病毒奥病毒奥斯卡——趋势科技颁布“2005年金毒奖”斯卡

全站搜索

首页 -> 技术学院 -> 系统安全 -> 病毒剖析

病毒奥病毒奥斯卡——趋势科技颁布“2005年金毒奖”斯卡

2005-12-02 作者：依桑编辑阅读量：

<年度最佳贡献奖>:间谍软件

得奖理由：<大家都下班了，间谍软件却还默默加班>

IDC分析师Brian Burke表示估计，全球计算机中有三分之二存在有间谍软件，大部分计算机中甚至存在数种间谍软件，这些软件均是在使用者不知情的情况下运行的。间谍软件从2004年的新名词，到 2005年无所不在的威胁，Forrester调查机构2005年初所做的调查报告显示：间谍软件已经成为一个严重影响安全与IT支持方面的问题，越来越多的企业求助于反间谍软件产品来控制间谍软件可能带来的灾难。有39%的公司都不清楚公司计算机设备中有多少被感染，间谍软件已成企业最大祸害。美国Pew Internet and American Life Projec皮尤研究组织7月公布调查结果发现：:九成用户为躲开间谍软件改变上网习惯。

无论哪个网站想让你下载“免费”程序，要养成点击“否”的习惯。

间谍软件常常寄生在其它免费软件上，当用户喜孜孜地从网上下载免费软件时，付出的代价可能就是隐私与安全。免费软件的开发者可能借助允许间谍软件寄生，作为开发费用的支出。即使为了规避日后的责任，会在同意书上以轻描淡写的语句提示使用者，但大多数使用者并没有耐心看完，尤其是长篇大论的英文页面更是如此。于是间谍软件就这样不分昼夜的与你的计算机随行。

趋势科技曾在某个工具列网站侦测到TROJ_SMALL.GL 木马，导致 26个来自不同网站的文件自动下载，之后系统多了2个间谍软件、8个广告软件和3个特洛伊木马。

间谍软件2005年新伙伴

·1月：免费的垃圾邮件清除工具，遭间谍软件利用：1月Lycos位于欧洲网站提供免费的反垃圾邮件屏幕保护程序供用户下载，该软件会在用户收到垃圾邮件后，主动对垃圾邮件来源服器受发动DoS(Denial of Service)攻击。不过这种近似间谍软件的作法，并没有获得反垃圾邮件组织认同，甚至担心为攻击者利用，反而使得遭受冒用滥发垃圾信件的无辜服务器，雪上加霜。
·1月：假好心移除间谍软件：间谍软件出现假的警告窗口“你的计算机已经被间谍软件感染。请点击此处，可以安装解毒软件清理它。” 的确，当你点击安装之后，先前被安装的间谍软件可能被移除，但是同时新的间谍程序也不知不觉进驻了。
·3月：blog成为广告与间谍软件新天地：2005年大热门的blog当然也成为恶意攻击者觊觎的对象，其方式方括：
1.利用Blog的JavaScript和ActiveX入侵有安全弱点的浏览器计算机中。
2.在「回响」留言版张贴广告，如：「哈罗，我的名字是 Michael Johnson，我是blog世界的新手。我觉得你的blog真是太棒了！我的网站是在＊︿＆︿＄％，而且拥有关于＊＆︿＊％︿＆＄％最完整信息﹀令人做恶的是，张贴的链接会将大量间谍程序下载到系统中
3.挟持目前设定 RSS Feed 客户端，将客户端的设定改为指向另一个恶意的网页内容。
·8月：间谍程序步步进逼线上游戏：亚洲最受欢迎的线上游戏「Legend of Mir 传奇」与「Lineage天堂」被间谍软件看上。
·7月：下载影音文件，多10个广告软件：除了工具列等免费下载软件，间谍软件也开始利用免费下载电影作为媒介，并且透过热门的 P2P 网络来散播。
·10月：新障眼法，不重视网页美观：空白、测试或禁止存取等大量留白页面成为间谍软件利用的障眼法
·10月：法院判定间谍软件非法侵入私有财产：美国芝加哥联邦法院2005年10月判定间谍软件对家用计算机造成的干扰可构成非法侵入私有财产。
·11月：儿童上网监控程序引起争议：生产该监控程序的英国软件公司控告反间谍软件厂商把它视为间谍软件。

