从病毒的传播平台谈开去.ppt

从病毒的传播平台谈开去 未来病毒和反病毒的趋势 金山毒霸事业部 陈飞舟 2002年8月30日 未来病毒传播途径及趋势分析 w IE操作系统 w 即时通讯工具 w 无线领域及嵌入式系统 w P2P网络 未来病毒传播途径及趋势分析 （一）IE操作系统 IE操作系统 主流的桌面计算平台 w 面向普通用户的应用接口 w 基于互联网的操作系统 w 应用范围最广泛的信息平台 w 逐渐没落的Dos和“曲高和寡”的Unix 病毒肆虐的主战场 蠕虫病毒之一 w 不死的蠕虫 “求职信”系列及其他 传播速度快，感染范围广 反复感染，难以根除，具有顽强的生命力 丰富的传播和破坏方式，使用了过去两年来几乎 所有病毒的常用技术。 隐蔽性更好，使用加密技术 破坏性惊人，泄漏用户信息 病毒肆虐的主战场 蠕虫病毒之二 w 蠕虫病毒的其他技术 自动连结到URL地址，升级或下载（Frethem） 由多个子病毒复合组成，与正常程序绑定在一 起（TeddyBear） 多线程监视病毒的运行环境（中国黑客） 病毒肆虐的主战场 蠕虫加木马之一 w 蠕虫加木马 “红色代码”系列 没有病毒实体、直接从内存到内存进行传染。 利用Windows服务器的系统漏洞 使用主动传播方式，发动 DoS (拒绝服务)攻击。 在遭到攻击的计算机上植入木马程序 ，远程控制 服务器 病毒肆虐的主战场 蠕虫加木马之二 w 木马和黑客程序 带有人为控制色彩的木马、黑客程序 无处不在的网络攻击（“冰河”、“BO”系列、“ 网络神偷”、 “广外女生”等） 巨大的破坏性（“Delf”终止反病毒软件及防火 墙进程、“Crabox”占用网络带宽、“Portacopo” 覆盖硬盘上文件、“传奇黑眼睛”盗取网络游戏帐 号） 目前病毒与黑客入侵已经达到6比4的比例 和病毒相结合的趋势（“尼姆达”、“红色代码” ） 病毒肆虐的主战场 脚本病毒 w 更甚于宏病毒脚本病毒 脚本语言的广泛应用 “爱虫”（LoveLetter） 新的“欢乐时光”（VBS.KJ） “中文求职信”（donghe） 病毒肆虐的主战场 恶意代码和网页病毒 w利用IE的ActiveX漏洞的病毒 修改用户的IE设置、注册表选项 下载木马、恶意程序或病毒 格式化用户硬盘或删除用户的文件 不具有传染性，更重主动攻击性 恶意网站（“爱情森林”） 特点和趋势 w 以网络环境传播为主，带有主动传播的特征 w 网络蠕虫将成为最主要和破坏性最大的病毒 w “网页病毒”将成为重要的破坏手段 w 技术上具有混合型特征（A、综合多种已有技术，B、蠕 虫、木马、黑客程序相互结合） w 对自身进行不断完善，形成家族 w 病毒依赖于系统，利用系统漏洞和内核，IE操作系统将 成为病毒破坏的主要对象 w 高级语言编写，更易于制造 （二）即时通讯工具二）即时通讯工具 即时通讯工具 最流行的交流工具 w QQ/ICQ、MSN、AIM、Yahoo!Messenger用户 的标配软件 w 流行程度超过现在最主要的病毒传播途径 电子邮件 w 支持文件共享，功能不断增加、复杂化，安 全缺陷也可能越来越多 安全方面的现状 w “Goner”病毒可以利用ICQ传文件的功能向 别的计算机传播病毒体 w “中国黑客”向QQ的消息窗口发送文字信息 ，“爱情森林”则进一步利用QQ消息窗口传 播 w 利用Yahoo的Messenger的安全缺陷发动“缓 冲区溢出”攻击 w 通过AIM的漏洞插入恶意的图片和声音文件到 客户端 特点和趋势 传播速度快，波及范围广，短期内将出现 多个变种 w 利用即时通讯工具本身的BUG或漏洞进行 