|
|
病毒奥斯卡——“2005年金毒奖”出炉[图] |
| |
http://www.enorth.com.cn 2005-12-02 09:57 |
|
|
| | 今年计算机病毒的表现五花八门、手法多变。从知名网络安全厂商趋势科技公布的2005年度“金毒奖”的内容来看,精彩程度一点都不输奥斯卡金像奖。
趋势科技公布的“2005年金毒奖”评选标准是以TrendLabs趋势科技全球防病毒研究与技术支持中心所追踪的病毒事件为主,并以全球各大调查单位的调查报告数据及各项犯罪案例为佐证,让网友更进一步认识网络毒害的新趋势。
这些来自全球各地的参赛者,何以在弹指间行骗全球呢?请看本报导。
<最佳代言人>:布拉德皮特、维多利亚
得奖理由:<看好莱坞明星走光,系统也被看光>
从Internet 成为数字时代的主角以来,色情一直是存在的问题。而病毒也善用此项”资源”,借助使用者的好奇心,一个邮件标题、一个附件名,就能让使用者点击鼠标进行散播。趋势科技 TrendLabs 的诱捕系统(Honey pot)就拦截到许多以色情为饵的病毒。它们既不是散发大量邮件的蠕虫,也没有通过 Bot 僵尸网络来散发垃圾邮件,而是由人为手动转发给木马植入程序。这些特定的电子邮件样本,是由 Yahoo 群组中的某位成员散发给许多 Yahoo 群组的邮件!虽然它属于手动散播,但只要想想这封电子邮件所传送的群组数目,加上每个群组所拥有的成员数目,也能产生滚雪球的转发效应。
2005年被病毒利用的超人气男女大明星包括:布拉德皮特和维多利亚。
网络防毒及内容安全专家趋势科技(Trend Micro)提醒,当你收到标题为”Brad Pitt so HOTTTT”或” VICTORIA BECKHAM SEXY.....VERY HOTTTTTTTTTTTTTTTT”.的邮件,最好直接删除,否则木马TROJ_NETLOG.C 和 TROJ_JOINER.BH除了让你欣赏明星的偷拍照同时,系统也会被看光。
其它明星被黑事件:
·2月希尔顿酒店继承人Paris Hilton意外地被黑客将手机中的名人通讯录、个人记事本和写真照片曝光在网络上。
·11月大陆某网站出现内含木马病毒的周杰伦最新专辑《十一月的萧邦》MP3 文件。用户下载后就会被窃取个人资料、账号等。
其它图片“黑”人事件:
·9月由温心怡等5名女子组成的罕见的清一色为女子的黑客军团,在网络上张贴暗藏木马程序的名模、色情图片,例如“林志玲全集系列”、“马子舒淇”、“各国空姐”供人下载,取得账号、密码后,交给国内的诈骗集团。分别盗取雅虎奇摩账号进行网络拍卖诈骗,线上游戏账号盗取网友的虚拟宝物出售。
·恶性重大蠕虫最爱的 eMail主题:色诱图片MYTOB(魔头)、SOBER(扫把)、NETSKY、 MYDOOM皆为”好色”之徒
<年度票房奖>:漏洞病毒
得奖理由:<漏洞=$$$>
2005年由 Bot 傀儡程序所组成的僵尸网络,俨然成为集团式犯罪的必要条件,可怕的是,你的计算机成为犯罪集团暗地纳入的行凶会员,你可能一点都不知情。2005 年第一季,寄发大量邮件的 BOT WORM 傀儡虫家族 MYTOB 现身之后,导致BOT WORM 傀儡虫创作者或团体开始迅速繁衍,这些人利用公开程序代码的模块化特性获得极大的进展,包括 ZOTOB 作者也是属于同个黑客集团成员。网络安全机构 SANS表示,僵尸计算机已被黑客当作用来勒索的工具,尤其是线上赌博网站。某些黑客还会将他们以 bot傀儡程序所控制的计算机,出租给其它国家的黑客。
僵尸网络控制计算机获利 6万美元
FBI 成员于2005年11 月3 日逮捕一名涉嫌利用 Bot 犯案的黑客。菲裔美籍人士 Jeanson Ancheta 被控涉及两起诈欺与多起计算机入侵与洗钱案。Ancheta 涉嫌利用经过修改的 "rxbot" 特洛伊木马程控数千台含有安全漏洞的计算机。他在这些遭控制的系统中安装会产生弹出信息的恶意程序,这项阴谋行动总共产生了高达 $60,000 美元的不法利益。目前Ancheta 已被收押且不得保释,预计将于12 月 27 日出庭受审。如果他被控的 17 罪名都成立的话,将必须面临 50 年的刑期。
发现一个漏洞值多少钱?
