木马十年进化史:从祸害系统到掏空钱包

标签:木马

访客:23085  发表于:2016-07-01 10:12:03

过去十年是互联网高速扩张的黄金年代,与此同时,木马病毒也在不断演变进化,滋生在每一个阴暗角落,紧扼着网络经济的脉搏向人们的生活渗透、为非作歹。综合各大网络安全机构发布的木马病毒公告,我们评选出从2007年至今最恶毒的十大木马。

木马十年进化史:从祸害系统到掏空钱包

2007年:网吧杀手——机器狗

2007年,一种可以穿透各种还原软件与硬件还原卡的木马病毒肆虐。由于该木马采用电子狗的照片作为,因此被很多受害者形象地称为“机器狗”。

严格意义上来说,“机器狗”是一个木马下载器,它的主要任务是把各种游戏盗号木马输送到受害者电脑里。它的最大特点是能够穿透网吧常用的还原体系,并快速感染整个局域网,长期驻留在系统底层,对当时习惯在网吧打游戏的玩家来说无疑是一场浩劫。

有不完全统计显示,机器狗对网吧行业造成的经济损失高达数十亿人民币。

2008年:群殴战术——蝗虫军团

“蝗虫军团”是2008年由360安全卫士发现的一款木马下载器,它首创群殴战术、兵团作战的木马攻击手法。该木马一旦执行,会在瞬间下载上百个木马,就象蝗灾来袭时那样铺天盖地,肆虐程度比起前辈“机器狗”也是有过之而无不及。

蝗虫军团有着上百个分工明确、功能各异的“子木马”,有专门阻拦杀毒软件的,有负责阻止用户登录安全厂商网站的,还有负责弹出恶意广告的,有攻击局域网其他电脑的,还有专门瞄准传奇、征途、魔兽世界等等热门网游盗号的。

该木马群还具有集体复活的本领,只要有一个子木马被漏杀,其他子木马很快都会被“召唤”重生,根除难度相当高。还记得那些年我们电脑中毒就去找专杀的日子吗?

2009年:高级伪装者——魔兽密保克星

这类盗号木马将自己伪装为游戏的运行程序,针对当时热门网游《魔兽世界》,魔兽密保克星会把真正的wow.exe改名后设置为隐藏文件,自己却摇身一变,堂而皇之地以wow.exe的名称摆在玩家面前。如果玩家不加注意运行了木马,即使账号绑定了密码保护卡,游戏角色仍然会被盗取。相信那时的魔兽玩家对这个魔兽游戏图标木马会印象深刻。

2010年:经典APT——Stuxnet(震网)

Stuxnet,中文名为震网病毒。虽然它的活动时间远远早于2010年,但是直到当年6月才首次曝光。

在网络空间战争中,Stuxnet有着无与伦比的深远影响,破坏伊朗核电站赋予它传奇色彩,更重要的是,Stuxnet把各国之间的APT攻击(高级持续威胁)曝光在公众视野里。

在Stuxnet之后,一份份APT报告陆续被国内外各大安全厂商发布出来,人们才真正意识到网络空间攻防的激烈程度一点都不亚于现实世界。而对于我们国家来说,也多次遭遇来自国外黑客组织的APT攻击,2015年的“海莲花”事件就为我国的网络安全敲响了警钟。

2011年:深入MBR的“不死鸟”——鬼影系列

有人说电脑中毒并不可怕,只要重装下系统就好了。但是随着鬼影系列的泛滥,别说重装系统了,就是格式化硬盘也无济于事。

“鬼影”系列是国内首个磁盘主引导区(MBR)病毒,它颠覆了传统病毒,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次感染新系统。

从2010年到2012年,鬼影系列由第一代发展到第六代,期间还出现过更进一步感染BIOS的变种,2011年则是该家族的巅峰期。当然,防范鬼影系列并不难,因为它感染MBR之前一定需要安装驱动,而360等安全软件对非可信驱动都会进行拦截。只是,有些游戏玩家会关闭杀毒软件再用外挂,而鬼影系列恰好主要是捆绑在外挂里传播,这也是外挂用户成为鬼影的主要受害者。

