瑞星發(fā)布2011年1-5月感染型病毒趨勢分析報告

5月31日，瑞星公司今日發(fā)布了《2011年1-5月感染型病毒趨勢分析報告》，稱(chēng)病毒的編譯方式正在從傳統的全部直接由低級匯編語(yǔ)言撰寫(xiě)逐漸轉變?yōu)榧娌⑹褂玫图壓透呒壵Z(yǔ)言混合撰寫(xiě)的方式，病毒已經(jīng)開(kāi)始采用使用少量的匯編編寫(xiě)的引導部分去加載由高級語(yǔ)言的主體功能部分這種混合方式。
以下為報告全文：

病毒在變得簡(jiǎn)單而又全能

瑞星對2011年1月至5月期間新增感染型病毒記錄的病毒樣本的感染行為分析情況來(lái)看，病毒的編譯方式正在從傳統的全部直接由低級匯編語(yǔ)言撰寫(xiě)逐漸轉變?yōu)榧娌⑹褂玫图壓透呒壵Z(yǔ)言混合撰寫(xiě)的方式，病毒已經(jīng)開(kāi)始采用使用少量的匯編編寫(xiě)的引導部分去加載由高級語(yǔ)言的主體功能部分這種混合方式。
通過(guò)對嵌入C語(yǔ)言程序的Kuku家族和加載動(dòng)態(tài)鏈接庫的Loader家族分析來(lái)看，這種新型的感染型病毒在結構和分工上較傳統的單一語(yǔ)言編寫(xiě)的感染型病毒顯得更為明朗和清晰。由高級語(yǔ)言編寫(xiě)的主體部分可以更加容易地添加實(shí)現更多的功能，簡(jiǎn)化后的匯編部分的功能則更為單一，但隨著(zhù)編寫(xiě)難度上大幅度降低，促成了更多新型功能更強的病毒誕生。預計用高級語(yǔ)言編寫(xiě)病毒會(huì )在未來(lái)形成主流，數目上可能會(huì )成為僅次于木馬的第二大惡意軟件，在功能上未來(lái)可能會(huì )揉合更多后門(mén)和木馬功能的特征，如下載運行、廣告程序、盜取隱私、遠程控制等�？梢哉f(shuō)，感染型病毒正向著(zhù)結構簡(jiǎn)單但功能多元化的方向發(fā)展。

感染型病毒結構趨于簡(jiǎn)單化——DLL文件同樣可能是感染源

傳統意義上的感染型病毒，通常的目標是可執行性文件（在Windows平臺下，只有后綴為.exe的文件，用戶(hù)雙擊后才可以運行），但是就目前截獲到的感染型病毒記錄來(lái)看，出現了一批后綴為.dll的感染型病毒樣本。這種后綴為.dll的文件是Windows下的動(dòng)態(tài)庫文件，通常情況下，此種文件是不能夠直接運行的，而是需要通過(guò)應用程序的主執行文件動(dòng)態(tài)加載使用的。就目前的樣本來(lái)看，此種后綴為.dll文件的宿主文件多為Windows操作系統的系統動(dòng)態(tài)庫。

                               
登錄/注冊后可看大圖

圖1：Win32.Loader.la樣本文件
這種感染型病毒并不是使用傳統意義上通過(guò)用戶(hù)點(diǎn)擊感染的可執行程序獲得執行的，而是騙取操作系統或者應用程序的信任。當被感染的機器上運行了某些正常程序需要加載系統的動(dòng)態(tài)鏈接庫來(lái)使用某種API函數的過(guò)程中，不幸將感染后的系統動(dòng)態(tài)庫加載，在這加載過(guò)程中，感染病毒的樣本就會(huì )獲得執行機會(huì )，并得以傳播。由于此種病毒需要依靠其他可執行程序的運行來(lái)被動(dòng)加載，所以一般此種病毒一般會(huì )存在于當前應用程序的所在目錄或者直接存在于系統目錄。
這種感染型病毒的最大特點(diǎn)是結構極其簡(jiǎn)單，只完成從指定的位置加載另一個(gè)動(dòng)態(tài)庫后就退出，而真正的功能（如感染功能）則由另一個(gè)動(dòng)態(tài)庫來(lái)完成，所以通常這種病毒被命名為L(cháng)oader。這種看似簡(jiǎn)單的結構給感染型病毒帶來(lái)了更多的發(fā)展機會(huì )，由于Loader操作簡(jiǎn)單，所以很容易實(shí)現代碼短小，被修改的宿主程序的變化不大，因此隱蔽性好。短小的匯編代碼又更容易編寫(xiě)，且更容易使用變形引擎做變形躲避查殺。而主要功能轉移到另一dll文件，就可以使用常規的軟件開(kāi)發(fā)工具和高級語(yǔ)言快速實(shí)現各種功能，且變種繁多。