“漏洞=$$$”,一点也不夸张:对漏洞研究人员而言,提供微软或其它信息业者没有发现到的可攻击安全漏洞给某些安全厂商推出的“漏洞贡献者方案Vulnerability Contributor Program (VCP)”、“零时差项目 (Zero Day Initiative,ZDI)”,可以获得金钱报酬;对黑客而言,利用漏洞撰写而成的 Bot 傀儡虫,可以组成攻击他人的僵尸网络销售给不法者;对企业而言,一些安全研究员或是黑客已经从”搜集漏洞”中找到另一片商机。看看这个由安全业者提供的漏洞奖励计画,你将不难明白,在产品或操作系统上寻找新的安全漏洞似乎是不错的“生财之道”:
上述是Argeniss提供的资料,IDefense也有类似的方案,名为“漏洞贡献者计划(Vulnerability Contributor Program,VCP)”,接受任何人提供新的安全漏洞并支付这些人酬劳。3Com 与旗下公司 TippingPoint 也于7月底共同推出“零时差项目 (Zero Day Initiative,ZDI)”,提供优厚的条件奖励安全研究人员揭露所发现的安全漏洞。只要有人购买研究人员提供的安全漏洞,研究人员就可获得点数。点数的计算类似航空公司会员累积里程的方式,每年会依据研究人员当年度提报安全漏洞所获得的总金额,采一元兑一点的方式累计点数。“零时差项目 (Zero Day Initiative,ZDI )”每一个等级都提供独特的奖励与优惠条件,所有奖励与优惠条件在获得点数后的下一年全年有效,奖金从1,000 美元到20,000 美金不等,还可免费登录并招待前往拉斯维加斯参加国际黑客年会DEFCON、BlackHat 大会。以下是 ZDI 奖励方案各等级会员的介绍:
虽然提出奖励计划的厂商,旨在发现技术应用中存在的漏洞,为用户提供更好的安全服务。然而趋势科技也忧虑以下问题:
-如果漏洞提报者,对赞助厂商提供的金额并不满意怎么办?他们将如何处置所揭露的安全弱点?
-如果发现的安全漏洞未通知供货商,会不会在道德约束失效后,产生其它可能性:比如抢先在黑客BlackHat黑帽大会上发表成果,借以肯定自身功力。
<最佳服装奖>: RootKit黑客工具套件
得奖理由:<宛若哈利波特的隐形斗篷,穿上它间谍程序、Bot傀儡虫不走光>
2005年包括 Celine Dion (席琳狄翁)在内的 19 张 SONY 发行的 CD 因为含有防盗版技术,而意外地造成“买 CD 唱片,送黑客隐形斗蓬”的安全意外,即使后来停产该项保护 CD,但已有210万张售出。这个始作俑者就是 BREPLIBOT特洛伊木马程序家族,其利用Sony唱片防拷软件采用的 Rootkit 工具留下的后们来作自我隐藏,使得病毒不易被追踪。也使得有些公司颁出禁令:上班时间不准听 CD ,免得公司被黑客入侵。
就定义而言,Rootkit 是恶意使用者用来掩饰入侵行动并取得系统管理员层级存取权限以入侵计算机或计算机网络的一套工具 (程序) 组合。它具有多种功能,例如它可以监控传输的资料及进行键盘侧录、在系统上开启“后门”、修改记录文件、攻击网络上其它机器,以及修改现有系统工具以躲避侦测。
Rootkit 经常被恶意程序用来隐藏它们所执行的处理程序,因此不容易被侦测到。许多 Bot 蠕虫、间谍软件都利用这套工具来打造隐形斗篷。
根据趋势科技 TrendLabs指出运用这种隐匿技巧的恶意程序数量大增,自2005年初每月低于 1 0件的零星案件,到10月底已发现到有35个恶意程序采取 Rootkit技术。
<年度黑心奖>:以国际灾难,钓鱼诈骗/诈财的病毒
得奖理由:<红十字会网站遭抹黑,善款流入黑客口袋>
2005年国际间灾难频传,善心人士得确认捐款能送达需要帮助的人们手中,而不是让想趁机大捞一笔的网络钓客半途拦截! 10月初以Katrina 飓风灾后募款为名,假冒红十字会名义募款的数十个假网站遭查获。善心人士用搜寻引擎找寻巴基斯坦地震、卡罗娜飓风等关键词时,得当心假冒网站剥削你的爱心,因为据调查光是以Katrina注册的诈骗网站就高达数百个。
