李海明：互联网病毒传播和攻击行为的新趋势

　　各位领导、各位嘉宾、大家好！我是瑞星公司的李海明，今天非常有幸能够参加这个互联网安全技术大会，在此对大家的到来首先表示感谢！感谢王总给大家谈了很多数据，很多可能令大家触目惊心的数字，接下来我给大家具体的聊一聊互联网病毒传播和攻击的新趋势，其实也是分析一下数据背后我们的一些新的发现。

　　首先看两个真实的案例。

　　第一个讲述的是普通的计算机用户在无疑间浏览了挂马病毒的网站导致系统瘫痪的过程。这是一个健康的系统，像我们平常大家用的系统一样装有很多自己的应用软件，像媒体播放器还有很多很多的应用，这时候实际上我们看到所有的工具都是可以正常使用的，这是一个非常健康的系统，我们的电子读书器等等，应用软件都是良好的状态。一旦我们无意间上了一个挂马的网站之后就有可能导致整个系统健康状态的破坏。看一下，PPlive也可以正常用的也可以正常连接。一旦访问了一个恶意网站之后出现了什么事情？

　　大家请注意，这个网址是被挂马的网站，马上进行了一个跳转连接到另外一个网站，这个网站已经被植入了木马病毒，底下IE的进度条不断的在前进，但是系统的状态？这就是真实的，系统的状态几乎是没有响应的状态，实际真的没有响应吗？这只是表面的一个现象，大家现在看到的就是有可能有的朋友经历过的一些事情，我们一旦访问了恶意网站，这时候我们的计算机就不听使唤了，没有响应了，我们可能意味死机了，但是实际上后台还在做很多事情，当然现在我们看不到，待会会给大家答案。这时候提示Windows而的虚拟内存太低，说明有什么东西已经耗费了我们的资源，遇到这种情况大家可能只能重启计算机。

　　我们重启了之后来看，进入系统之后，自动打开了刚才那个网页这时候我们再注意观察一下，我们的开始菜单里面，我们所有的程序图标都变成了另外一种，而且应用程序都不在可用了，而且Windows也提示系统的软件被替换了，所有的应用程序都不可用了。那我们进系统里面看看出了什么事情了？双击磁盘进不去了，用这种程序进去，进去以后变成这样了，大家可能有一个意识我中招了。熊猫烧香就是这样子，感染了以后系统就成了这样，刚才我们看到的就是表面的现象，为什么会出现这样的问题呢？可能很多朋友会有疑问我只是访问了一个网站，一个很简单的操作什么东西都没有做，为什么会这样？

　　看一下，首先打开系统的目录，大家知道这是我们平时的一些应用，一些临时的文件放在这，现在是正常的状态，一旦我访问了恶意网址之后，我们看在打开页面的同时，我们看到的只是表面的现象，后台恰恰的下载了很多的程序，进程里面也有很多未知的进程，这就是发生的变化。下载了无数的病毒的软件，而且都悄悄的无声无息的执行起来，这就是刚才大家看到背后的情况。所以很多朋友看了以后可能心有余悸，或者觉得感同身受，没错，因为这就是很真实发生在我们身边的事情，有可能大家在工作中遇到的情况。

　　刚才看了这么多，大家估计会想，病毒真的就这么厉害吗？这是我们在一些各大安全厂商，杀毒厂商的论坛上截取的一些信息，我们看到像用户的这种困惑、无奈何无助屡见不鲜，病毒真的有那么厉害吗？是技术上有突破了吗？还是做病毒的人更多了？实际上怎么样的？我们一会再解释。制造病毒的人数量在增加但这不是根本的原因。根本的原因在哪里？

　　我们先回顾一下病毒的发展史，早期CIH大家都知道，到2000年的时候出现了爱虫病毒，通过电子邮件传播，03年出现了蠕虫王的病毒，04年振荡波的病毒，大家那时候开始意识到我们操作系统的补丁是多少重要，06年熊猫烧香病毒，今年最新的木马群的病毒，利用第三方的漏洞来进行传播。

