在线工博会

全球病毒实验室警告 第一季度病毒四大威胁
为节省流量,手机版未显示文章中的图片,请点击此处浏览网页版
趋势科技TrendLabs全球病毒实验室,近日发表第一季度病毒报告指出,IM蠕虫,反微软木马、手机病毒、复合毒( Malware Tandem)将为信息安全添加变量。TrendLabs资深安全顾问Jamz Yaneza表示:“尽管这些威胁不是全新的型态,但是骇客们使用更精进的技巧,使得病毒的攻击更有效率。以复合病毒(Malware Tandem)来说,主病毒本身也许没有特别的杀伤力,但是子病毒,却可能随之潜入系统,进行远程控管等系统攻击。3个月以来,Bagle最新变种和两只MSN 蠕虫,都采取了二合一的攻击模式,也相继造成疫情扩散。”

(图片)

尽管第一季仅激活了6次的病毒爆发警报,相较于2004同期的12次,呈现下降趋势,但在eMail毒使尽招数后,过去在概念证明阶段的新病毒型态有可能在今年内持续成长晋升主流病毒。趋势科技 TrendLabs追踪资料显示,去年仅有两次病毒爆发事件与 email 无关,然而3月7日同日现身的2只 instant messenger 蠕虫在一天内缔造了这个记录。
另外,过去4年仅有一次IM 即时通讯蠕虫造成病毒爆发灾情,但2005 年第一季 IM病毒却在 3个月内激活3次趋势科技的病毒警报系统,占所有病毒警报的一半。另外,手机病毒也在短时间内出现10只,其中有4只集中在3月,并锁定蓝牙无线设备。Jamz Yaneza指出,“即时通讯Instant messenger和手机病毒在 2004年开始的前 3个月明显成长,显见黑客们已经找到了除了电子邮件外更快捷的感染途径。”
历年新病毒成长最快的一季,较去年同期成长3倍
过去3个月,趋势科技共侦测到7,598 个新病毒,占所有感染通报的64%,较上一季成长 200%,较去年同期成长近300%,历年来首次新病毒突破7,000 只。过去 5 季以来,新病毒从2004年第一季的 2,695 个持续成长到第三季的6,500个,但在去年最后一季时,却降至3,990 个。今年第一季掀起的”病毒婴儿潮”,值得关切是否会成为新病毒持续上升的指针。
蠕虫借由IM入侵,系统受害时间愈来愈短
2001年首个 IM 病毒WORM_MENGER.A 浮出台面后,并没有立即取代电子邮件病毒的锋芒,直到今年第一季WORM_BROPIA.F、 WORM_FATSO.A、WORM_KELVIR.B 等3只 MSN病毒在2月及3月相继引爆后,IM 病毒已成为新的安全威胁焦点。
4年来只有一个IM 蠕虫的危害程度到达发动病毒警戒的标准, 若就第一季激活病毒爆发的次数来看,IM 蠕虫可说是本季度以聊天软件为媒介,而引发高度关注的”话题”病毒。近3个月的6个病毒警报中,有3个是经由 IM 衍生,并有两个IM 蠕虫中有bot傀儡虫寄生其中,借以潜入受害系统 。
趋势科技Jamz Yaneza表示:防毒软件可以移除恶性程序,却无法做到控制人们的线上行为。去年许多造成疫情的电子邮件病毒,靠着吸引人的信件标题,就让粗心人们亲手点击激活病毒程序,而达到危害系统的目的。比电子邮件更亲密、更互动的聊天软件,不但缩短了人们之间的距离,也大幅缩短了病毒攻占系统的时间。IM蠕虫充分利用了人们好奇心、友谊或信赖感,仅凭网址链接和吸引人的文件名,就能使平常朗朗上口的防毒常识,比如“不开启不明档案”、“不点选网址连结”..等等,全都在相谈甚欢时,得了暂时性失忆症。
IM 蠕虫相继涌出,极有可能是恶性程序原始码被公开导致,根据趋势科技网络安全研究中心助理Joe Hartmann指出“这些在地下组织散播的原始码外露将会导致更多的病毒危害 IM 用户,甚至不排除发展出高风险的变种。
除了上述的三个病毒陆续产生的变种外,ICQ 和 AIM 也成为WORM_VAMPIRE.A 和WORM_AIMDES.A滋生的媒介。
复合病毒相互结盟,“一毒双煞”威力加倍
趋势科技 TrendLabs追踪资料显示,去年仅有两次病毒爆发事件与电子邮件 无关,然而同日现身的2个 instant messenger 蠕虫在一天内缔造了这个记录:WORM_KELVIR.B 和 WORM_FATSO.A,突然间, IM 蠕虫摇身一变不再是偶尔闹场的异数,极有可能成为最新的病毒传播型态,尤其是使用者众多的 MSN,在第一季就被 3 个病毒盯上。WORM_BROPIA.F 和 WORM_FATSO.A 直接以病毒文件名诱使 MSN 通讯簿名单点击恶意程序; WORM_KELVIR.B则在信息中夹带链接网址,一旦点击鼠标就会下载蠕虫。