趋势科技接获举报一个红十字会网络钓鱼网站,网页内几乎所有的连结与图像都与正牌网站一模一样,除了三个关键按钮:“Continue”、“Cancel”以及“Verisign”,乍看之下就像真的网站一样,如果使用者未仔细检视,很容易上当。该诈骗手法翻新,是以外挂在入口网站的方式(这个案例是使用www.quadrate-stadt.de这个德国网站),然后在该网址后面加上包含红十字会网址在内的诈骗网址,让消费者误以为是赞助红十字会的链接。
趋势科技提醒,即使链接的网址中含有你信赖的合法网址(如入口网站或博客日志等免费网络空间),也不保证是为捐款的安全性背书。
其它黑心诈骗事件:
1月:WORM_ZAR.A病毒利用海啸做掩护,企图瘫痪黑客对手网站
3月:网银大盗TROJ_ASH.B 伪造 9家银行页面
8月:微软免费送病毒清除程序;美国将战败;两木马冒名行骗,开后门入侵
9月网络相册也有黑心货!假YAHOO相册骗ID
11月:标题为 "Avian Influenza -Situation in Thailand" (禽流感 - 泰国疫情) 的电子邮件和两个恶意的 Word 文件正在四处流传。虽然附件文件中确实含有关禽流感的信息,但是它们内嵌的程序代码却有BKDR_LECNA.E木马程序。
<最佳剪辑奖>: Pharming(网域嫁接)
得奖理由:<移花接木,不留痕迹>
2004年网络钓鱼( Phishing)以维妙维肖的假页面获得金毒奖的“最佳视觉设计奖”,今年它的孪生兄弟Pharming (网域/址嫁接),以同样的诈骗目的,但却更高明的手法,赢得<最佳剪接奖>。Pharming (网域/址嫁接)跟网络钓鱼( Phishing)最大的不同是,后者仿冒银行等金融机构发出带有假网址链接的E-mail,而Pharming (网域/址嫁接)采用更难识破的网域/址嫁接手法。因为它是以入侵Domain Name Server(DNS)服务器的方式,植入恶意程序修改 HOSTS 文件。使用者即使输入正确网址,经DNS的IP地址转换,也会不知不觉地被导引到伪造网站,并让黑客有机会窃取个人的机密资料。
<最佳现场导播奖>: ZOTOB
得奖理由:<黑到CNN>
美国有线电视新闻网CNN的中央计算机系统,2005年8月遭到史上最快利用微软漏洞发动攻击的ZOTO蠕虫入侵,造成副控制室计算机死机、现场新闻停止达数十分钟。宛如热锅蚂蚁、试着解除突发蠕虫危机的计算机维修人员,顿时成为新闻现场主角,而 ZOTOB 却成为闷不出声的最佳现场导播。
Worm _ ZOBOT,其作者在原始码中叫嚣:侦测到这个病毒的防毒软件将于24小时内被剿杀!(原文:MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!)两星期之后 FBI分别于摩洛哥与土耳其,将18 岁与21 岁青少年逮捕。创造这个快速感染全球带有漏洞的Windows2000系统计算机,瘫痪许多企业及媒体网络病毒的动机是企图伪造信用卡。
其它CNN被黑事件:
CNN 头条新闻电子报在全球拥有广大用户,是具有公信力的媒体。但是偏偏有为数不少的病毒打着 CNN 名号行骗,比如2002年WORM_BUZZARD.A病毒巧妙地伪装成CNN实时新闻电子报,以”CNN Breaking News”为标题之一,大量衍生;2004年HTML_DELPLAYER.A也曾伪装 CNN 最新消息指称奥拉马宾拉登被捕,一旦开启网址链接,则会不留痕迹地执行木马程序。2005年Crowt.A病毒假装成CNN新闻电子报,以附件形式散播。
<最佳动作奖>:手机、PDA、随身CD机、MP3等移动设备
