所述,细心的用户可能发现偶然感染PluginAccess的情况很少。这就是为 什么该程序未归类到恶意软件而是作为“不是一个病毒”。这种程序流行的原因或许在于这样一种事实:他们允许无需使用信用卡便可以使用不同付费服务,费用直接从用户的电话帐单上扣除。
Trojan-Spy.Win32.Banker.ciy 也是排行榜上一个值得注意的,Trojan-Spy.Win32.Banker.ciy是企图偷窃电子银行证书的恶意程序,一些甚至引导中间人攻击用户的网络交易。尤其是在近几个月来已经有越来越多针对银行的攻击,其从银行系统中利用木马来攻击。Trojan-Spy.Win32.Banker.ciy甚至在卡巴斯基实验室2007年3月恶意软件杂录中被提名为“最贪婪的针对信用卡的特洛伊”。它取得这项提名是因为它针对5种信用卡系统,而以前的记录是3种。
恶意软件发展的另一种显著趋势是创建和传播特洛伊木马,目的是窃取网络游戏(例如魔兽世界、星战前夜或传奇)中的虚拟物品。这些游戏在亚洲国家很风行,尤其在韩国和中国。而此类游戏在世界有百万的玩家。这些游戏中稀有物品昂贵的难以置信,它们通常通过易趣或其它拍卖网址交易来获得虚拟货币或真实货币。由于这些物品的需求非常大,虚拟物品中的欺诈也正在增多。例如虚拟物品究竟值多少钱,在星战前夜中,装备一整套武器和防御的最昂贵的宇宙飞船,等效于10000美元的真实货币。因此针对虚拟财产的恶意软件的发展的巨大兴趣无需惊讶,因为有利可图。
Trojan-PSW.Win32.OnLineGames.es 是这种类型的典型代表。尽管存在这种特洛伊木马的许多变种,他们中的大多数针对网络游戏魔兽世界。它们监视游戏进程,收集用户所有击键的信息,这些信息随后发到攻击者处。他们于是用偷来的帐号登入游戏,出售物品,虚拟货币或者人物。为了防止检测,使用复杂的虚拟货币洗钱策划,使得虚拟财产的追踪更加困难。
最后,提到Trojan-Downloader.Win32.CWS.j,另一个关于恶意网站的普通站点。这种下载者基本上是一个下载和安装CWS变体的小的程序,或许更知名的如CoolWebSearch。CoolWebSearch是一个恶意软件,最先报告于大概在2003年。从那以后,发现了很多变种,它们的大多数延同相同的模式:劫持浏览器首页,显示色情艺术。随着时间的流逝,CWS变种变得越来越复杂,最新的版本包含隐蔽组件rootkit设计用来终止反病毒程序。
总之,2007年上半年大多数恶意软件内容通过互联网传播的方式可以分为主要四种:通过社会工程学安装的假电影/DVD播放器和转码器,在线银行木马,针对网络游戏的恶意软件和所谓的便于访问成人站点的‘grey-border’软件。
前20位恶意软件来源国家
恶意软件来自哪里呢?要回答这个问题,很有必要来回顾一下黑客操纵恶意软件的解决方案。
今天已经发现了大量猖獗的恶意软件,他们的传播方式很多。可以在入侵的家庭计算机上发现其踪影,他们通过运行少量http服务的计算机的僵尸入侵计算机并将其变为传播点。也可以在一些被黑客攻击的ISPS网站上发现。这对于提供给用户免费网页空间来建立自己的网站是常见的选择,如www.pochta.ru, www.googlepages.com, www.100freemb.com, www.dump.ru or www.home.ro等。
也有一些情况是使用偷窃来的信用卡去合法网络提供商那里购买域名和主机资源,目的是传播恶意软件。
今年早些时候,一个中等规模的托管公司遭受了黑客的攻击,黑客利用控制面板版本的漏洞获得了托管在该公司服务器上所有帐号权限,该攻击者检查了入侵计算机上的所有网站的主页,利用IE漏洞加入了一小段脚本语言,黑客还安装了恶意软件,包含隐藏程序。在类似攻击事件中,二月份超级杯海豚体育场网站被黑客攻击,在网页源代码中注入了漏洞。或许近期出现的是印度银行网站被攻击事件,该事件发生在2007年8月底,在这次攻击中,主页代码被修改,在其中加入了一个IE IFRAME漏洞,这样可以进一步有利于恶意软件传播。
以下为使用Akross系统检测到的传播恶意软件IP地址地理分布图:
| 排名 |
国家及地区 |
百分比 |
| 1. |
中国 |
31.44 |
| 2. |
美国 |
25.90 |
| 3. |
俄罗斯 |
11.05 |
| 4. |
巴西 |
4.40 |
| 5. |
南韩 |
3.64 |
| 6. |
阿根廷 |
2.90 |
| 7. |
德国 |
2.31 |
| 8. |
法国 |
1.70 |
| 9. |
巴拿马 |
1.53 |
| 10. |