　　实际上我们看到这么多的有代表性的典型的病毒，他们的传播方式，他们所利用的一些机制都在悄悄的发生一些变革，之前的病毒更多的是去破坏我们的系统和网络，现在的话，我们更多的看熊猫烧香也好，木马群也好，更多的会去盗取用户的帐号，会有这样的一些改变，这实际上就是我们谈到的电脑病毒传播和攻击的新趋势，计算机病毒已经实现了互联网化。

　　那么什么是互联网化？什么是计算机病毒实现了互联网化？我们来做一下对比，首先从目的上来说，过去的病毒和现在的病毒有什么不同呢？过去的病毒病毒制造者是处于宣扬社会或者恶作剧的目的开发的，现在更多的是以经济利益为经济目的，就是我制造这个病毒是为了获取经济利益，往往后面有集团化的运作技术上没有什么根本性的变革。从传播途径上来说，我们看到90%以上的传播都是通过网页挂马的方式。我们需要看到这个对比，需要了解的就是过去的病毒和现在的病毒最大的不同，就是过去更多是单兵作战现在有明确的分工，谁生产谁传播？有一整套的流程化的东西，这些就是过去和现在的变化。

　　我们看这张图，这是刚才我们一直在提互联网病毒的产业链，那么什么是产业链？从左下脚，我需要有漏洞的挖掘者，利用这个漏洞制造病毒，然后有人收购这个病毒，那就是病毒持有人，接下来持有人卖给病毒的销售人员，销售人员把已经成型的病毒卖给需要的人，就是我们所说的盗号者，盗号者把这些病毒通过流量商植入这个网站里面，网站成为了传播的平台。那我们说了是经济利益，那最终钱从哪来？就是计算机用户，一旦计算机感染病毒以后，计算机里存储的帐号、密码、个人得财产，包括企业里机密的信息都有可能转化为金钱这就是整个互联网病毒的状况，分工非常明确，就像真实的商业公司一样有研发团队、策划团队、销售团队，甚至可以由售后服务队伍我可以按照你的需要定植，这就是很明显的体制，这就是变化这就是互联网病毒产业链。

　　我们看木马病毒的制造，这是流水线的工业化生产模型，首先是漏洞的挖掘，这是前期做的工作，一旦漏洞挖掘成功，我会根据漏洞做网页的木马，目的通过利用这些漏洞入侵计算机用户当前的系统。第三个盗号木马，我入侵完你的系统了要做什么？就是要掠夺里面的资源。还有一个病毒化解器，就是一旦你被感染了一次，他就会从网站上不停的下载很多的病毒，只要一次感染之后会经常遭受这样的侵袭，这就是整个的流水线式的工业化生产模型。

　　我们首先看漏洞挖掘，左边的是漏洞挖掘的流程的状况，在早期很多安全工作者，挖掘完网络漏洞之后会把信息报告给相关的厂商，厂商会基于这些流动把当前的系统进行补丁修补。现在漏洞挖掘取决于漏洞挖掘的道德，我不需要做病毒，我只需要挖掘出漏洞的信息，把这个信息就可以出售就可以换钱，这就导致很多流动的信息在网上出售。我们来看右侧就是黑客网站的截图，左边是漏洞的名称，中间是它所在的平台，我们看到有Windows的，有WindowsIP，很多，最右边是价格，我们看到这就像一个超市一样，很真实的状况。接下来网页木马和盗号木马的制作，先看网页木马的制作我利用这个模板可以根据我的需要我需要去利用哪个漏洞，漏洞可以利用这个统一的模板操作。右侧更简单了，盗号木马只需要选择你想要盗什么游戏的帐号就可以了。实际上经过刚才这些大家已经看到，现在的互联网病毒更多是模块清晰，分工明确。现在的病毒它的威力更大，破坏性和传播速度远远的超过以前。

