病毒奥病毒奥斯卡——趋势科技颁布“2005年金毒奖”斯卡

全站搜索

首页 -> 技术学院 -> 系统安全 -> 病毒剖析

病毒奥病毒奥斯卡——趋势科技颁布“2005年金毒奖”斯卡

2005-12-02 作者：依桑编辑阅读量：

其它黑心诈骗事件：

1月：WORM_ZAR.A病毒利用海啸做掩护，企图瘫痪黑客对手网站
3月：网银大盗TROJ_ASH.B 伪造 9家银行页面
8月：微软免费送病毒清除程序；美国将战败；两木马冒名行骗，开后门入侵
9月网络相册也有黑心货！假YAHOO相册骗ID
11月:标题为 "Avian Influenza -Situation in Thailand" (禽流感 - 泰国疫情) 的电子邮件和两个恶意的 Word 文件正在四处流传。虽然附件文件中确实含有关禽流感的信息，但是它们内嵌的程序代码却有BKDR_LECNA.E木马程序。

<最佳剪辑奖>: Pharming（网域嫁接）

得奖理由：<移花接木，不留痕迹>

2004年网络钓鱼（ Phishing）以维妙维肖的假页面获得金毒奖的“最佳视觉设计奖”，今年它的孪生兄弟Pharming （网域/址嫁接），以同样的诈骗目的，但却更高明的手法，赢得<最佳剪接奖>。Pharming （网域/址嫁接）跟网络钓鱼（ Phishing）最大的不同是，后者仿冒银行等金融机构发出带有假网址链接的E-mail，而Pharming （网域/址嫁接）采用更难识破的网域/址嫁接手法。因为它是以入侵Domain Name Server（DNS）服务器的方式，植入恶意程序修改 HOSTS 文件。使用者即使输入正确网址，经DNS的IP地址转换，也会不知不觉地被导引到伪造网站，并让黑客有机会窃取个人的机密资料。

<最佳现场导播奖>: ZOTOB

得奖理由：<黑到CNN>

美国有线电视新闻网CNN的中央计算机系统，2005年8月遭到史上最快利用微软漏洞发动攻击的ZOTO蠕虫入侵，造成副控制室计算机死机、现场新闻停止达数十分钟。宛如热锅蚂蚁、试着解除突发蠕虫危机的计算机维修人员，顿时成为新闻现场主角，而 ZOTOB 却成为闷不出声的最佳现场导播。

Worm _ ZOBOT，其作者在原始码中叫嚣：侦测到这个病毒的防毒软件将于24小时内被剿杀！(原文：MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!)两星期之后 FBI分别于摩洛哥与土耳其，将18 岁与21 岁青少年逮捕。创造这个快速感染全球带有漏洞的Windows2000系统计算机，瘫痪许多企业及媒体网络病毒的动机是企图伪造信用卡。

其它CNN被黑事件：

CNN 头条新闻电子报在全球拥有广大用户，是具有公信力的媒体。但是偏偏有为数不少的病毒打着 CNN 名号行骗，比如2002年WORM_BUZZARD.A病毒巧妙地伪装成CNN实时新闻电子报，以”CNN Breaking News”为标题之一，大量衍生;2004年HTML_DELPLAYER.A也曾伪装 CNN 最新消息指称奥拉马宾拉登被捕，一旦开启网址链接，则会不留痕迹地执行木马程序。2005年Crowt.A病毒假装成CNN新闻电子报，以附件形式散播。

<最佳动作奖>:手机、PDA、随身CD机、MP3等移动设备

得奖理由：<移动黑客，来无影去无踪>

恶意程序的目标并不只有计算机，有些恶意程序已进化到能感染行动装置，当然也包含了某些 MP3 播放器，如2005年4月出现的WORM_NOPIR.B病毒。6月新加坡生产的Nomad以及Zen系列MP3播放器登陆日本市场，然而在9月却传出两种系列最新的产品中感染了病毒，只得紧急召回出售的商品。

为了防止资料被窃，英国军方早在2004年即禁用iPod音乐播放器，当有着USB 接头的移动储存装置与计算机连接上，即存在着资料外泄与病毒入侵的安全威胁，而相关商业机密的客户数据库，可能在不知不觉中被放入报复或离职员工的口袋。

不过在2005年移动装置中以手机的相关安全威胁，较引起注目。手机变成窃听器！？手机自拍性爱照片，全上了网站？！个人记事本，黑客全知道？！这全都是真实发生的手机安全威胁。

