2008年上半年病毒、木马特点分析(2)

　　5.“新型”病毒黑色产业链逐步形成

　　制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱，常规的病毒黑色产业链在2008年上半年开始正在发生新的变化。伴随着病毒制作技术的进步，病毒产业链也随之发生变化，新型产业链在技术上也呈现出分工明细的趋势,例如专门对抗杀软的病毒,专门下载其它病毒的downloader类别的病毒,专门的盗号功能等。

　　制作网马——入侵众多中小企业网站，篡改网页内容，植入各种网马——部分提供电影下载、软件下载、聊天交友、图片视频等网站出售流量——有人会在各种社区、论坛、博客、贴吧发布访问此类网站的广告链接，以吸引更多的访客去下载这些网马——盗号木马程序设计者，这些人专职开发针对各种网络游戏的盗号木马、网银木马——各种带有远程控制功能的木马设计者，此类程序可实现远程控制中毒的电脑，利用中毒电脑发起拒绝服务攻击。

　　随着病毒产业链的日趋完善，病毒产业链的最末端——洗钱的平台也在逐步多元化。众多12590业务的非法经营者，可通过盗来的QQ号等信息大量发送垃圾消息，总有众多不明真相的网民被骗；采用非正当手段进行网络商业活动，比如购买DDoS服务攻击竞争对手；雇佣DDoS攻击的工作室对目标客户发起攻击，再上门推销所谓的反DDoS产品。广泛存在的网游虚拟财富交易市场，市场里的众多买方本身也曾是黑色产业链的受害者。
　　网马，通常是故意利用浏览器漏洞或浏览器插件漏洞入侵，通常是木马下载器，一般是先中网马，然后由这个木马下载器下载更多的其它木马。

　　出售流量是指病毒制造者为快速传播木马，需要找流量大的网站进行挂马，如果病毒制作者自己做一个网站，想达到高流量，不是一件容易的事，最简单的方法是花钱买流量。随着黑色产业链的深化，流量也在逐步集中到某些实力雄厚的人手中，这些人可以用比别人更高的价格收购流量，进而在利用病毒进行牟利。

　　6.社会工程学的攻击手段成病毒入侵的重要途径

　　(1)利用热点事件

　　当用户上网搜索一些当下比较流行的信息或电影的时候，如“艳照门”、“色戒”等，搜索到的网页中很多都是带毒的，这是不法分子利用人的心理而设的圈套。

　　(2)利用用户对好友的信任通过即时聊天工具传播

　　随着聊天工具的安全防范措施，这类攻击已经不是主流，但还存在，有些病毒会通过QQ、msn等聊天工具自动向好友发送带毒信息或病毒文件。

　　(3)钓鱼网站

     钓鱼网站也是一种常用的攻击手段，如www.jx2dbt.com是一个外挂的官方网站，而www.jx2dbtwg.com是钓鱼网站，但钓鱼网站做得跟官方网站一模一样，使得不少用户浏览了钓鱼网站或者下载了钓鱼网站的文件，导致中毒。另外一种方式不需要带毒，如银行的钓鱼网页，用户在登录的过程中，他会先记录下帐号和密码，然后再进行登录到正确的网站，而此时你并不知道你的帐号密码等信息已经失窃。

　　(4)捆绑软件

　　一些病毒会感染或者修改正常共享软件的安装包，使得用户在网站下载安装这些软件时感染病毒。另外一些病毒则直接替换掉下载链接的文件。

　　(5)高流量带毒链接

　　流量高的网站是可以用来卖钱挂病毒的，因此很多流量高的网页会被用来挂病毒。这类网站以黄色网站居多。

　　(6)江湖骗术

　　一些网络社区、聊天群里出现的骗子，往往会花言巧语诱使你接受打开对方发送的文件，以照片(其实是病毒文件)为典型。