高級語(yǔ)言編寫(xiě)的病毒開(kāi)始流行——Dephi編寫(xiě)的感染型病毒乍現

感染型病毒由于其自身的特性，需要附加到其他宿主程序上進(jìn)行運行，并且為了躲避殺毒軟件的查殺，通常感染型病毒都會(huì )將自身分割、變形或加密后，再將自身的一部分或者全部附加到宿主程序上。這種特殊的要求使得傳統的病毒來(lái)使用匯編作為最為適合的編寫(xiě)語(yǔ)言，但是由于匯編語(yǔ)言在編寫(xiě)上十分抽象且易于出錯，所以制作隱蔽性好且功能豐富的感染型病毒難度過(guò)高，并且制作周期十分漫長(cháng)。而且往往這種精雕細琢的病毒出現后，雖然有著(zhù)變形引擎的保護，但如果特征上存在著(zhù)一些共性，就很容易被殺毒軟件公司添加了殺毒方法后殺絕。而另一方面，病毒一旦寫(xiě)好，再做大幅度的修改來(lái)躲避查殺的成本又過(guò)大。所以在于殺毒廠(chǎng)商抗衡的過(guò)程中，這種病毒的制作者發(fā)現了這個(gè)問(wèn)題，逐漸的引進(jìn)了高級語(yǔ)言來(lái)協(xié)助快速地開(kāi)發(fā)感染型病毒。目前最早發(fā)現使用高級語(yǔ)言編寫(xiě)的感染型病毒之一是Kuku，它使用了內嵌C++語(yǔ)言編寫(xiě)病毒主體，外層使用了匯編編寫(xiě)一個(gè)PE加載器來(lái)自己加載內嵌的病毒體。

                               
登錄/注冊后可看大圖

圖2：Kuku感染型病毒結構示例
當宿主程序執行時(shí)，病毒會(huì )截獲到執行權限，將執行流程跳轉到事先編寫(xiě)的加載器上，通過(guò)加載器來(lái)加載高級語(yǔ)言生成的病毒主體，其主要的病毒功能就是在這里實(shí)現。由于使用了高級語(yǔ)言來(lái)實(shí)現主要功能，所以一些曾經(jīng)不可思議的高級功能都可以由這個(gè)病毒主體來(lái)實(shí)現，同時(shí)這些病毒還可以使用正常軟件的功能代碼，如Win32.Kuku家族的病毒主體中就包含著(zhù)一套類(lèi)似常規P2P下載軟件的網(wǎng)絡(luò )傳輸引擎，用于在不同的主機中實(shí)現病毒更新和信息共享。

                               
登錄/注冊后可看大圖

圖3：Kuku感染型病毒運行示例
目前，病毒正逐漸向著(zhù)簡(jiǎn)單化的形式發(fā)展，這種趨勢不僅在木馬程序上有所體現，在感染型病毒的制作上也同樣如此。新生的感染型病毒在逐漸縮小使用傳統病毒制作語(yǔ)言進(jìn)行編寫(xiě)的部分，逐步更加青睞于使用高級語(yǔ)言進(jìn)行撰寫(xiě)主體的功能部分。最近的感染型樣本中的Win32.Logogo.a（下文簡(jiǎn)稱(chēng)為L(cháng)ogogo病毒）家族的感染型病毒，更是將高級語(yǔ)言Dephi引入到了病毒的制作之中。
Logogo病毒使用高級語(yǔ)言的思路極其簡(jiǎn)單，它借鑒了Dropper類(lèi)型的木馬工作機制，篡改宿主文件入口點(diǎn)到病毒新添加的節開(kāi)始的小段匯編代碼。這段匯編代碼主要完成從新添加的節中讀取嵌入在節中的內涵的病毒體文件后釋放到硬盤(pán)，并在其運行后刪除。其中這個(gè)內涵的病毒體文件就是直接使用的Dephi編寫(xiě)的病毒應用程序。
轉播到騰訊微博

                               
登錄/注冊后可看大圖

圖4：Logogo病毒主體釋放方法示例
高級語(yǔ)言編寫(xiě)的感染型病毒的出現，對于病毒制作者意味著(zhù)可以快速、容易地開(kāi)發(fā)出新的變體，或者用已有的病毒模塊方便地相互組合。預計未來(lái)可能會(huì )出現比較通用的用于高級語(yǔ)言編寫(xiě)病毒的模塊，如釋放器和加載器等。高級語(yǔ)言出現的同時(shí)也會(huì )給病毒帶來(lái)更加強大的功能，比如可以重用現有的后門(mén)程序的代碼，還可以更容易地編寫(xiě)出更富有變化性的變形引擎，用于感染型病毒入口點(diǎn)的匯編代碼的混合，給病毒的查殺帶來(lái)更多難度。
除此之外，對于病毒分析人員來(lái)說(shuō)，分析格式未公開(kāi)的高級編譯器編譯出的代碼要比用較低級編譯語(yǔ)言的難度大得多。對于目前Microsoft公司的VisualBasic編譯器編譯出的PCode代碼和吳濤公司的易語(yǔ)言編譯器編譯出的易語(yǔ)言二進(jìn)制文件的分析都是難點(diǎn)。按照目前的感染型病毒發(fā)展趨勢來(lái)看，使用更高級且格式未公開(kāi)的編譯語(yǔ)言制作感染型病毒的可能性都很高。從這個(gè)角度來(lái)說(shuō)，高級語(yǔ)言感染型病毒的出現對病毒分析人員的能力提出了更高的要求。

