一、综合利用多种编程新技术的病毒将成为主流
从Rootkit技术到映象劫持技术,磁盘过滤驱动到还原系统SSDT HOOK和还原其它内核HOOK技术,病毒为达到目的所采取的手段已经无所不用其极。通过Rootkit技术和映象劫持技术隐藏自身的进程、注册表键值,通过插入进程、线程避免被杀毒软件查杀,通过实时监测对自身进程进行回写,避免被杀毒软件查杀,通过还原系统SSDT HOOK和还原其它内核HOOK技术破坏反病毒软件,其中仅映象劫持技术就包括“进程映像劫持”、“磁盘映像劫持”、“域名映像劫持”、“系统DLL动态连接库映像劫持”等多种方式。目前几乎所有的盗取网络游戏帐号的木马病毒都具备了以上一种以上的技术特征,几乎所有最新的程序应用技术都被病毒一一应用,电脑一旦感染病毒,普通用户根本无能力彻底清除,只能求助专业技术人员。未来的计算机病毒将综合利用以上新技术,使得杀毒软件查杀难度更大。
二、ARP病毒仍将成为局域网最大祸害
ARP病毒已经成为近年来企业、网吧、校园网络等局域网的最大威胁。此类病毒采用ARP局域网挂马攻击技术,利用MAC地址欺骗,传播恶意广告或病毒程序,使得ARP病毒猖獗一时。ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象。更为严重的是,ARP病毒新变种能够把自身伪装成网关,在所有用户请求访问的网页添加恶意代码,导致杀毒软件在用户访问任意网站均发出病毒警报,用户下载任何可执行文件,均被替换为病毒,严重影响到企业网络、网吧、校园网络等局域网的正常运行。
虽然在各大安全厂商的努力下,ARP病毒得到了有效遏制,但由于众多中小企业用户没有足够重视病毒的危害,没有采取相应的防范措施,因此给此类病毒提供了生存空间,预计此类病毒仍将在很长一段时间内成为祸害局域网的主要类型病毒。
三、网游病毒仍将大行其道,逐利成此类病毒唯一目标
受经济利益驱使,利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料的病毒今年上半年十分活跃。2008年上半年截获的新木马病毒中,80%以上都与盗取网络游戏帐号密码有关。病毒作者的牟利目标十分明确,就是盗取互联网上有价值的信息和资料,特别是网络游戏帐号密码、以及虚拟装备等,转卖后获取利益。逐利已成为此类病毒的唯一动机和目标,随着网络游戏的火爆和兴盛,此类病毒仍然有着庞大的市场和生存空间,仍将成为未来病毒的主流。
四、病毒将全面进入驱动级
进入2008以来,大部分主流病毒技术都进入了驱动级,病毒已经不再一味逃避杀毒软件追杀,而是开始与杀毒软件争抢系统驱动的控制权,在争抢系统驱动控制权后,转而控制杀毒软件,使杀毒软件功能失效。病毒通过生成驱动程序,与杀毒软件争抢系统控制权限,通过修改SSDT表等技术实现WINDOWS API HOOK,从而使得杀毒软件监控功能失效。
五、奥运或成病毒借机传播新目标根据以往的经验,奥运病毒可能通过以下几种形式传播或发作:
1、 通过即时通讯工具群发奥运相关信息,诱使用户点击带毒链接或接受带毒文件。
2、 通过发送主题或内容与奥运相关信息的电子邮件,在邮件附件中夹带病毒。
3、 在论坛或贴吧发布带毒的奥运比赛现场图片或视频链接,诱使用户点击。
4、 攻破传播奥运新闻的相关网站,在相关网页挂马传播病毒。
病毒作者通过以上几种形式传播病毒,主要目标还是瞄准经济利益。一旦用户电脑染毒后,染毒电脑中所有的有价值的信息,包括网络游戏帐号密码、网上银行帐号密码、网上证券交易帐号密码都面临着被盗的危险,因此需要引起用户的足够重视。
计算机病毒表现出的众多新特征以及发展趋势表明,目前我国计算机网络安全形势仍然十分严峻,反病毒业者面临的挑战十分艰巨,需要不断地研发推出更加先进的计算机反病毒技术,才能应对和超越计算机病毒的发展,为电脑和网络用户提供切实的安全保障。作为电脑用户,更应当增强安全意识,多学习和了解基本的计算机和网络安全防范知识和技术,做到最基本的不登陆和点击不明网站和链接,每日升级杀毒软件病毒库和修复操作系统漏洞,尽量使用最新版本的应用软件等安全防范措施。特别是在奥运期间,更需要提高警惕,首先要确保自身电脑不染毒不传毒,为2008北京奥运的顺利召开尽自己的一份力量。