Gartner Group研究机构表示:智能型手机是成长最快速的手机类型，智能型手机一般多内建记事本、电子邮件、即时通讯、办公室应用软件等功能，以及蓝牙、WiFi等无线传输功能，可视为小型掌上计算机。但这也同时提供病毒、蠕虫、特洛伊木马程序一个活动的环境。去年春天一名英国的手机漏洞研究专家Laurie，刻意携带蓝牙手机到英国议会大厅里闲逛，他利用蓝牙技术窃取了40多位英国议会议员手机中的记事本和通讯录，甚至把用户的手机变成窃听器。过去手机因维修，被装窃听器的案例时也所闻，现在手机病毒可以做到自动拨号，如果这受话者正巧是黑客，那么用户的手机就成为遥控窃听器。

趋势科技TrendLabs实验室中的多项测试表明，智能手机和掌上计算机平台所提供的强大计算能力，有可能被恶意利用，例如借助收发动态内容的多媒体短信，在目标设备中植入木马程序，盗取用户的私人信息；或者执行自动的破坏性操作，例如自动拨号等操作，造成用户在财务或个人信用方面的损失。以下是针对2005手机的威胁趋势所做的整理：

手机病毒与计算机病毒行为越来越雷同：

约莫10年的计算机病毒史中，黑客在其中钻研的攻击技巧，会照本宣科转移到智能型手机上吗？今年初以来，趋势科技 TrendLabs 研究调查发现，手机病毒与计算机病毒近年的发展趋势有越来越多雷同之处，包括：

·家族化倾向：计算机病毒动辄超过百种的庞大势力，手机病毒也跟着滋生变种，它们以系列化改良增加火力，如SYMBOS_SKULLS、SYMBOS_DREVER、SYMBOS_CABIR系列等等。以SYMBOS_CABIR病毒而言，原始的病毒一次只能攻击一台手机，但新型的变种，却能攻击无数个手机。
·社交工程陷阱： PC病毒惯用的社交工程陷阱，手机病毒也跟上潮流了，常见的有：
-伪装成游戏-如隐藏在<打蚊子>盗版游戏中的SYMBOS_CABIR ; 伪装<毁灭战士> Doom II的破解版的“SYMBOS_DOOMED 变种。
-伪装成免费手机防毒软件-如SYMBOS_DREVER、SYMBOS_SKULLS这些恶意程序还会刻意放在盗版软件网站和黑客网站，让贪小便宜者，得不偿失。
·复合式攻击：趋势科技 TrendLabs 发现，越来越多病毒爆发事件，属于「复合毒」型态，包含「蠕虫与蠕虫」与「蠕虫与木马」一毒双煞的结合体，而现在手机病毒也一样。
趋势科技发现 SYMBOS_SKULLS.N病毒影响除了修改应用程序图标，还会安装其它 3 个手机病毒：SYMBOS_SKULLS.I, SYMBOS_CABIR.A, 和SYMBOS_BOOTTON.A。这是继去年12月1日SYMBOS_SKULLS.B夹带2004年6月被发现的全球第一个透过蓝芽传播的手机病毒SYMBOS_CABIR.A「食人鱼」后，更具危险性的变种。
·删除防毒软件：计算机病毒为了延后被侦测的时间，常常借着删除防毒软件或阻止受害者联机至安全厂商的网站来隐藏行踪。趋势科技指出，如果中了SYMBOS_DREVER.A 手机木马，防毒软件也会被删除。
·垃圾短信夹毒闯关： 3 月 7 日现身的 SYMBOS_COMWAR.A 会传送特定内容的 MMS 多媒体短信，并夹带病毒的 .SIS 安装程序作为附件。

<年度网络大盗奖>:勒索木马

得奖理由：<不支付赎金，就绑架文件>

“想打开你计算机中的文件吗？听从指示汇给我200美金，收到钱后你会拿到译码程序”这是5月份侦测到的TROJ_PGPCODER.A木马病毒，在受害者计算机中的留言。TROJ_PGPCODER.A勒索木马采用目前网络钓鱼和间谍程序常用的手法，在浏览网站时，趁机安装潜入受害计算机。。

趋势科技表示，截至目前为止，对企业组织进行网络勒索的黑客都是要求支付金钱，否则就威胁对商业性网站发动恶意攻击。对一般计算机使用者最不利的是，TROJ_PGPCODER.A勒索木马似乎暗示网络勒索的威胁范围已经扩大到企业界以外的个人用户。

其它勒索事件：

10月趋势科技也侦测到另一个源自俄国的勒索木马，不过他的胃口比较小，只要求20美金。

责任编辑：依桑
文章来源：PCICP 2005-12-02