感染型病毒功能趨于多元化——潛在威脅無(wú)所不在

通常提到感染型病毒，用戶(hù)可能更關(guān)心它的傳播途徑是什么、傳播速度有多快等，但感染型病毒的目的不僅僅是為了傳播自身到更廣的范圍，同時(shí)也有出于達到某種目的來(lái)編寫(xiě)的。從病毒的發(fā)展史來(lái)看，從最初的為了炫耀程序員的能力，到達某種政治目標，到最近出現的攻擊伊朗核電站的國家病毒。病毒一直都是為了實(shí)現某種目的，而感染型病毒借助著(zhù)自身的傳染特性，可以將帶有特定功能的病毒滲透到系統的各個(gè)角落，并等待時(shí)機到來(lái)后發(fā)起行動(dòng)。
感染型病毒可能包含有后門(mén)功能，如目前還活動(dòng)的Virut變種病毒，含有一個(gè)小型的后門(mén)客戶(hù)端，用于獲取用戶(hù)操作系統信息、系統運行情況以及下載運行指定應用程序等功能。在感染了此種病毒用戶(hù)的機器上，病毒的操縱者可以遠程連接到用戶(hù)電腦，首先獲取用戶(hù)電腦的配置信息，再根據配置情況指定一個(gè)網(wǎng)絡(luò )路徑，要求客戶(hù)機去自動(dòng)下載某個(gè)攻擊程序后運行攻擊某些重要目標主機，同時(shí)病毒的操縱者還可以監視著(zhù)客戶(hù)機運行情況，在適當的情況下，再將下載的程序刪除掉摸清痕跡，讓偵查人員無(wú)從下手。除此之外virut病毒在設計的過(guò)程中就考慮到了不同操作系統的兼容問(wèn)題，它同時(shí)包含兩套功能等價(jià)代碼，分別用于win98系列的系統和winnt內核系列的系統，這一設計讓病毒的適用范圍更加廣闊，無(wú)論新老電腦都會(huì )受到影響。
感染型病毒還可能揉合木馬程序的各種功能，如目前新增病毒W(wǎng)in32.Crypt.p，它可以感染如.exe一類(lèi)的可執行程序、如rar壓縮包一類(lèi)的非可執行程序以及網(wǎng)頁(yè)內容。Win32.Crypt.p病毒會(huì )從被感染程序中釋放文件到硬盤(pán)，然后執行病毒的主體。該病毒主體外層加有兩層殼進(jìn)行保護，并使用高級語(yǔ)言編寫(xiě)，其中包含有rar的解包功能感染壓縮包中的文件，能夠釋放驅動(dòng)強制在系統級別將殺毒軟件終止，自身復制刪除并將自身安裝成為服務(wù)，除此之外它還擁有盜號木馬的一些特征，如截取用戶(hù)屏幕后保存為文件，將釋放出的imm.dll注冊為輸入法注入到其他進(jìn)程后截取用戶(hù)信息，最終還會(huì )把所有截獲的信息通過(guò)http協(xié)議發(fā)送出去。
從以上兩個(gè)方面我們可以看出，感染型病毒并不是以傳播作為最終目的，而是作為其他病毒程序的跳板，將它們傳播到計算機的各個(gè)角落后，再將其載體激活后完成最終的目的。感染型病毒就好比是一架B2轟炸機，其負載的功能就如同機艙中負載的貨物，這些貨物有可能是普通一批深入敵后的空降部隊，也有可能是具有毀滅性質(zhì)的原子彈。而感染型病毒的性能就如轟炸機的轟炸范圍，炸到地方可能是無(wú)人的沙漠，也有可能是人口密集的廣島。

感染型病毒發(fā)展趨勢——木馬與病毒趨于合二為一

木馬和病毒被經(jīng)常被混淆，傳統意義上木馬和病毒的區分主要在于他們的特征，木馬善于潛伏并完成某種預先設定的功能，而病毒主要擁有感染傳播的能力。就目前的感染型病毒的發(fā)展趨勢來(lái)看，感染型病毒逐漸采納了木馬程序的編寫(xiě)手段和功能，而木馬程序的傳播途徑上又存在著(zhù)與感染型病毒趨近的趨勢，它們之間的距離正在逐步縮小。
惡意程序都是出于某種特殊目的而產(chǎn)生的，病毒的制作者也會(huì )考慮到各種不同惡意程序的優(yōu)處和不足，并使之相互彌補和融合。但總體上，不論木馬還是病毒的發(fā)展趨勢都是向著(zhù)簡(jiǎn)單高效的開(kāi)發(fā)方式發(fā)展的，功能上的相互融合使感染型病毒擁有了前所未有的對被感染機器的控制能力和隱蔽性。

頂你，好東西，這位哥們，不錯

我十分痛恨那些病毒傳播者，希望能有一個(gè)干凈的網(wǎng)絡(luò )空間

大家多多的注意些吧，現在的網(wǎng)絡(luò )確實(shí)是很不安全的

現在的病毒太可怕了，要注意安全防范了。