荷兰 |
1.31 |
| 11. |
乌克兰 |
1.26 |
| 12. |
加拿大 |
1.24 |
| 13. |
西班牙 |
1.15 |
| 14. |
英国 |
1.15 |
| 15. |
香港特别行政区 |
0.83 |
| 16. |
意大利 |
0.72 |
| 17. |
葡萄牙 |
0.70 |
| 18. |
罗马尼亚 |
0.68 |
| 19. |
台湾省 |
0.65 |
| 20. |
马来西亚 |
0.52 |
前20位恶意软件来源国家及地区
中国以31.44%的恶意网站数量居排行榜首位,美国以25.90%紧邻其后,这些国家在近几年相关的恶意软件统计中几乎一直占主导地位,要改变排名先后取决于恶意软件编写的趋势和操作系统的发展,十分有趣的是,在中国最流行的恶意软件载体是被黑网站和所谓的“防弹主机”,在美国,主要是被黑客攻击“.com”网站和一些利用窃取的信用卡购买到的合法主机资源。 俄罗斯和巴西占据第三和第四位。这些国家情况类似,因为大多数恶意程序托管在“免费主机资源”中,网络服务提供商为用户提供机会可以向计算机上传自己的网站。
其它国家在排行榜中情况相似,被黑机器,免费主机资源,利用窃取的资金购买合法的主机资源这些情况都相近。
特殊案例
我们在2007年监视恶意网站期间,检测到发送可执行请求频率比普通web服务器稍多一点。甚至将攻击程序植入HTML页面中。
这些情况中最有趣的可能就是包含这些所谓的"服务器端多形性",传统上,多形性恶意软件特点是多形性病毒,它可以在复制循环期间修改自己的代码,由于该代码完成变形术包含病毒本身,该修改代码可以预见,因此,可以创建检测算法和撰写任务代码对付该病毒。
给一个实际的例子:早在2006年,我们检测到一个网站提供EXE文件,在每次下载时该文件都不相同。在这个特殊例子中,EXE文件本身不会改变太多(偶然会改变),然而,最后42字节的在每次下载中会不同。在这个特殊例子中,这看上去是时间信息和在结尾添加IP地址做为下载恶意软件标志的结合,随后,当恶意软件(间谍木马)返回报告给木马作者时,将文件结尾处的标记一起传送过去,这样,作者就可以把每一个下载下来的恶意软件和它的IP地址捆绑到一起了,并且在全球范围内感染。
2006年还有一种情形,攻击者创造一种特洛伊木马的1000-5000的样本,将它与一个网上工具打包在一起,当它被访问时,触发其中的一个随机编码密钥,于是,PHP前端将随即选择一个样本并将其发送给用户。对于一个未意识到该点的反病毒公司来说,这最初看起来像是一种无终止的新感染。最少直到收集到足够的样本来确保分类的检测,密切监视该网站或其它类似的网站使我们能够做出不断涌现的新特洛伊木马的分类检测和在某些情况下的分类解包,今年年初我们观察到另一种有趣的情形,当我们开始密切监视一个提供Zhelatin样本的网站时,服务器上的样本大概以90秒每次不停的变化,但是大约在每500个样品中,将会发生一件有趣的事。所使用的编码工具看来依赖于一个大小大约为9字节的随机数。当随机值命中指定值时(0?),结果样本将不加密,这就允许我们从Zhelatin家族获得几个0代样本,由于其缺乏模糊性技术这将对分析很有益处。
总结
随着恶意程序传播方法的不断变化,可以预料恶意程序的作者将继续构思感染计算机的新方式。现有的倾向包括通过P2P网络传播或通过自由软件传播。
毫无疑问,在这种情况下,网络成为恶意程序作者首选的传播媒介,并且这种传播方法在2007年五月似乎达到了高峰。不过从那以后,新的恶意网站的数量在某种程度上有所下降。尽管这是个好消息,但每天仍然有很多新的恶意网站出现,诱惑用户的社会工程学技术或攻击程序变得越来越复杂。
中国和美国是恶意网站数量的两大巨头,尽管上述两国的政府做了最大的努力。恶意网站仍然盛行。虽然美国有能力在48小时内关闭包含恶意网站,但中国却并非如此。我们都知道,恶意网站在中国已经肆虐一年之余,所有关闭包含的恶意网站的努力都以失败而告终。在这种情况下,越来越多的恶意网站将会在中国落户,所以中国正在成为恶意程序滋生的温床。
卡巴斯基实验室将一如既往的监视这种状况,我们在以后的文章中提供相关资料,让用户了解反病毒公司和互联网的执法单位的共同努力是否会降低传播恶意软件的网站数量。
同时,用户应当及时更新他们的操作系统,使用Internet Explorer 6的应该换为Firefox、IE7和Opera等永远更佳安全效果的浏览器。最后,如本文以上所述,网站是当今恶意软件传播的主要媒介,因此拥有一款能够监控网络流量的反病毒软件绝对是必要的。
2007年12月6日 |
