|
2007年度网络安全分析报告(3) 穿透硬盘还原卡——机器狗木马
危害指数:★★★★
独门绝技:破解还原卡
机器狗
就在近期,全国各地网吧相继出现奇怪现象,一种可轻易穿透硬盘还原卡和各类系统还原软件的木马程序在网吧肆虐,系统目录中出现小狗图标。原来电脑重启后都会自动还原,可现在自动还原后木马居然还在,电脑运行速度极为缓慢,甚至突然蓝屏罢工。
经过分析发现,这些网吧都是中了名为“机器狗”的新型木马,此木马进入系统后释放相关驱动程序,并自动接管硬盘保护卡或系统还原软件对硬盘的读写操作,使此类硬盘保护措施彻底失效。
编辑点评:有迹象表明这种可以穿透硬盘还原卡和还原软件的病毒、木马正在大规模爆发,变种可穿透目前技术条件下的任何软件硬件还原系统,网吧即将面临病毒和盗号木马爆发的高峰,硬盘还原卡的保护能力将面临严峻考验。
独家观点2:病毒猖狂 祸害人世
●漏洞利用技术层出不断
今年利用微软“0Day漏洞”进行传播的病毒频繁出现(“0Day漏洞”是软件厂商未发现或未发布修补补丁的漏洞)。以“ANI漏洞”的出现为例,利用微软漏洞进行传播,对包括Vista在内的Windows 所有用户造成严重威胁,成为首个利用“0Day漏洞”传播,造成了大面积感染的的病毒。
而微软Office软件漏洞更是成群出现,有权威统计数据显示在即将过去的2007年,微软软件的漏洞数量同比去年增长了近300%,且主要集中在Excel和Word中。此外,众多知名常用软件也在今年连接被暴高危漏洞,一场“漏洞门”正在整个软件行业上演。
●ARP欺骗技术肆虐局域网
局域网在2007年大受各类网络蠕虫的欢迎,杀手锏便是今年出镜率极高的ARP欺骗技术。其实局域网中的MAC地址欺骗机制早已存在,但此前一直未引起安全机构的重视。因此ARP欺骗病毒一经爆发便立刻导致全网中毒,病毒数据侵占网络带宽,网络通信阻塞、直至崩溃的严重后果,在病毒爆发的高峰期只能采取大面积断网隔离的妥协处理措施。
而反复中毒、反复隔离的现象在那段时期更是屡见不鲜。例如,清华大学校园网在4、5月期间遭到大规模ARP欺骗病毒攻击,出现网络不稳定、网速下降严重等情况,不多久病毒开始在整个校园横行,超过万台计算机受到影响,网络中心不得不成批封闭网络端口,数百个宿舍网络被切断隔离,给同学生活和学习、教师办公都带来了很大影响。
●映像劫持技术反狙击杀毒软件
今年的病毒有一个非常的显著特征——将矛头对准了老冤家杀毒软件。看到精心炮制的病毒还未出门便被杀毒软件斩首示众,病毒作者终于坐不住了,一大批专门对付杀毒软件的恶性病毒纷纷出笼,尽管名称各不相同,但核心技术便是大名鼎鼎的IFEO映像劫持。
病毒窜改注册表中的Image File Execution Options项后将包括杀毒软件、防火墙、反流氓等众多安全工具重新定向,使得这些安全软件全都无法运行,甚至把杀毒软件替换成病毒文件,大耍“狸猫换太子”的伎俩。
| 