<年度超级玩家>:网络游戏病毒

得奖理由：<木马与间谍软件，使得一场游戏变为一场梦>

2005年8 月份，针对“Legend of Mir 传奇”与“Lineage天堂”这两种网络游戏而来的攻击数量十分惊人，这两者都是极受欢迎的MMORPG大型-网络角色扮演游戏。网络游戏账户遭受攻击的情况几乎和银行账户一样频繁。电玩游戏已进化为高度电影化的互动体验。就像它的棋盘游戏前身“Dungeons and Dragons”一样，这类游戏也都有像狂热分子与玩家社群之类的拥护者，他们会四处炫耀每一件新游戏对象、盔甲的每一片组件、甚至是仅存的最后一滴灵丹妙药。因此，MMORPG 虚拟世界中的对象价值已经延伸到真实世界，稀有的宝剑盔甲组合可卖到数百美元，而不只是虚拟货币而已。

趋势科技资深安全专家齐军表示，“Legend of Mir传奇”的玩家绝大多数都来自中国大陆，许多“Lineage天堂”的爱好者多位于台湾地区，在美国也有不少的玩家。这两种游戏的开发人员都位于韩国，而且在北美地区都有业务伙伴。为了让这些网络游戏中的虚拟武器与人物能力有所提升，黑市中一直都有这方面的需求，因此造就了另一个产业。事实上，为了达到这些目的，许多人都愿意付出任何代价。

趋势科技2005年10月侦测到两个与游戏有关的病毒，分别是攻击Sony Playstation Portable (PSP)的木马TROJ_PSPBRICK.A与攻击任天堂的木马病毒 DS TROJ_DSBRICK.A与TROJ_DSBRICK.B。起初 PSP 只能执行 Sony 认可的游戏，但破解程序能让使用者执行他们自己的游戏。事实上，在较旧版本 (像是 1.50) 的 PSP 中曾被发现允许执行自订程序代码的安全漏洞，但 Sony 已经在较新的版本中修正了这个问题。第一个以 Sony Playstation Portable为攻击对象的特洛伊木马程序TROJ_PSPBRICK.A就是伪装成可将其它游戏移植到此平台的某种工具。而事实上，它会删除系统文件，导致机器无法开机。此时... 你的“玩伴”.... 就成了一堆废铁。

与游戏有关的安全事件：

·5月-病毒LEGMIR专偷线上游戏密码

·5月- Legend of Mir传奇线上游戏出现钓鱼网站

·6月-微软MSN韩国网站被植入病毒，试图窃取用户登陆Lineage天堂网络游戏时的密码。

·6月-SYMBOS_CABIR 手机病毒隐藏在<打蚊子>盗版游戏中

·9月-“SYMBOS_DOOMED手机病毒伪装在<毁灭战士> Doom II破解版

·10月-出现两个木马分别攻击 Sony Playstation Portable (PSP)与任天堂

<最佳团体奖>:复合式病毒

得奖理由：<双头蛇，够毒竦>

2005年第一季有两次病毒爆发事件，属于“复合毒”型态，包含“蠕虫与蠕虫”与“蠕虫与木马”（如：WORM_BAGLE.BE）的一毒双煞结合体。第一季在亚洲与美国引发病毒爆发疫情的TROJ_BAGLE.BE木马会自数个网站下载 WORM_BAGLE.B蠕虫，而WORM_BAGLE.B蠕虫则会透过 eMail附件夹带木马TROJ_BAGLE.BE，两者的共生关系，使得病毒的攻击力道更加强劲。

趋势科技资深安全专家齐军表示：“一旦 Bot 傀儡虫利用复合毒的攻击方式潜入网络，相对于安全警戒线就得拉高，因为这些利用漏洞计算机进行网络滋生的蠕虫，也会随意开启连接埠让黑客得以远程访问，并为所欲为地执行恶意程序进而对所属网络造成难以弥补的安全危机。它们可以瞬间滋生难以数计的变种，并窃取机密资料、终止安全程序、发动阻断攻击等等。”

