论文部分内容阅读
木马对互联网的影响已经超出了个人终端的范围,涉及互联网搜索、网络购物、证券交易、网络聊天软件、下载等。在虚拟世界中,由于木马引起的账号威胁,已经很难得到有效控制。
每到年关,总会出现病毒或木马发作的高峰期。根据赛门铁克的2008年度监测,信用卡信息是互联网地下交易中最常出售的商品。被窃取的信用卡账号每个售价从0.1美元到25美元不等,而被窃取的信用卡透支额度平均达到4000美元以上。
2008年12月29日,金山截获了号称年末最“牛”的盗号木马病毒——HB蝗虫病毒新型变种。该病毒传播途径广泛,针对魔兽世界、大话西游onlineII、剑侠世界、封神榜Ⅱ等几乎市面上所有网络游戏展开疯狂盗号,短短一天时间感染的机器数量超过了20万台。在虚拟世界中,由于木马引起的账号威胁,已经很难得到有效控制。
木马成互联网最大威胁
木马对互联网的影响已经超出了个人终端的范围,涉及互联网搜索、网络购物、证券交易、网络聊天软件、下载等。甚至有些黑客利用木马点击器冒充用户点击竞价排名广告,将黑手伸向了搜索引擎。
2008年前10个月,互联网上共出现新病毒9306985个,是去年同期的12.16倍,这是瑞星《2008年度中国大陆地区电脑病毒疫情暨互联网安全报告》中显示的内容。2008年新增病毒中,“网页挂马”所传播的木马、后门等病毒占90%以上。
盯准了那些所谓的“合法网站、大中型网站”的木马已经成为互联网上最大的威胁,也变得越来越精明。现在的木马病毒绝大多数通过漏洞传播,而且多数木马病毒运行时没有明显的异常特征,用户很难及时发现自己已经中毒。
只要用户电脑上的漏洞存在,访问挂马网站中毒的风险就一直存在。即使安装了杀毒软件,也只能在病毒入侵时拦截,风险比弥补漏洞之后会高许多倍。实际上,每天约有30%的网民上网时会遇到挂马网站。这些挂马网站中80%以上属于管理不严的正规网站,其中包括新闻网站、网络论坛、博客网站等。
从木马的本质上讲,现在主动进行传播的病毒已经非常少,绝大多数木马、后门都是通过网页挂马进行的。而网页挂马是一种被动的病毒传播方式,用户只有去主动访问挂马网站,才会遭到木马病毒的侵袭。
但黑客团伙往往会雇佣专门的人去入侵正常网站,如门户网站、新闻网站、热门论坛等,在其中植入木馬。或是对自己建设的挂马网站进行SEO(搜索引擎优化),当用户搜索“美女、电影”等热门关键词的时候,这些带毒网站会排在搜索结果的前几页,引诱用户上钩。
更有甚者,还会利用新兴的SNS网站散发挂马链接,通过站内短信、博客回帖等形式,吸引网民访问挂马网站。现在热门的Web2.0网站,几乎都遭到过此类带毒链接的侵扰。
最强木马现身互联网
Sinowal木马(也被称为Torpig和Mebroot)被称为目前互联网中风险强度最高的恶意软件,RSA FraudAction研究实验室根据对Sinowal木马进行的持续近三年的跟踪和研究表明:从2006年2月至今,Sinowal木马已经破坏并窃取了大约30万个网上银行账户的登录信息,以及相同数量的信用卡和借记卡。
关于Sinowal木马的传闻,有很多种版本。其中比较靠谱的传闻,称其是被俄罗斯网上团伙拥有和操纵的,即臭名昭著的俄罗斯商业网(RBN)。而RSA FraudAction研究实验室和卡巴斯基实验室的数据都已经证实了Sinowal木马在过去确实与RBN有着极为紧密的联系。但根据最新的数据监测表明,目前Sinowal的托管设施可能已经发生了变化,不再与RBN有关。
Sinowal木马的可怕之处,就在于它可以在不留下任何痕迹的情况下感染受害者的电脑。Sinowal木马背后的犯罪分子不仅创建了极其先进的恶意犯罪软件,而且还维护着一个极其隐蔽和可靠的通信基础设施。这个基础设施已经让Sinowal木马收集并传送了将近三年的信息。此外,盗窃的数据在一个组织良好的数据仓库中得到了系统的组织。近三年的时间,对于一个网上团伙维持其生命周期和操控,以有效利用一个木马程序来说,已经是一个非常非常长的时间了。
为了使木马不间断地掌控受感染的计算机,Sinowal木马的创建者会定期发布新变种,并登记成千上万的互联网域名作为其通信资源。图1显示了Sinowal木马的创建者创造新变种的速度。
如同其他木马一样,Sinowal木马使用了HTML注入功能,有效地将新的网页或信息字段注入到受害者的互联网浏览器中——而这些注入的内容对受害者来说,看起来像是合法的网页。比如,Sinowal木马能够对不知情的用户提示输入个人信息,如社会安全号码和其他详细信息,而用户往往不知道,真正的银行系统是不会要求用户在网上提供这些个人信息的。
被犯罪集团操纵的木马程序,很轻易就能够感染数十万台电脑,并能损害及窃取用户的账户信息。在被Sinowal木马窃取的用户地域分布中,北美和欧洲受影响最大,图2显示了Sinowal木马损害网上银行账户的速度。