得奖理由:<移动黑客,来无影去无踪>
恶意程序的目标并不只有计算机,有些恶意程序已进化到能感染行动装置,当然也包含了某些 MP3 播放器,如2005年4月出现的WORM_NOPIR.B病毒。6月新加坡生产的Nomad以及Zen系列MP3播放器登陆日本市场,然而在9月却传出两种系列最新的产品中感染了病毒,只得紧急召回出售的商品。
为了防止资料被窃,英国军方早在2004年即禁用iPod音乐播放器,当有着USB 接头的移动储存装置与计算机连接上,即存在着资料外泄与病毒入侵的安全威胁,而相关商业机密的客户数据库,可能在不知不觉中被放入报复或离职员工的口袋。
不过在2005年移动装置中以手机的相关安全威胁,较引起注目。手机变成窃听器!?手机自拍性爱照片,全上了网站?!个人记事本,黑客全知道?!这全都是真实发生的手机安全威胁。
Gartner Group研究机构表示:智能型手机是成长最快速的手机类型,智能型手机一般多内建记事本、电子邮件、即时通讯、办公室应用软件等功能,以及蓝牙、WiFi等无线传输功能,可视为小型掌上计算机。但这也同时提供病毒、蠕虫、特洛伊木马程序一个活动的环境。去年春天一名英国的手机漏洞研究专家Laurie,刻意携带蓝牙手机到英国议会大厅里闲逛,他利用蓝牙技术窃取了40多位英国议会议员手机中的记事本和通讯录,甚至把用户的手机变成窃听器。过去手机因维修,被装窃听器的案例时也所闻,现在手机病毒可以做到自动拨号,如果这受话者正巧是黑客,那么用户的手机就成为遥控窃听器。
趋势科技TrendLabs实验室中的多项测试表明,智能手机和掌上计算机平台所提供的强大计算能力,有可能被恶意利用,例如借助收发动态内容的多媒体短信,在目标设备中植入木马程序,盗取用户的私人信息;或者执行自动的破坏性操作,例如自动拨号等操作,造成用户在财务或个人信用方面的损失。以下是针对2005手机的威胁趋势所做的整理:
手机病毒与计算机病毒行为越来越雷同:
约莫10年的计算机病毒史中,黑客在其中钻研的攻击技巧,会照本宣科转移到智能型手机上吗?今年初以来,趋势科技 TrendLabs 研究调查发现,手机病毒与计算机病毒近年的发展趋势有越来越多雷同之处,包括:
·家族化倾向:计算机病毒动辄超过百种的庞大势力,手机病毒也跟着滋生变种,它们以系列化改良增加火力,如SYMBOS_SKULLS、SYMBOS_DREVER、SYMBOS_CABIR系列等等。以SYMBOS_CABIR病毒而言,原始的病毒一次只能攻击一台手机,但新型的变种,却能攻击无数个手机。
·社交工程陷阱: PC病毒惯用的社交工程陷阱,手机病毒也跟上潮流了,常见的有:
-伪装成游戏-如隐藏在<打蚊子>盗版游戏中的SYMBOS_CABIR ; 伪装<毁灭战士> Doom II的破解版的“SYMBOS_DOOMED 变种。
-伪装成免费手机防毒软件-如SYMBOS_DREVER、SYMBOS_SKULLS这些恶意程序还会刻意放在盗版软件网站和黑客网站,让贪小便宜者,得不偿失。
·复合式攻击:趋势科技 TrendLabs 发现,越来越多病毒爆发事件,属于「复合毒」型态,包含「蠕虫与蠕虫」与「蠕虫与木马」一毒双煞的结合体,而现在手机病毒也一样。
趋势科技发现 SYMBOS_SKULLS.N病毒影响除了修改应用程序图标,还会安装其它 3 个手机病毒:SYMBOS_SKULLS.I, SYMBOS_CABIR.A, 和 SYMBOS_BOOTTON.A。这是继去年12月1日SYMBOS_SKULLS.B夹带2004年6月被发现的全球第一个透过蓝芽传播的手机病毒SYMBOS_CABIR.A「食人鱼」后,更具危险性的变种。
·删除防毒软件:计算机病毒为了延后被侦测的时间,常常借着删除防毒软件或阻止受害者联机至安全厂商的网站来隐藏行踪。趋势科技指出,如果中了SYMBOS_DREVER.A 手机木马,防毒软件也会被删除。
