木马产业链又见缩影 僵尸主机木马来袭

作者: 云计算机网 分类: 云安全 发布时间: 2019-05-19 07:46

【赛迪网-IT技术讯】连日来,江民科技客服中心陆续接到用户反馈称,电脑主机带宽占用异常多,并且电脑无故拖慢。

江民工程师在对用户的远程协助中发现,造成此种情况的正是几日来,持续发作的病毒——“僵尸主机”。

从江民反病毒中心统计的数据显示,虽然近一个月内病毒疫情仍以“U盘寄生虫”、“刻毒虫”等为主,但是“僵尸主机”等以控制主机为目的的病毒因某种原因,呈明显上升趋势。

平均每天超过100万台的主机遭受“僵尸主机”的感染。

并且该木马仍以网页挂马等方式,在互联网上进行迅速的传播。

经江民反病毒工程师分析,“僵尸主机”为一类经过加壳处理的木马程序。

该病毒运行后,将病毒文件复制到系统文件夹“%USERPROFILE%\”中,将自身属性更改为“系统、隐藏、只读、存档”,把恶意代码注入到新建的“svchost.exe”进程中隐秘运行。

以上完成后,“僵尸主机”会自动连接骇客指定的“jebena.an*****lic.su”、“peer.picke*****ke.ru”、“teske.po*****rke.com”等来自国外的站点,通过读取配置文件,来执行骇客指令,对指定的IP地址或者端口连续不断地发送连接请求,实施DDos攻击。

在此过程中,受感染的主机将大量消耗网络带宽和系统资源,因此会出现用户反馈的电脑无故变慢和带宽异常的现象。

据悉,早在多年以前,使用木马或者后门程序劫持主机的手段就已经成为了木马黑色产业链中重要的一类。

在使用网页挂马等方式感染用户主机之后,骇客可直接操纵受感染的主机(俗称“肉鸡”),通过执行配置文件来达到点击广告等行为,使其非法获利。

更有甚者,会操纵庞大数量的肉鸡,在同一时间不断访问指定IP或者端口,达到对其发动网络攻击的目的,造成其服务器沦陷。

此种行为很容易令人想到近两天网友反映的网易服务器宕机事件。

对于用户而言,由于计算机已经成为人们生活和工作中的一部分,沦为肉鸡后,用户隐私将彻底曝光于骇客面前。

除此之外,受感染的主机还将按照骇客指令下载其他木马、恶意软件等恶意程序,至此,受感染主机彻底成为了骇客敛财的工具和帮凶。

对此,江民反病毒中心已在第一时间做出应急处理,对“僵尸主机”进行查杀。

江民反病毒专家建议,针对此类病毒,除了及时打好系统补丁之外,务必要使用杀毒软件提供的网页监控功能,并及时的更新杀毒软件,在第一时间免除自己成为“僵尸主机”的狩猎目标。

同时,江民科技将密切的注意“僵尸主机”病毒的最新情况,以确保在第一时间内对病毒的变种做出应对处理,保障用户的网络安全。
  • 【赛迪网-IT技术讯】和致病微生物对人类的影响一样,某种传染病的感染量从巅峰降到谷底,甚至消灭,并非只是抗生素的功劳。

    生态环境的变化,同样对致病微生物产生重大影响。

    从在下对计算机病毒多年的理解来看,计算机病毒在特定生态环境(网络应用环境)彼此消涨。

    也得出一个结论:计算机病毒的流行、消亡不完全是杀毒软件的功劳,网络应用环境的演变才是病毒表现形态变化的主导因素。

    当普通网民的上网设备从MODEM过渡到ADSL类设备,带宽从几十Kb升级到几百Kb,网络应用从一开始的bbs,浏览网页迅速转变到对网络游戏的狂热,上网成了网络游戏的代名词。

    许多人慢慢理解了虚拟道具的价值。

    在网络游戏早期,游戏装备在游戏中随机掉落,每一件游戏装备根据掉落概率的不同,具有不同的价值。

    游戏装备的买卖十分活跃,为游戏一掷千金者大有人在。

    随之而生的,便是盗号产业,盗号产业是寄生在网络游戏产业上的恶性肿瘤。

    至今,受盗号产业影响最大的是游戏厂商、游戏玩家和网吧业。

    2003年,某游戏玩家在两年时间里,花费了几千个小时和上万元的现金,在某个网络游戏里积累和购买了各种虚拟装备,这些装备使他一度在虚拟世界里所向披靡。

    但某一天,当他再次进入游戏时,却发现所有武器装备都不翼而飞,其中包括一把号称绝版的“屠龙宝刀”。

    后经查证,这些装备是被另一个玩家从其他人手中购买。

    网络游戏产业还成就了一批打钱工作室,国外媒体还给了他们一个响亮的名字:“金币农夫”。

    凡客老板陈年还曾经创办过一个网站,专门从事虚拟装备和虚拟货币买卖。

    再往后,史玉柱在征途中创新了网络游戏的运营模式,接管了金币农夫的大部分业务,游戏运营商直接生产销售虚拟道具。

    打钱工作室的生存空间被压缩,只有非绑定的装备和ID才能顺利进入交易市场。

    尽管游戏运营商的经营策略压缩了盗号产业的规模,但是针对网络游戏的盗号木马依旧活跃,在杀毒厂商收集的病毒样本中,各类盗号木马是绝对主流,杀毒厂商对盗号产业链的分析也被公安机关一个接一个破获的盗号大案所验证。