　　再看传播，传播的话刚才我们提到有超过90%的传播途径都在利用网页挂马，如果网站的访问量很大的话，这些访问的用户都可能成为挂马之后的受害者，如果我拥有大量的流量的话，大批的用户只要访问这个网站，很简单的一个操作就可能成为我控制的目标。所以很多病毒的传播者，他们会去利用各种手段来提升挂马网站的一些访问。比如说首先我们可以通过收购一些流量挂马的方式，比如说收购一些大的色情网站，或者说一些广告的网站，这地方可能拥有大量的网络流量。第二种提到的大型的网站，他可以雇佣黑客入侵达到挂马的目的。第三种也可以利用SEO计算，通过一些算法，优化我欺骗性的网站的排名，更容易的让用户去点击，包括用P2P的形式给大家下载一些软件，这都是木马病毒传播的主要的方式。

　　刚才提到了很多病毒很厉害的一面那很多朋友在想，我们的杀毒软件呢？我们的杀毒软件本身就是用来杀病毒的，防御的，那我们的杀毒软件呢？实际上我们看到，杀毒软件在现在这种状况下，传统杀毒软件会有他的很多的困境，首先漏洞利用率来讲，现在我们看到超过6层的漏洞利用都是针对与我们的应用程序，常见的应用程序，比如说刚才大家看到的，都是第三方的漏洞，这些越来越成为病毒制造者关注的重点，因为我们用户或者厂商对这方面关注的意识要薄弱一点，而且平常你装一个什么应用软件，如果不是为了体验什么功能，一般不会去进行安全更新，这实际上就是我们需要转变的地方。

　　第二个，通过加密变形的方式，以前我们可以利用网页监控的方式来查杀这些挂马的网页，防止一些脚本病毒侵害用户的电脑。但是我们看这是妄图一样的两个文件，左侧是原文件，右侧是加密后的文件，传统的特征码的方式是无能为力的，而且这种加密变形我可以进行多重的计算，可以变形多次，也可以通过不同的算法来做，那对于杀毒软件来说传统的已经不太适应。

　　第三个ARP攻击，很多朋友都知道ARP攻击，首先黑客访问他在网络上的一个匿名空间，这存在的是他的病毒，他已经获取了一个网站权限，他登陆以后就会在这个网站上挂置一些木马。ARP攻击就是受侵害的电脑会成为一个攻击源，不断的对局域网的电脑技术攻击。看一下，对于大家来看，页面上没有显示，因为是零乘以零的（尺寸），但是实际上已经在执行这个代码，然后我们现在访问这个挂马的页面，访问之后就会起动ARP攻击的程序，在真实情况下是不存在，我们是为了让大家看所以设定的。真实的病毒在后台可能把这些已经做好了，已经内置了这样的参数。我们现在启动另外一台电脑，局域网的机器，来访问任意一个网站，只要局域网里面有这样一台电脑，我们访问任何一个网站都会被插入一个代码，我访问任何一个页面，里面都被插入了那么一段字，目的就是为了连接到刚才黑客登陆的匿名空间下载病毒。这就是另外一种方式，病毒的传播者通过ARP的攻击手段扩大攻击的范围。

　　最后，安全威胁无处不在，可能朋友会这样想，既然我们通过浏览网页的方式不安全，那是不是我访问网页的时候注意一些就可以了呢？答案是否定的，比如说你看我们的播放器，他们也会内置一个网页，连接到他们的主页，还有其他的工具都应用了镶嵌的技术，不单单是浏览器，不单单是网页可以挂木马，MP3等等都可以进行挂马的操作。所以我们说安全威胁无处不在，因此，并非只在浏览网页的时候才有可能中木马。

　　总结一下，第一点，网页挂马是计算机病毒传播的主要传播源，谋取经济利益是他们的根本目的。第二点，普通的用户通过自身的安全意识很难去防范。第三，通过加密变形，网页木马可以躲避传统的杀毒软件的处理。再有只要我们的计算机被感染一次就有可能长期成为目标。综合这些我们说互联网病毒传播和攻击的新趋势，就是计算机病毒已经实现了互联网化这就是今天阐述的重点的内容。说了这么多大家会有疑问了，病毒这么厉害，那我们怎么保证良好的上网环境呢？作为反病毒厂商是不是就在病毒面前无可奈何呢？当然不是，怎么做呢？稍候我的同时会给大家带来瑞星的答案，谢谢大家！