不幸的是, WORM_BROPIA.F 和 WORM_KELVIR.B 都采用了“复合病毒”毒中带毒的伎俩,它们都会借着另外一个Bot 傀儡虫,完成入侵系统的阴谋。也就是说即使IM 蠕虫不构成高度风险,其所共生的另一个 Bot 傀儡虫会接手完成破坏任务。
第一季有两次病毒爆发事件,属于“复合病毒”型态,包含“蠕虫与蠕虫”与“蠕虫与木马”(如:WORM_BAGLE.BE)的一毒双煞结合体。透过MSN 散播的IM 蠕虫 WORM_KELVIR.B 和 WORM_BROPIA.F 各夹带一只 bot worm傀儡虫影响系统,并以已知漏洞持续蔓延。而第一季在亚洲与美国引发病毒爆发疫情的TROJ_BAGLE.BE木马会自数个网站下载WORM_BAGLE.B蠕虫,而WORM_BAGLE.B蠕虫则会透过电子邮件附件夹带木马TROJ_BAGLE.BE,两者的共生关系,使得病毒的攻击力道更加强劲。
趋势科技Jamz Yaneza表示:“我们很忧心 Bot 利用复合毒的攻击方式潜入网络,因为一旦有一个Bot 傀儡虫渗透系统,相对于安全警戒线就得拉高,因为这些利用漏洞计算机进行网络滋生的蠕虫,也会随意开启链接让黑客得以远程访问,并为所欲为地执行恶意程序进而对所属网络造成难以弥补的危机。它们可以瞬间滋生难以数计的变种,并窃取机密资料、终止安全程序、发动阻断攻击等等。”
微软反间谍软件,成为黑客”钱”进箭靶
为了防止安全软件破坏黑客的计谋,过去曾有垃圾邮件制造者攻击反垃圾邮件组织网站、病毒终止防毒软件的案例,第一季度间谍软件拥护者,更把矛头对向了微软,其反间谍软件亦成为木马家族第一季锁定的新战场。
2月9日现身的TROJ_ASH.A 会终止Microsoft Antispyware 并且删除相关档案,然后潜入网络银行窃取受害者重要资料。紧接着变种 TROJ_ASH.B, 还会修改 IE 首页设定。3月18日出现的新变种,还具有远程下载自我更新能力。趋势科技TrendLabs 资深安全顾问 Jamz Yaneza指出:“间谍软件(spyware)能够窃取包含银行机密在内的各种信息,这点引起犯罪组织的高度兴趣,加上微软的树大招风,使得其操作系统成为骇客竞技箭靶,而还在Beta 版的Antispyware,难免被向“钱”看的间谍软件视为挡人财路的眼中钉。”
手机功能多样化,病毒威胁亦相对严重
1-3月总共有 10 个恶性程序矛头准手机,其中3月单月就出现4个,不但在病毒数量上明显增加,其技术也更精进了。根据病毒发展史,新型态的病毒往往会成为意图不轨黑客的练习模板,甚至变本加厉,而具有蓝牙功能手机,已成病毒袭击目标。
而功能多样化的手机,也让病毒的传输多了更多管道,比如SYMBOS_COMWAR.B 手机病毒,利用MMS (Multimedia Messaging Service) 这项可经由手机同时收发整合照片、文字和声音的多媒体信息服务,所发送的23条信息中,颇有愚人节整人效果,包括假好心提醒更新安全服务、分享色情图片等等。(如下)
Subject: Security update
Message: Significant security update. See www.symbian.com
Subject: Porno images
Message: Porno images collection with nice viewer!
近三个月来, TrendLabs 观察到手机病毒不但在技术上更上一层楼,还有不易移除与容易蔓延感染的特性。手机病毒极有可能让使用者遗失档案和通讯簿,甚至无法正常操作。
木马病毒持续威胁网络交易安全
第一季主要的病毒型态,仍以木马病毒为主,趋势科技共侦测到2,997个的木马程序,占所有病毒的39%,其中高达2,292 个新产生的特洛伊木马,更高居所有新病毒型态的47%。

(图片)

不容掉以轻心的是,木马程序的增加意味着网络交易风险的相对性,专门窃取密码的木马家族正逐渐枝繁叶茂,比如 TROJ_BANKER, TROJ_BANCOS和 TROJ_BANCBAN, 它们用了各种方法窃取网络银行帐号相关资料, (比如键盘测录,网络钓鱼), 当然是为了更多金钱上的报酬。无独有偶的,占了11%的后门程序实际上是指可以远程控制的木马程序,那使得第一季的新病毒中有3,831个,超过50% 的病毒,有可能是为觊觎网络银行非法利益而来。

(图片)

4/7/2005


电脑版 客户端 关于我们
佳工机电网 - 机电行业首选网站