    除了安全厂商,游戏运营商也身处盗号集团的四面围剿之中。

    一开始,盗号木马采取键盘记录来盗取游戏帐号。

    游戏厂商就把虚拟键盘设计在游戏客户端,但很快发现,虚拟键盘不灵了,木马采取了截图盗号,跟踪玩家登录时的鼠标点击,并截取一定像素的图片发送到远程服务器。#p#分页标题#e#

    甚至,盗号木马对特定的游戏进行分析,直接读取破解内存数据,分析帐号密码。

    游戏厂商为对付头疼的盗号问题,设计了各种花样百出的锁:

    上线时限:登录游戏后不能立即交易,需一段时间之后才开放装备交换。

    限制异地交易:当平常登录的IP突然改变时,拒绝交易。

    仓库密码:就是帐号箱子密码。

    网页锁:登录游戏之前先登录网络解锁。

    电话锁:帐号和ID绑定,登录前打个电话,然后系统开通几分钟的登录通道。

    手机锁:同电话锁。

    硬件锁:绑定硬件的部分信息。

    矩阵密保:魔兽密保卡,这东西和某些网银的口令卡差不多。

    动态令牌:比较成功的是网易将军令。

    在盗号木马产业链中,流量商是最核心的环节,生产的新木马必须通过流量商的渠道才能完成分发。

    流量商就象媒体广告,病毒作者生产的盗号木马必须通过“媒体广告”传播出去,再安装到目标用户的电脑上。

    使用广告资源,当然就得付广告成本——流量费。

    下游是专门收获虚拟装备的各种箱子,信封。

    箱子信封里保存着偷来的帐号、装备信息,需要用工具或人工方法将这些分散的虚拟装备收集起来通过公开的装备交易平台出售。

    网页挂马对网游盗号木马的传播起着决定性的作用,由于客户端浏览器和操作系统广泛存在安全漏洞,病毒传播者据此制造木马下载器和挂马代码,再将挂马代码植入到色情网站、外挂下载站、小说下载站,以及黑客入侵后的大量商业机构网站和政府机关网站。

    访客只需要浏览这些网页,就会立即中毒,木马下载器自动运行。

    结果就是,数十种盗号木马蜂涌而来,只要这台电脑有运行网络游戏,杀毒软件不给力时,基本就会被盗。

    而在网吧玩儿游戏,那纯粹是疯了。

    曾经某厂商组织游戏工会在某网吧活动,结束后,所有帐号全部被盗。

    盗号产业链的各个环节可能是独立运营,也可能都处于一个集团的控制之中。

    2009年,南京警方破获了国内最大的一起网游盗号木马案,该团伙控制了全国盗号木马产量的60%,影响了40余款热门网游的运营,据该团伙主犯王某称,该团伙在巅峰时期,三个月收入3000万元。

    可以肯定的是,绝大部分网游虚拟财产被盗的案件未被立案,更谈不上破案。

    这起千万元级别的盗号木马大案还是在查处某国家机关网站被入侵时无意中深挖出来的。#p#分页标题#e#

    安全厂商对盗号木马也只做到了头疼医头,脚疼医脚:各厂商都推出了所谓密保、保险箱产品,有的普及率还非常高。

    但是,都没有阻止盗号木马的漫延。

    金山密保的保护效果不错,可惜,这个产品的推广和研发都十分不给力。

    在控制盗号木马传播的过程中,金山网盾类的防网页挂马工具功不可没。

    此类工具的普及,已令网页挂马丧失利用价值。

    盗号木马的传播,被迫走向捆绑欺诈下载。

    随着网络应用的不断扩展,在线游戏的耀眼光芒被在线购物和在线视频取代,病毒产业又找到新的方向。

    当然,在今后很长的时间里,盗号木马仍然是游戏玩家的最大威胁。

    游戏领域的安全问题,仍然等待安全厂商着力解决。

    (责任编辑:admin)

  • 相关推荐:

  • 谁拿了我的屠龙刀? 看
  • 安卓白卡机惊现恶性扣费
  • “F117隐形木马”化身“
  • 安卓手机木马伪装Googl
  • 融木马和后门为一体“屠
  • 摄像头连着谁的眼?恐怖
  • 网恋木马专攻女网友 黑
  • 高考题中惊现木马程序 
  • 可验证的微软“数字签名
  • 在线支付劫持木马利用
  • 网站内容禁止违规转载,转载授权联系中国云计算网