2004 年终笑谈Viruskiller
从没有病毒像2004年这样,让每个人感觉到那么精惊心的贴身肉搏战,相信每一个连上Internet的朋友,在某个时候,都难免战战兢兢,难免满腹狐疑。
网络的速度越来越快,上网的感觉却经常步履维艰。
一、技术商业化明显
2004年的病毒倾向商业化十分明显,也许在某些人心中,也正是一种蓬勃向上的赚钱行业,而这种行业得到全球的病毒作者们认可。老一代的病毒作者们早已不屑和今天的病毒制作者们为伍,正如早期的黑客不屑今天的小黑黑一样,然而大家都说不管黑猫白猫抓到老鼠就是好猫,2004年的大量病毒作者同样没有跟钱过不去。
1、Netsky/mydoom/bagel ... 垃圾邮件类
邮件蠕虫今年如此多,属风流人物,当然是上面三位。
三位子孙繁多,各有绝技,彼此你来我往,见招拆招,同台竞技给我们带来2004年第一场病毒大战。
让寂寞如我的兄弟们每天像老板一样接受到大量的信件,好多的商业来函啊。
2、GrayBird(灰鸽子) 远程控制类
在国内外远程控制工具中,就技术上说GrayBird实在难以拿得出手,且不说一直以来各版本安装后系统中有个明显的进程,就其服务端,未压缩前高达900K左右的体积也让人难以接受。但这并不妨碍它成为我们把它选为此类代表,据说GrayBird有着良好的售后服务,其版本在反查杀上一直积极跟进,一般只要反病毒公司查杀了,它就出新版本。
另外还能偶尔看到形如“灰鸽子,帮我找回真爱”之类赞美文章,可见其市场口碑确实不错。
虽然无法预知作者赚了多少米,不过网易126/yeah域名转向调整后,大批人在网上叫苦不迭,原因是他们使用GrayBird内置的域名自动上限系统在网易的调整后失效,大量的肉鸡飞了。
聊QQ,经常有人忽地给我发个东西,说这是个无害的小工具你帮我看一下,而每次接到这些陌生的网友朋友的东西,脱掉检查发现都是灰鸽子,VIP版免杀的那种。这时我会客气的告诉他们谢谢提供木马,我会及时提交给反病毒公司云云。
记得有次我在虚拟机中不小心运行了,结果那哥们很不客气的立刻用目标遍历功能找虚拟机中的资料。这些的事足以说明GrayBird有比较大的用户群体,它已经成为了很多黑客的必备工具。
另外界面比较漂亮也是一个优点,2004年的作者还提供了DLL插入的版本。
鸽子是代表和平的,哪怕是假象的和平,祝福它有天走出国门。
3、powerspider(密码解霸) 账号窃取类
一款优秀的密码窃取类工具,其从一出生就是为了密码窃取的远大理想奋斗,通过作者高超的水平终于把它练成窃密爱好者心中的绝世好剑,这就是密码解霸。
它可以获取几乎你能想象到的所有密码,QQ/MAIL/GAME/SOFTWARE等,别人能抓的它都抓,别人不能抓的它也抓。网游账号可以明码标价,密码解霸自然也是价格不菲。
遗憾的是作者在其4.X版本的时候即销声匿迹,原因未知。
今天网上有众多的修改版,版本号一路飙升,其修改手法就是普通的汉化手段,字符串资源修改。目前有两个修改版在销售,而且纷纷指责对方是D版,自己是正统。
4、Usbankfraud 网络钓鱼类
这是一个伪造香港 汇丰银行的恶意邮件,告诉我们银行系统升级,需要我们确认以免冻结账号,其用IE欺骗的手法使得用户连接到一个傀儡主机,尽管我们的IE地址栏中依然显示着官方地址,实际上却早已被欺骗。在弹出的信用卡确认界面中,让我们输入账号、密码、PIN值等等。
虽然大家都不情愿,不过却经常稀里糊涂的上钩。
5、SYNKFW 拒绝服务类
