|
|
|
回顾2004年恶意程序走势(二)
作者:佚名 来源:Linux 宝库 点击: 日期:2006-12-23 |
|
2004年见证了一场恶意代码编写者之间的争斗。Netsky不是简单的传染给计算机,它会删除已存在的Mydoom,Bagle,Mimail蠕虫。紧接着,Netsky的作者和对手Bagle的作者发动了一次文字战争。在它最猖獗的时候,每天都会出现一些这两个蠕虫的变种。
Bagle和Netsky的作者都将染毒附件加密。使其很难被检测到。邮件正文中包含文本或图形式的密码,用户会得到与运行附件有关的一切信息。
Mass-mailling是感染附件的技术。它于1999年第一次运用在Melissa上。从那以后已经被大多数攻击使用。无论如何,有两种方法可供选择。一种我们已经讨论过:互联网蠕虫,比如Lovesan, Welchia和Sasser通过系统直接感染。另一种在2004年更常见,它使用户直接连到含有恶意代码的网站。至于Mitgleider 木马代理,我们很早就讨论过,不止是这种病毒采用这种技术,许多蠕虫也已经使用了它。
Netsky,例如,它会发一封包含一个链接的邮件,使用户的计算机连接到已被感染的计算机上。Bizex是第一个ICQ蠕虫。Bizex进入计算机通过ICQ向所有打开ICQ软件并且被感染的计算机发送链接,该链接包含蠕虫。用户一旦点击了该链接,将会从已被感染的网站下载蠕虫,并且周而复始地形成恶性循环。之后的Snapper和Wallon也使用同样的技术,用它下载被作者放置在网站上的木马。
迄今,包含链接的电子邮件还没有被收件者视为可疑对象,与双击一个附件相比,许多人还是很容易点击链接的。另外,这种方法可以有效'逃避'很多企业在互联网网关上部署的防御:它们通常阻止可疑的扩展名(EXE,SCR等等),但是包含链接的电子邮件通过却未被注意到。无疑,这种方法将被继续使用,直到用户意识到点击恶意链接与点击附件具有相同的危害。
我们已经注意到特洛伊木马间谍数量的显著增加,这些木马用于偷取机密金融数据。每周都有许多新变种出现,通常在形式和功能上都不同。其中一些只是键盘纪录,它们通过电子邮件给特洛伊木马作者或者控制者发送全部键盘纪录。更多的说明是特洛伊木马间谍提供对被感染计算机的完全控制,给远程服务器发送数据流并且通过这些服务器接收高级命令。
这些被完全控制的计算机经常是木马编写者的目标。被感染的计算机频繁地合成网络蠕虫,经常使用IRC信道或者编写者存放新命令的站点。更复杂的特洛伊木马,像很多Agobot的变种,将全部感染的计算机组成一个独立的点对点网络。一旦建立了蠕虫网络,它们会被用于垃圾邮件分发,或DDoS攻击当中(就像被Wallon,Plexus,Zafi和Mydoom 执行的那些一样).
我们也能够看见许许多多的木马下落者和木马下载者。它们的目标都是为了在已感染的计算机上安装其它的恶意代码,不管它是病毒,蠕虫还是其它木马。它们只是使用不同方法来达到它们的目的。
|
|
|
|
【文章评论】
【收藏本文】
【推荐好友】
【打印本文】
【论坛讨论】 |
 相关文章: |
|
|
文章评论:(条) |
|
|
|
|
责任编辑:一分 声明:刊登此文章是为了传递更多信息,文章内容仅供参考,转载请注明出处。 |
|
设为主页
收藏本站