·垃圾短信夹毒闯关: 3 月 7 日现身的 SYMBOS_COMWAR.A 会传送特定内容的 MMS 多媒体短信,并夹带病毒的 .SIS 安装程序作为附件。
<年度网络大盗奖>:勒索木马
得奖理由:<不支付赎金,就绑架文件>
“想打开你计算机中的文件吗?听从指示汇给我200美金,收到钱后你会拿到译码程序”这是5月份侦测到的TROJ_PGPCODER.A木马病毒,在受害者计算机中的留言。TROJ_PGPCODER.A勒索木马采用目前网络钓鱼和间谍程序常用的手法,在浏览网站时,趁机安装潜入受害计算机。。
趋势科技表示,截至目前为止,对企业组织进行网络勒索的黑客都是要求支付金钱,否则就威胁对商业性网站发动恶意攻击。对一般计算机使用者最不利的是,TROJ_PGPCODER.A勒索木马似乎暗示网络勒索的威胁范围已经扩大到企业界以外的个人用户。
其它勒索事件:
10月趋势科技也侦测到另一个源自俄国的勒索木马,不过他的胃口比较小,只要求20美金。
<年度最佳贡献奖>:间谍软件
得奖理由:<大家都下班了,间谍软件却还默默加班>
IDC分析师Brian Burke表示估计,全球计算机中有三分之二存在有间谍软件,大部分计算机中甚至存在数种间谍软件,这些软件均是在使用者不知情的情况下运行的。间谍软件从2004年的新名词,到 2005年无所不在的威胁,Forrester调查机构2005年初所做的调查报告显示:间谍软件已经成为一个严重影响安全与IT支持方面的问题,越来越多的企业求助于反间谍软件产品来控制间谍软件可能带来的灾难。有39%的公司都不清楚公司计算机设备中有多少被感染,间谍软件已成企业最大祸害。美国Pew Internet and American Life Projec皮尤研究组织7月公布调查结果发现::九成用户为躲开间谍软件改变上网习惯。
无论哪个网站想让你下载“免费”程序,要养成点击“否”的习惯。
间谍软件常常寄生在其它免费软件上,当用户喜孜孜地从网上下载免费软件时,付出的代价可能就是隐私与安全。免费软件的开发者可能借助允许间谍软件寄生,作为开发费用的支出。即使为了规避日后的责任,会在同意书上以轻描淡写的语句提示使用者,但大多数使用者并没有耐心看完,尤其是长篇大论的英文页面更是如此。于是间谍软件就这样不分昼夜的与你的计算机随行。
趋势科技曾在某个工具列网站侦测到TROJ_SMALL.GL 木马,导致 26个来自不同网站的文件自动下载,之后系统多了2个间谍软件、8个广告软件和3个特洛伊木马。
间谍软件2005年新伙伴
·1月:免费的垃圾邮件清除工具,遭间谍软件利用:1月Lycos位于欧洲网站提供免费的反垃圾邮件屏幕保护程序供用户下载,该软件会在用户收到垃圾邮件后,主动对垃圾邮件来源服器受发动DoS(Denial of Service)攻击。不过这种近似间谍软件的作法,并没有获得反垃圾邮件组织认同,甚至担心为攻击者利用,反而使得遭受冒用滥发垃圾信件的无辜服务器,雪上加霜。
·1月:假好心移除间谍软件:间谍软件出现假的警告窗口“你的计算机已经被间谍软件感染。请点击此处,可以安装解毒软件清理它。” 的确,当你点击安装之后,先前被安装的间谍软件可能被移除,但是同时新的间谍程序也不知不觉进驻了。
·3月:blog成为广告与间谍软件新天地:2005年大热门的blog当然也成为恶意攻击者觊觎的对象,其方式方括:
1.利用Blog的JavaScript和ActiveX入侵有安全弱点的浏览器计算机中。
2.在「回响」留言版张贴广告,如:「哈罗,我的名字是 Michael Johnson,我是blog世界的新手。我觉得你的blog真是太棒了!我的网站是在*︿&︿$%,而且拥有关于*&︿*%︿&$%最完整信息﹀令人做恶的是,张贴的链接会将大量间谍程序下载到系统中
3.挟持目前设定 RSS Feed 客户端,将客户端的设定改为指向另一个恶意的网页内容。