要说拒绝服务的玩法,今年可谓花样迭出。有针对MSN的Flooder,针对QQ的Flooder,针对IRC/CHAT/ICQ等的Flooder,针对各种应用服务:SERV / IMAIL的Flooder 等等等等。
这些辉煌事迹,都被这个SYNKFW抹杀了,它是一个针对防火墙的Flooder,而且是针对D版防火墙的Flooder,就是说它的Flood功能针对D版防火墙很有效果。以打击D版傲盾防火墙为由的SYNKFW的作者是谁,一直是个谜。
我曾看过此工具的使用教程,以NSFOCUS为例子进行讲解,在开到三个攻击线程的时候,NSFOCUS当掉了,挺牛。我自己没有实际测试过,但我很难相信黑洞挡不住的,它自己的正式版却能挡住。
没测试就没发言权,姑且人云亦云,据人测试说,其针对正版的KFW ,攻击效果也不错地。
2004年拒绝服务这种网络核武经常被人用来进行恐吓,Y不给钱就D了Y的是一种时尚,国内国外都是如此。
二、网络倾向化转变完成
2004年,99%的病毒都依赖互联网流传,如果以是否调用SOCKET API 操作为特征,我想扫描100个病毒误报率低于%10,今天的病毒已经鄙视老祖宗只能通过拷贝、复制等进行感染操作,它们越来越多的具备的主动寻找目标,主动攻击能力,每一个病毒作者都在睁大眼睛关注最新的漏洞利用,黑客们没事情也放两个虫子玩玩。
不幸的是,网络提供了便利的传播条件的同时,也给反病毒提供了快速剿杀的通道。只是用户,一次次被快速的伤害和治疗,像感受速食的爱情一般。人们已经麻木于这种快速配对的爱情感受,忘记了初次的悸动。
而病毒们早已修炼到是无网无我的境界,互联网,这病毒的天堂也是病毒的坟墓!
1、Sasser(震荡波)
也许在行家看来,Sasser对ms04011漏洞的利用,多少是失败的。但Sasser作者的快速反映能力却让人吃惊,如果没记错的话,那段攻击代码4.28日被贴到网上,在随后的两天时间内,完成编写、测试等一系列工作的Sasser闪亮登场,它以极大的拖慢网速的能力以及免费重启的服务使得全球用户成为了它5.1盛典的热心观众。
大街上,某家酒店窗口飘出那首通俗歌曲:“一波还未平息,一波又来侵袭... ”
是的,震荡波!
2、lovegate(爱之门)
如果说Sasser是那种一曲红边大江南北的青春偶像派,那么lovegate无疑是百年润发的经典实力选手。
lovegate变种极多,往往是每出一种新的攻击手法,lovegate 就要跟上出一个新变种。目前它几乎利用了所有流行的传播手段,弱口令猜测、远程SHELL后门、密码监听、穷举共享传播、垃圾邮件发送等等。金山谓之五毒虫,不过爱情是有争议的话题,所以瑞星在今年7月同金山就爱情还是毒药给我们带来了一次精彩的辩论。
xfocus场景1:
深夜,coolc 依然无法入睡,廉价买来的mp3播发着那首听了一万遍的歌:
你微微一笑将我套牢 就这样进了圈套
你张开双手将我拥抱 背后却藏着一把刀
爱情是毒药 糖衣太美妙 你的诱惑我抗拒不了...
场景2:
酒席上,大家看着失约的coolc,wollf说出了那句经典的台词:
这娃又失恋了...(咦,我为什么又说又呢??)
3、witty
类似SQLSlammer,此蠕虫仅仅是一段UDP数据,文件级扫描是查不出来。以RAW DATA方式写硬盘,直接进行数据破坏,伪装ICQ报文逃避IDS。
短小、精悍、高超,把一个个赞美的词砸向它吧。
witty充分告诉了我们安装防火墙不一定是好事,防火墙也许成为你原本固若金汤的系统一个突破口,以利用ISS公司产品漏洞的witty不但狠狠的抽了ISS一大耳光,同时在某种程度上起到了杀一儆百的效果,试看国内那么多堆砌出来的FW,如果黑客真的动起心思来,哪个不是岌岌可危?