尽管目前很多金融机构已经掌握了被Sinowal木马损害的用户情况,但仍有大部分用户蒙在鼓里。
每到年关,总会出现病毒或木马发作的高峰期。根据赛门铁克的2008年度监测,信用卡信息是互联网地下交易中最常出售的商品。被窃取的信用卡账号每个售价从0.1美元到25美元不等,而被窃取的信用卡透支额度平均达到4000美元以上。
2008年12月29日,金山截获了号称年末最“牛”的盗号木马病毒——HB蝗虫病毒新型变种。该病毒传播途径广泛,针对魔兽世界、大话西游onlineII、剑侠世界、封神榜Ⅱ等几乎市面上所有网络游戏展开疯狂盗号,短短一天时间感染的机器数量超过了20万台。在虚拟世界中,由于木马引起的账号威胁,已经很难得到有效控制。
木马成互联网最大威胁
木马对互联网的影响已经超出了个人终端的范围,涉及互联网搜索、网络购物、证券交易、网络聊天软件、下载等。甚至有些黑客利用木马点击器冒充用户点击竞价排名广告,将黑手伸向了搜索引擎。
2008年前10个月,互联网上共出现新病毒9306985个,是去年同期的12.16倍,这是瑞星《2008年度中国大陆地区电脑病毒疫情暨互联网安全报告》中显示的内容。2008年新增病毒中,“网页挂马”所传播的木马、后门等病毒占90%以上。
盯准了那些所谓的“合法网站、大中型网站”的木马已经成为互联网上最大的威胁,也变得越来越精明。现在的木马病毒绝大多数通过漏洞传播,而且多数木马病毒运行时没有明显的异常特征,用户很难及时发现自己已经中毒。
只要用户电脑上的漏洞存在,访问挂马网站中毒的风险就一直存在。即使安装了杀毒软件,也只能在病毒入侵时拦截,风险比弥补漏洞之后会高许多倍。实际上,每天约有30%的网民上网时会遇到挂马网站。这些挂马网站中80%以上属于管理不严的正规网站,其中包括新闻网站、网络论坛、博客网站等。
从木马的本质上讲,现在主动进行传播的病毒已经非常少,绝大多数木马、后门都是通过网页挂马进行的。而网页挂马是一种被动的病毒传播方式,用户只有去主动访问挂马网站,才会遭到木马病毒的侵袭。
但黑客团伙往往会雇佣专门的人去入侵正常网站,如门户网站、新闻网站、热门论坛等,在其中植入木馬。或是对自己建设的挂马网站进行SEO(搜索引擎优化),当用户搜索“美女、电影”等热门关键词的时候,这些带毒网站会排在搜索结果的前几页,引诱用户上钩。
更有甚者,还会利用新兴的SNS网站散发挂马链接,通过站内短信、博客回帖等形式,吸引网民访问挂马网站。现在热门的Web2.0网站,几乎都遭到过此类带毒链接的侵扰。
最强木马现身互联网
Sinowal木马(也被称为Torpig和Mebroot)被称为目前互联网中风险强度最高的恶意软件,RSA FraudAction研究实验室根据对Sinowal木马进行的持续近三年的跟踪和研究表明:从2006年2月至今,Sinowal木马已经破坏并窃取了大约30万个网上银行账户的登录信息,以及相同数量的信用卡和借记卡。
关于Sinowal木马的传闻,有很多种版本。其中比较靠谱的传闻,称其是被俄罗斯网上团伙拥有和操纵的,即臭名昭著的俄罗斯商业网(RBN)。而RSA FraudAction研究实验室和卡巴斯基实验室的数据都已经证实了Sinowal木马在过去确实与RBN有着极为紧密的联系。但根据最新的数据监测表明,目前Sinowal的托管设施可能已经发生了变化,不再与RBN有关。
Sinowal木马的可怕之处,就在于它可以在不留下任何痕迹的情况下感染受害者的电脑。Sinowal木马背后的犯罪分子不仅创建了极其先进的恶意犯罪软件,而且还维护着一个极其隐蔽和可靠的通信基础设施。这个基础设施已经让Sinowal木马收集并传送了将近三年的信息。此外,盗窃的数据在一个组织良好的数据仓库中得到了系统的组织。近三年的时间,对于一个网上团伙维持其生命周期和操控,以有效利用一个木马程序来说,已经是一个非常非常长的时间了。
为了使木马不间断地掌控受感染的计算机,Sinowal木马的创建者会定期发布新变种,并登记成千上万的互联网域名作为其通信资源。图1显示了Sinowal木马的创建者创造新变种的速度。
如同其他木马一样,Sinowal木马使用了HTML注入功能,有效地将新的网页或信息字段注入到受害者的互联网浏览器中——而这些注入的内容对受害者来说,看起来像是合法的网页。比如,Sinowal木马能够对不知情的用户提示输入个人信息,如社会安全号码和其他详细信息,而用户往往不知道,真正的银行系统是不会要求用户在网上提供这些个人信息的。
被犯罪集团操纵的木马程序,很轻易就能够感染数十万台电脑,并能损害及窃取用户的账户信息。在被Sinowal木马窃取的用户地域分布中,北美和欧洲受影响最大,图2显示了Sinowal木马损害网上银行账户的速度。
尽管目前很多金融机构已经掌握了被Sinowal木马损害的用户情况,但仍有大部分用户蒙在鼓里。