·8月:间谍程序步步进逼线上游戏:亚洲最受欢迎的线上游戏「Legend of Mir 传奇」与「Lineage天堂」被间谍软件看上。
·7月:下载影音文件,多10个广告软件:除了工具列等免费下载软件,间谍软件也开始利用免费下载电影作为媒介,并且透过热门的 P2P 网络来散播。
·10月:新障眼法,不重视网页美观:空白、测试或禁止存取等大量留白页面成为间谍软件利用的障眼法
·10月:法院判定间谍软件非法侵入私有财产:美国芝加哥联邦法院2005年10月判定间谍软件对家用计算机造成的干扰可构成非法侵入私有财产。
·11月:儿童上网监控程序引起争议:生产该监控程序的英国软件公司控告反间谍软件厂商把它视为间谍软件。
<年度超级玩家>:网络游戏病毒
得奖理由:<木马与间谍软件,使得一场游戏变为一场梦>
2005年8 月份,针对“Legend of Mir 传奇”与“Lineage天堂”这两种网络游戏而来的攻击数量十分惊人,这两者都是极受欢迎的MMORPG大型-网络角色扮演游戏。网络游戏账户遭受攻击的情况几乎和银行账户一样频繁。电玩游戏已进化为高度电影化的互动体验。就像它的棋盘游戏前身“Dungeons and Dragons”一样,这类游戏也都有像狂热分子与玩家社群之类的拥护者,他们会四处炫耀每一件新游戏对象、盔甲的每一片组件、甚至是仅存的最后一滴灵丹妙药。因此,MMORPG 虚拟世界中的对象价值已经延伸到真实世界,稀有的宝剑盔甲组合可卖到数百美元,而不只是虚拟货币而已。
趋势科技资深安全专家齐军表示,“Legend of Mir传奇”的玩家绝大多数都来自中国大陆,许多“Lineage天堂”的爱好者多位于台湾地区,在美国也有不少的玩家。这两种游戏的开发人员都位于韩国,而且在北美地区都有业务伙伴。为了让这些网络游戏中的虚拟武器与人物能力有所提升,黑市中一直都有这方面的需求,因此造就了另一个产业。事实上,为了达到这些目的,许多人都愿意付出任何代价。
趋势科技2005年10月侦测到两个与游戏有关的病毒,分别是攻击Sony Playstation Portable (PSP)的木马TROJ_PSPBRICK.A与攻击任天堂的木马病毒 DS TROJ_DSBRICK.A与TROJ_DSBRICK.B。起初 PSP 只能执行 Sony 认可的游戏,但破解程序能让使用者执行他们自己的游戏。事实上,在较旧版本 (像是 1.50) 的 PSP 中曾被发现允许执行自订程序代码的安全漏洞,但 Sony 已经在较新的版本中修正了这个问题。第一个以 Sony Playstation Portable为攻击对象的特洛伊木马程序TROJ_PSPBRICK.A就是伪装成可将其它游戏移植到此平台的某种工具。而事实上,它会删除系统文件,导致机器无法开机。此时... 你的“玩伴”.... 就成了一堆废铁。
与游戏有关的安全事件:
·5月-病毒LEGMIR专偷线上游戏密码
·5月- Legend of Mir传奇线上游戏出现钓鱼网站
·6月-微软MSN韩国网站被植入病毒,试图窃取用户登陆Lineage天堂网络游戏时的密码。
·6月-SYMBOS_CABIR 手机病毒隐藏在<打蚊子>盗版游戏中
·9月-“SYMBOS_DOOMED手机病毒伪装在<毁灭战士> Doom II破解版
·10月-出现两个木马分别攻击 Sony Playstation Portable (PSP)与任天堂
<最佳团体奖>:复合式病毒
得奖理由:<双头蛇,够毒竦>
2005年第一季有两次病毒爆发事件,属于“复合毒”型态,包含“蠕虫与蠕虫”与“蠕虫与木马”(如:WORM_BAGLE.BE)的一毒双煞结合体。第一季在亚洲与美国引发病毒爆发疫情的TROJ_BAGLE.BE木马会自数个网站下载 WORM_BAGLE.B蠕虫,而WORM_BAGLE.B蠕虫则会透过 eMail附件夹带木马TROJ_BAGLE.BE,两者的共生关系,使得病毒的攻击力道更加强劲。
