四月安全状况报告:恶意域名变化迅速

域名

  核心提示:根据金山毒霸“云安全”中心的监测,目前国内网络中,每天大约新增10个左右的恶意域名,这些域名可能指向同一个黑客服务器,也可能单独具有一个对应的服务器。

  5月18日,金山毒霸发布了《2009年4月份中国电脑病毒疫情及互联网安全报告》。据报告中数据,2009年4月份,新增电脑病毒、木马1,773,891个,病毒、木马感染电脑数量为20,083,015台次。其中网页挂马、软件漏洞依然是病毒传播的主要途径,互联网安全形势依旧很严峻。

  报告显示,在4月份,整个互联网的安全形势主要呈现出三大特征:恶意域名变化迅速、IE首页被强行修改、下载器免杀更新频繁。金山毒霸反病毒专家李铁军表示,伴随着杀毒厂商的病毒查杀技术的不断提高,电脑病毒作者与杀毒厂商之间的对抗也日益增多。恶意域名的迅速变化以及下载器免杀的频繁更新都说明了这一点。

  恶意域名变化迅速

  所谓的恶意域名,就是病毒团伙用于存放恶意程序的服务器的“地址”。如果您曾经阅读过前两期的安全月报,相信您对网页挂马行为和脚本木马已经有所认识,但脚本木马通常只是一个下载器(可以下载大量其他木马的病毒),它必须要下载其它恶意程序,才能给用户电脑造成实质的破坏与损失。而恶意程序,就是存放在那些恶意域名背后的黑客服务器上的。

  为避免安全厂商和公安部门顺藤摸瓜,通过跟踪服务器动向来追查他们的行动规律和地理位置,病毒团伙频繁的更换服务器,服务器的域名自然也是随之改变。

  根据金山毒霸“云安全”中心的监测,目前国内网络中,每天大约新增10个左右的恶意域名,这些域名可能指向同一个黑客服务器,也可能单独具有一个对应的服务器。而每款木马下载器中所包含的下载列表,两三天就会更新一次,基本上是每出一个木马新变种,病毒团伙都会立即更换恶意域名。

  下载器免杀更加频繁,防御手段必须创新

  进入4月后,各款恶意程序的更新频率都越来越高。过去我们所接触的一些著名病毒,如机器狗、磁碟机等,可能一周、甚至半个月才出一次变种。而近来被多次曝光的宝马下载器、脚本下载器系列等,更新频率竟然达到一天两次以上。

  这种频繁的更新与过去那种缓慢更新有着很大的区别。在过去,病毒很长时间才更新一次,每次更新,都会添加一些新的功能,也许是对抗能力更强,也许是可执行的破坏行为更多。但现在这些每天更新的病毒,它们仅仅是做了免杀而已。

  所谓免杀,简单的说就是改变病毒的某些特征,让杀毒软件无法识别,这种方法虽然简单,但对付常规的杀毒软件却非常有效,因为杀毒软件的升级具有延时性,并且由于体积庞大,不可能像病毒那样随意更新。

  这样一来,杀毒软件既无法及时防御病毒,又增加了软件出错的风险,部分杀毒软件几乎是疲于奔命,最后遭殃的仍是用户。传统的杀毒措施已经无法对电脑进行有效防护,必须要有新的防护手段,在这种情况下,金山互联网安全实验室(http://labs.duba.net/)应运而生,相续开发出“网盾”、“系统急救箱”等深受用户欢迎的实验型安全工具。而其他安全厂商也相继推出了自己的新理念。

  IE首页修改病毒增多

  在过去的几个月里,我们从木马下载器的下载列表中查获的恶意程序,盗号木马占主要构成。而在四月,我们发现广告类木马出现了明显增长。

  这些新增的广告木马与传统的广告木马有所不同,它们并非靠添加流氓插件来实现弹广告。而是利用恶意驱动来修改用户电脑中有关IE默认首页的文件,使得用户在启动IE时被强行指引到病毒作者指定的网站,为这些网站做推广和刷流量。

  由于是利用驱动彻底改变了系统数据,普通的修复手段无法有效修复这种破坏,用户只有能两个选择:忍受广告或重装系统。金山毒霸对此所推出的方案,是利用“系统急救箱”进行暴力修复,在运行该工具时,电脑会蓝屏,但重启之后,一切就可恢复正常。

The End
The Scream The Scream
免责声明:本网站发布的内容(图片、视频和文字)来自网络,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系在线客服。