传播、执行 w 吸引用户“上当”的方式多种多样 w 使用多种已有的传播和破坏技术，结合蠕 虫、木马、黑客程序 （三）无线网络及嵌入式系统三）无线网络及嵌入式系统 无线及嵌入式 不断进步的可编程平台 w 手机、PDA、信息家电 w 无线网络、WAP 互联网的一部分 w 嵌入式操作系统 安全方面的现状 w 利用设备本身漏洞，通过短信或邮件攻击，修改手 机或PDA设置，删除存储的电话簿等信息 w 特殊短信一般从互联网发送而非用户间互发 w 不具有传染复制的特性，传播性差 w 攻击目标主要针对诺基亚、西门子、Palm OS等大 厂商主要型号产品和主流操作系统 w 实例较少，在这方面应用发达的地区较多（如日本 ），多数用户对此重视不够 特点和趋势 w 基于嵌入式操作系统，通过互联网向接入的设备传 播或利用用户之间的信息交互传播 w 随嵌入式系统的不断统一和相关软件的应用增长而 增长 w 病毒体较小，技术基于多数设备使用的主流操作系 统平台 w 破坏、泄漏用户设备上存储的信息，或造成设备不 能正常使用 （四）四）P2PP2P网络网络 P2P网络 点对点的网络通道 w P2P（peer-to-peer），一种思想 w 改变以大网站为中心的状态，控制权 重归用户 w 通过P2P直接共享对方的硬盘 安全方面的现状 w Napster 和 Kazaa w 通过P2P传播的病毒 “Sambud” 、 “Kowbot” 、“Lama” w 微软的警告 特点和趋势 w 通过提供和使用P2P服务的计算机传播，进而引起 连锁反应 w 伪装成常见的P2P传播的文件形式，例如MP3等多 媒体文件，诱试用户运行 w 利用常用P2P软件的安全漏洞 w 难于找到病毒的源头，传播起来难以遏制 w 是否流行受P2P应用程度的影响 今后反病毒工作的对策 w 提供更加完善的咨询和服务 w 构建无毒、安全的应用环境 更完善的服务和咨询（之一） w 快速反应的病毒检测网 w 在病毒爆发的第一时间提供解决方案，快速响应用 户提供的新病毒样本 w 提供智能的，全天候的在线升级服务，使用户的反 病毒软件随时拥有最新的防病毒能力。 w 提供在线的病毒查杀服务 更完善的服务和咨询（之二） w 提供完整、即时的反病毒咨询 w 提高用户的反病毒意识与警觉性 w 尽快让用户了解新病毒的特点和解决方案 w 提醒用户对新的系统和软件的漏洞进行升级 w 帮助各地的经销商，通过培训和其他支持，建立当 地的病毒处理中心 构建无毒、安全的应用环境 个人用户系统的防护 w 防毒于未然 对病毒经常攻击的应用环境和应用程 序（例如Office、邮件系统、即时通讯工具以及P2P工 具、嵌入式平台等）提供重点保护；通过系统漏洞修 复等堵住病毒传播途径的手段防治病毒进入用户系统 w 杀毒更有效 传统反病毒技术与动态查杀、虚拟机 、病毒代码解析以及“通用”反病毒技术（例如利用 正常备份覆盖；利用原来的保存信息恢复数据；自动 脱壳等技术）等多种技术进一步发展和融合。 构建无毒、安全的环境 政府、企业计算环境的防护 w 单机、服务器及关键环节（如网关等）的防护相结合 w 集中控制，分布式运行管理；统一的设置、操作方式 w 实现跨平台反病毒技术，做到与各种系统的底层无缝 连接，摆脱平台限制，扩展查杀范围 w 网络及时通讯，控制台实时监控整个网络安全情况， 即时扫描修复服务器系统漏洞，可靠地实时查杀病毒 w 良好的兼容性和较低的资源占用率 构建无毒、安全的环境 宽带网络环境下的防毒体系 w 实现对高速网络环境进行病毒检测 w 运用未知病毒检测技术，及时发现侵入 的病