1. 首页
  2. 业界

瑞星称感染型病毒蔓延 64位操作系统不再安全

  7月11日消息,瑞星公司昨日对外公布了《2012年上半年中国信息安全报告》。 报告显示,2012年1至6月,瑞星“云安全”系统共截获新增病毒样本3,349,373个,病毒总体数量与去年同期相比有所下降。2012年1至6月,共计7.4亿人次网民被病毒感染。

  报告同时指出,随着64位操作系统的逐渐普及,感染64位PE文件的病毒呈明显上升趋势,这意味着64位操作系统已不再安全,尤其是企业级用户应采取相应的安全保障措施,才能预防此类信息安全威胁。

  一、病毒与木马

  1. 病毒概述

   2012年1至6月,瑞星“云安全”系统共截获新增病毒样本3,349,373个,病毒总体数量与去年同期相比有所下降。其中木马病毒2,808,723个,占据总体病毒比例的83.86%,紧随其后的病毒依次为感染型病毒(Win32)、蠕虫病毒(Worm)、恶意广告程序(Adware)、病毒释放器(Dropper)和黑客后门(Backdoor)。

  

瑞星称感染型病毒蔓延 64位操作系统不再安全

图1:2012年1-6月病毒构成分析图

  2. 十大病毒排行:木马病毒猖獗

   2012年1至6月,共计7.4亿人次网民被病毒感染,平均每天411万人次网民中毒,按感染人数、变种数量和代表性进行综合评估,瑞星评选出了2012年上半年的十大病毒。

瑞星称感染型病毒蔓延 64位操作系统不再安全

图2:2012年上半年十大病毒

  3. 病毒技术趋势分析:从“破坏”到“谋财”

   通过对2012年1至6月新增样本的病毒行为分析发现,今年的病毒数量与去年同期相比有所下降,从表面上看,似乎处于“风平浪静”的状态,但实际上病毒将其破坏行为转变为“地下操作”,用户传统观念中的中毒后“电脑死机”、“无法上网”等现象不再是主流病毒采用的方式。目前,最为流行的病毒均以篡改IE首页、盗取用户隐私信息等方式,实现为黑客带来巨大经济利益的目的。

  1)病毒、杀软“战争”进入白热化

   随着杀毒软件对病毒的强力围剿,病毒作者对抗杀毒软件的方法也不断升级。以往,病毒通过增加垃圾数据将病毒文件不断增大来规避“云查杀”,今年已升级为通过病毒守护进程,定时更新病毒MD5值的方式,使杀毒软件无法进行有效识别。瑞星安全专家介绍:“这种方式就好比汽车的自动翻牌器一样,在遇到检查时,自动换上另一套号牌。”

   此外,某些病毒竟然能够做到使杀毒软件“选择性失明”。传统病毒在进入系统后,为躲避杀毒软件查杀,往往会利用各种手段,尝试将其破坏,这种方式容易引起用户和安全厂商的注意,从而察觉电脑中毒。因此,病毒作者进行了策略调整,借助一些正常软件的数字签名,“合法化”的绕过杀毒软件的检测机制,使杀毒软件不将其视为病毒,而是当作“正常软件”放行。

   例如,瑞星“云安全”系统近期监测到一款名为Trojan.Win32.FakeIME的病毒,该病毒将自身伪装成为某知名输入法图标,并盗用其数字签名,从而逃避杀毒软件的监控和查杀。瑞星安全专家介绍,病毒采用的技术在进步,杀毒软件的查杀技术也在不断提高。预计今年下半年,病毒和杀毒软件的对抗将会向白热化升级。

  2)网银盗号愈演愈烈,病毒趋于智能化

   随着网上购物、网银交易的不断普及,大批黑客开始专注劫持网银进行获利。2012年上半年,瑞星“云安全”系统智能分析处理中心经过对流行病毒行为方式自动提取规则后发现,针对网银类的木马病毒使用的技术发生了明显变化。

   以最为知名的“网银超级木马”为例,最初的样本往往采用恶意DLL文件实现篡改支付信息的方式,如今发展到通过解密并将恶意代码注入到傀儡进程中,由傀儡进程去实行恶意行为,这样做的目的是能够绕开一些杀毒软件的主动防御规则,从而逃避查杀。

   如图所示,最初“网银超级木马”和近期最新变种行为流程对比图:

  

瑞星称感染型病毒蔓延 64位操作系统不再安全

图3:“网银超级木马” 最新变种行为流程对比图

  3)感染型病毒蔓延,64位操作系统不再安全

   通过对1至6月的数据分析发现,感染型病毒*依旧是继木马之后的第二大病毒类型。另外,随着64位操作系统的逐渐普及,感染64位PE文件的病毒呈明显上升趋势,这意味着64位操作系统已不再安全,尤其是企业级用户应采取相应的安全保障措施,才能预防此类信息安全威胁。

   上半年,一种可感染64位操作系统的“Xpaj”病毒悄然流传,“Xpaj”比以往所有感染型病毒都要复杂,不仅使用了传统的入口点模糊、多态等技术,最为复杂的地方是它将病毒代码替换掉原程序中子函数的代码,从而与原程序代码很好的融为一体,给传统杀毒软件在清除该病毒时造成了巨大的困难,“不是杀不了,就是杀后被感染文件无法使用”。

   *注释:感染型病毒具有易传播,不易清除等特点,同时会给用户造成巨大的危害。传统的普通感染型病毒如:在文件末尾增加节、增加最后一个节大小、修改PE文件入口点。针对这种普通感染型病毒,传统杀毒软件比较容易清除干净,但是新型的复杂的感染型病毒业已出现。

  4)Mac OS X安全优势不在,

发表评论

登录后才能评论