2012年:网购时代的寄生虫——支付宝大盗

时间走到2012年,上网购物进入高度发达时期,网银和各种第三方支付也日益普及。这时候,一类专门打劫网购资金的木马悄然崛起,成为木马黑色产业的一股重要力量,支付宝大盗就是其中的一个典型。

支付宝大盗的原理其实并不复杂,它一般由不法分子直接把木马以“商品图片”等名义发送给买家或卖家,然后木马会潜伏在系统里,监视浏览器的访问行踪。当浏览器进入网购支付页面时,支付宝大盗会篡改交易数据,把收款账户替换为黑客的账户,使受害者的网购资金被拦路劫走。

支付宝大盗等网购木马的泛滥,也直接催生了安全软件的网购保镖类产品和网购先赔类服务。所幸随着安全厂商围剿以及支付平台安全性的不断提升,如今网购木马已逐渐衰落。

2013年:流氓推广的灰色地带——主页劫匪

如果问问普通老百姓近年来对木马病毒的直观感受,一定是盗号的少了,但篡改主页和强制安装软件的流氓推广越来越多,这也是木马产业链在时代变迁中寻求利益的必然选择。

和直接偷钱触犯刑法的高危木马相比,流氓推广属于灰色地带,越来越多木马制作者开始把精力放在闷声发财的流氓推广上。而主页劫匪并不是某一款具体的木马,它是那个年代肆无忌惮篡改主页的恶意软件的统称。

2014年:XP停服的投机分子——瘟七木马

XP停服是2014年网络安全行业的重头戏,在无数XP用户慌忙升级系统之际,瘟七木马打着“Win7 Ghost SP1装机旗舰版”的旗号招摇撞骗,完全就是一个趁火打劫的投机分子。

“瘟七”木马驱动深入系统底层,能够在电脑开机时抢先运行。它采用了挂钩Windows文件系统的“隐形”手段,具有较强的免杀能力,并劫持浏览器主页和淘宝等知名购物网站赚取广告佣金。

有统计数据显示,瘟七木马在高峰期每天攻击上万台电脑。直到今天,仍有很多木马病毒伪装成“小马激活”等装机工具大量传播,看来盗版系统真是木马病毒永恒的温床。

2015:最无赖的敲诈专家——CTB-Locker

CTB-Locker,又名比特币敲诈者,该病毒通过高强度加密电脑文件,从而向受害者勒索赎金。

CTB-Locker早在2014年中期就在国外流行,针对中国网民的攻击则是从2015年初才密集出现。据反病毒专家安扬介绍,CTB-Locker主要利用英文邮件传播,解压缩后是使用了传真图标的scr格式可执行程序,对外贸等行业的企业人员具有较强迷惑性。

由于使用了高强度的非对称加密,如果没有病毒制作者的私钥,被CTB-Locker加密的文件基本无法恢复,只有乖乖交价值数千甚至上万元人民币的比特币赎金。对付敲诈者病毒,事前预防远远要比事后查杀重要得多。

2016:变本加厉的勒索分子——Locky敲诈者

没错,今年最火的木马病毒仍然是敲诈者,例如locky、cryp1等等后缀的加密勒索,如果在网上搜一下,哭求解密的帖子真不少。

与前辈CTB-Locker相比,Locky敲诈者的传播途径更多元化。除了电子邮件以外,下载器挂马(JS挂马)、执行器挂马(DLL挂马)等各种方式更是防不胜防,包括Flash漏洞也成为敲诈者病毒趁虚而入的通道。

从过去十年各类木马的兴衰也可以看到,木马攻击的门槛正在越来越高,即使是最先进的敲诈者病毒,也无法快速蔓延自动感染,曾经一个冲击波蠕虫或者熊猫烧香就能遍地成灾的景象已经成为历史,免费杀毒软件的普及让上网中毒真正成了小概率事件。但所谓道高一尺,魔高一丈,作为反派的木马病毒,其更新换代必然是冲在前头的,新的威胁随时可能出现,只要网络经济存在,我们与木马病毒的缠斗就永无止歇。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");