三、社交工程广泛实践
几年前,入侵技术多是从技术角度着手,现在入侵技术多是从社交工程着手。要是几年前谈社交工程的入侵方式,可能会糟人不齿,现在大家都以“齿”为荣,技术理想逐渐消失。病毒发展也是同样,PE感染病毒越来越少,快速化实现的病毒越来越多,社交工程被极为普遍的应用在2004年流行的90%的病毒中。
1、QQtail (表妹小燕)
小燕病毒以邻家妹妹般亲切的话语,附上一副平常的照片,极易让你相信这是一封错寄的邮件,勾引你窥视的欲望。窥探别人隐私毕竟是不好,所以如果你忍不住看了,也许就要用自己网银账号密码来为自己的行为买单。
信件内容:
“表哥,你这几年在上海过得好吗?身体好吗?知道我是谁吗?先不告诉你,看了我的相片你就知道了,嘻嘻。”
看着照片,我想起引用一篇诗歌送给她:
没有心机而又体贴人意
勇敢好奇而又轻盈灵巧
生气勃勃而又可爱俏皮
是的,永远的小燕。
2、MSN.funny
不信任陌生人,总得信任列表中的好友吧,于是这虫子就利用这点四处流窜,蛊惑人心言辞如下:
一家新开的酒吧,晚上聚聚,这里有介绍%url%,记得给我电话
朋友,多注意休息啊,可以到这里放松放松哦,%url%
我们也来俗一把如何,看MM去,%url%,够味!呵呵!
日本人在南京大屠杀的铁证!坚决抵制日货 %url%
对中国威胁最大的十个国家!列表 %url%
我见过最漂亮的视频MM(不看可别后悔),%url%
《中国农民调查》页页血泪,惊动中央 转自网易,%url%
信还是不信,是个问题,热诚的传来文件,接还是不接,也是个问题。
55~~ , 现在给朋友贴个网址,一般都会犹豫一会,然后发来一句话,你Y不是中毒了吧?在得到确认回答后,他们才敢浏览。
MSNfunny引发的另外一个问题就是,反病毒软件对系统的修复应该到什么程度,它再一次激发了人们对AV软件的信任危机,从逻辑炸弹到毒霸藏毒再到今年的“Funny.exe!瑞星:我们只谈杀毒,系统崩溃我不管”。(见PC365相关文章)
国内瑞星的专杀在杀除掉病毒体后,导致系统无法正常开机事件一时引起争论。
四、跨度广泛
2004病毒种类更多,平台更广。有影子、尾巴,有主动出击的,有被动钓鱼的。病毒表演的舞台越来越大,WIN、LINUX、MAC、WINCE、各种手机、手持设备平台等等,像卡通片猴哥一样,真是翻个跟头十万八千里,抖一抖威风山崩地也裂,哪里有难都有你,哪里有险都有哥!
1、Duts 和Brador
它们目前是概念性的病毒,能有效传播,大面积爆发的可能性好,其感染WINCE平台,可在各种手持设备中传播。Brador还能开设后门,允许攻击者远程控制,窃取一定的用户资料,目前看来前途一片光明。
2、Exploit.MS04-028 (图片病毒)
两年前你说,看网页能中毒,看图片能中毒,一定会被人BS。今天这一切活生生的到来,以利用MS04028/MS04032/MS04038等漏洞的病毒悄悄出现,HTML、JPG、WMF的确不在可靠了,这年头...
那些整天看美女图片的兄弟要小心,就在你下载美女图片的同时,也许它们还自作主张的附带着下载了可爱的backdoor、trojan。
五、两权相害取其轻
这小段是从中毒者的角度出发,一个趣事:
某哥们同时中了多种病毒,自身又不爱装杀毒软件,其中一个后门替换了MS的网络库,当他尝试清除发现就无法上网了,后来权衡一下,索性不清除了,只用FW屏蔽了那个后门开放的端口。
后来这哥们中了FUNLOVE,怎么知道的呢,原来他中的这个后门自身有CRC,中了FUNLOVE后自身不断提示被病毒感染,前几天他曾跟我说,中病毒这事,就像功夫中周大侠中刀,不完全是坏事情,Y不就是在奔跑中,刀片还能当后视镜吗?
最后,就让我用跟YYTHAC的QQ对白结束这篇文章,文者自娱自乐,观者有心无心,一笑罢了:
(2004-12-27 22:34:33) killer
忙什么呢
(2004-12-27 22:36:52) yyt_hac
研究怎样防杀
(2004-12-27 22:48:02) killer
我打算写个2004年病毒之类的灌水玩
(2004-12-27 22:50:29) yyt_hac
好啊,写文章还是不错的
(2004-12-27 22:53:03) yyt_hac
我写文章不行啊
(2004-12-27 22:53:49) killer
写程序行比写文章好啊
(2004-12-27 22:54:04) killer
写程序能挣大钱,写文章只能自娱自乐了