趋势科技资深安全专家齐军表示:“一旦 Bot 傀儡虫利用复合毒的攻击方式潜入网络,相对于安全警戒线就得拉高,因为这些利用漏洞计算机进行网络滋生的蠕虫,也会随意开启连接埠让黑客得以远程访问,并为所欲为地执行恶意程序进而对所属网络造成难以弥补的安全危机。它们可以瞬间滋生难以数计的变种,并窃取机密资料、终止安全程序、发动阻断攻击等等。”
第三季出现的 WORM_BAGLE.DA 则有更进一步的发展,它使用两个特洛伊木马程序组件。WORM_BAGLE.DA 会寄发大量邮件散播 TROJ_BAGLE.DA。顺着这个思考逻辑,这个特洛伊木马程序组件应该会下载蠕虫的复本,但是它并没有这样做,而是下载另一个特洛伊木马程序 TROJ_DLOADER.ACT。最后再由这个特洛伊木马程序来下载蠕虫。从此之后,MYTOB 变种也依样画葫芦采用复合式循环攻击的策略:蠕虫WORM_MYTOB.KM 搭配木马 TROJ_DROPPER.LV 进行攻击。
其它复合式攻击事件:
·手机病毒:如前述<手机病毒与计算机病毒行为越来越雷同> SYMBOS_SKULLS.N会安装其它 3 个手机病毒:SYMBOS_SKULLS.I, SYMBOS_CABIR.A, 和SYMBOS_BOOTTON.A。
·IM病毒:透过MSN散播的IM 蠕虫 WORM_KELVIR.B 和 WORM_BROPIA.F 各夹带一个 bot worm傀儡虫影响系统,并以已知漏洞持续蔓延。
<最佳创意奖>:声音键盘侧录法
得奖理由:<先声夺人>
你走进办公室,坐下来,然后打开计算机,当然你必须输入登入信息才能开始操作。但是,请等一下!当你输入信息时,确定没有人在偷看吗?因此你会看看四周是否无人。然后你就开始输入登入信息... 嗯... 密码.... *********
难道“偷窥”才是取得别人密码的唯一方式吗?当然不是。还有许多方式,其中一种就是加州大学研究人员所发表的报告中所讨论到的。根据这些研究人员的说法,只需要在某人打字时加以记录,就能取得输入的资料。这种方式的概念是,按下不同按键时似乎会产生不同的声音,而这些声音能转换为一串字母或文字。——这样就能取得资料了.. 这就是利用音频进行键盘侧录。
其它”黑”人听闻神偷事件:
11月:利用复制粘贴功能偷机密-偷取账号密码不一定要网络钓鱼( Phishing)的假页面或是网域嫁接(Pharming)利用木马程序的偷天换日,现在连“复制”、“粘贴”这两个简单的动作,都有可能导致私密资料的外流。每一种便利的功能背后都可能隐藏着许多风险。Microsoft Internet Explorer 5 (及更新的版本) 浏览器推出之后不断进行功能改进以支持更多的功能,让使用者能更便利地使用指令码处理功能。其中包括从剪贴簿中截取URL 或纯文字格式内容的功能。
执行这些功能的 JS 函式分别是clipboardData.getData('URL')与clipboardData.getData('Text')。虽然这项功能是由 Microsoft 为了方便编辑而开发的,然而它也可能遭到恶意网站利用,从你的系统中窃取机密资料。位于加拿大的Friendly Canadian Search Engine 公布了针对网站如何撷取粘贴簿中的资料制作了示范文件,只要做简单的CTRL+C 动作,你就可以惊讶地发现你刚刚复制的资料居然出现在其它网站,包含你刚刚用复制贴入的网络银行密码、身份证、信用卡资料。一个小小的建议.,当你在网络上浏览时,请手动输入密码与使用者账户信息,避免用剪贴的方式。虽然这样作会多花你几秒钟,但是却能让你更安全。
<最佳表情符号奖>: IM 病毒
得奖理由:<即时Click,即时中毒,即时目瞪口呆>
2001年首个 IM 病毒WORM_MENGER.A 浮出台面后,并没有立即取代邮件病毒的锋芒,直到今年第一季WORM_BROPIA.F、 WORM_FATSO.A、WORM_KELVIR.B 等3个 MSN 病毒在2月及3月相继引爆后,IM 病毒已成为新的安全威胁焦点。
4年来只有一个IM 蠕虫的危害程度到达发动病毒警戒的标准,若就第一季度激活病毒爆发的次数来看,IM 蠕虫可说是第一季度以聊天软件为媒介,而引发高度关注的”话题”病毒。第一季的6个病毒警报中,有3个是经由 IM 衍生,并有两个IM 蠕虫中有bot傀儡虫寄生其中,以潜入受害系统。
趋势科技李晶表示:防毒软件可以删除恶性程序,却无法做到控制人们的线上行为。去年许多造成疫情的 email 病毒,靠着吸引人的信件标题,就让粗心人们亲手 click 激活病毒程序,而达到危害系统的目的。比 eMail更亲密、更互动的聊天软件,不但缩短了人们之间的距离,也大幅缩短了病毒攻占系统的时间。IM 蠕虫充分利用了人们好奇心、友谊或信赖感,仅凭网址链接和吸引人的文件名,就能使平常朗朗上口的防毒常识,比如“不开启不明文件”、“不点选网址链接”..等等,全都在相谈甚欢时,得了暂时性失忆症。
IM 蠕虫相继涌出,极有可能是恶性程序原始码被公开导致,根据趋势科技网络安全研究中心协理Joe Hartmann指出 “这些在地下组织散播的原始码外露将会导致更多的病毒危害 IM 用户,甚至不排除发展出高风险的变种。
另外,通过MSN散播的IM 蠕虫 WORM_KELVIR.B 和 WORM_BROPIA.F 各夹带一个 bot worm傀儡虫影响系统,并以已知漏洞持续蔓延
I M 病毒创新攻击事件:
·3月- WEB Came 当起狗仔偷拍!!
3月上旬出现的病毒WORM_RBOT.ASH ,一旦它在受害计算机中植入后门程序,就会截取网络摄影机影像,回传给黑客。这种监控行为的潜在危险,包括小偷因此知道家中菲佣何时外出买菜,可以闯空门;狗仔队可把话题人物的睡姿公布网络等等。趋势科技表示,“这种利用病毒偷窥隐私的行径,都是在背景执行,一般使用者很难察觉。再加上网络摄影机型号的不同,当病毒激活摄影功能时,不见得会出现音效或灯号,更何况有些病毒,还会刻意关闭声卡,以免窗口设定的音效让其形迹败露。令人忧心的是,现在新款的笔记型计算机,内置的WebCam 可随时激活,病毒可能在你一开机时,就"随侍在侧"了。”
·7月-有人需要 iTunes 吗?
请留意过多联想所产生的诱惑。这个程序与Apple Computer, Inc.毫无关联,而且也不是媒体播放程序。WORM_OPANKI.Y 和其它 OPANKI 变种一样都是透过实时传讯程序来散播。这个变种的散播媒介是 AOL Instant Messenger (AIM),它会传送信息表示“this picture never gets old.”(这张图片永远不会过时。) 而信息中的 URL 会下载ITUNES.EXE。WORM_OPANKI.Y 执行之后会下载数个广告程序到受感染的系统中。令人纳闷的是它的攻击模式在逻辑上并未有任何突破。它先挑起人们好奇心去看一张“永远不会过时的图片”,然后当使用者按下信息时则会下载一个名为 ITUNES.EXE 的文件。难道这张图片就是媒体播放程序吗?尽管如此,警觉性不高的 IM联系人加上 IPod 的高人气就足以构成一个具有新闻价值的社交工程圈。
编者按:其实这些病毒也不是无缘无故自己跑到你的计算机或手机里,不管是间谍软件还是木马程序,垃圾邮件与共享软件依旧是最大的祸源。尽管大部分人都讨厌垃圾邮件,但往往又禁不起耸动标题的诱惑,一步步掉入诈骗网站的陷阱或安装恶意程序。所以建议用户们最好不要理会垃圾邮件,并且在输入账号、密码等重要数据前一定要三思。只要克制按下鼠标的冲动,这样病毒就没有表现舞台了!
|
| 编辑:赵海涛 |
| [进入IT论坛]
|
|
|
|
| |
|
| |
|