第三季出现的 WORM_BAGLE.DA 则有更进一步的发展，它使用两个特洛伊木马程序组件。WORM_BAGLE.DA 会寄发大量邮件散播 TROJ_BAGLE.DA。顺着这个思考逻辑，这个特洛伊木马程序组件应该会下载蠕虫的复本，但是它并没有这样做，而是下载另一个特洛伊木马程序 TROJ_DLOADER.ACT。最后再由这个特洛伊木马程序来下载蠕虫。从此之后，MYTOB 变种也依样画葫芦采用复合式循环攻击的策略：蠕虫WORM_MYTOB.KM 搭配木马 TROJ_DROPPER.LV 进行攻击。

其它复合式攻击事件：

·手机病毒：如前述<手机病毒与计算机病毒行为越来越雷同> SYMBOS_SKULLS.N会安装其它 3 个手机病毒：SYMBOS_SKULLS.I, SYMBOS_CABIR.A, 和SYMBOS_BOOTTON.A。

·IM病毒：透过MSN散播的IM 蠕虫 WORM_KELVIR.B 和 WORM_BROPIA.F 各夹带一个 bot worm傀儡虫影响系统，并以已知漏洞持续蔓延。

<最佳创意奖>:声音键盘侧录法

得奖理由：<先声夺人>

你走进办公室，坐下来，然后打开计算机，当然你必须输入登入信息才能开始操作。但是，请等一下！当你输入信息时，确定没有人在偷看吗？因此你会看看四周是否无人。然后你就开始输入登入信息... 嗯... 密码.... *********

难道“偷窥”才是取得别人密码的唯一方式吗？当然不是。还有许多方式，其中一种就是加州大学研究人员所发表的报告中所讨论到的。根据这些研究人员的说法，只需要在某人打字时加以记录，就能取得输入的资料。这种方式的概念是，按下不同按键时似乎会产生不同的声音，而这些声音能转换为一串字母或文字。——这样就能取得资料了.. 这就是利用音频进行键盘侧录。

其它”黑”人听闻神偷事件：

11月：利用复制粘贴功能偷机密-偷取账号密码不一定要网络钓鱼( Phishing)的假页面或是网域嫁接(Pharming)利用木马程序的偷天换日，现在连「复制」、「粘贴」这两个简单的动作，都有可能导致私密资料的外流。每一种便利的功能背后都可能隐藏着许多风险。Microsoft Internet Explorer 5 (及更新的版本) 浏览器推出之后不断进行功能改进以支持更多的功能，让使用者能更便利地使用指令码处理功能。其中包括从剪贴簿中截取URL 或纯文字格式内容的功能。

执行这些功能的 JS 函式分别是clipboardData.getData(’URL’)与clipboardData.getData(’Text’)。虽然这项功能是由 Microsoft 为了方便编辑而开发的，然而它也可能遭到恶意网站利用，从你的系统中窃取机密资料。位于加拿大的Friendly Canadian Search Engine 公布了针对网站如何撷取粘贴簿中的资料制作了示范文件，只要做简单的CTRL+C 动作，你就可以惊讶地发现你刚刚复制的资料居然出现在其它网站，包含你刚刚用复制贴入的网络银行密码、身份证、信用卡资料。一个小小的建议.，当你在网络上浏览时，请手动输入密码与使用者账户信息，避免用剪贴的方式。虽然这样作会多花你几秒钟，但是却能让你更安全。

<最佳表情符号奖>: IM 病毒

得奖理由：<即时Click，即时中毒，即时目瞪口呆>

2001年首个 IM 病毒WORM_MENGER.A 浮出台面后，并没有立即取代邮件病毒的锋芒，直到今年第一季WORM_BROPIA.F、 WORM_FATSO.A、WORM_KELVIR.B 等3个 MSN 病毒在2月及3月相继引爆后，IM 病毒已成为新的安全威胁焦点。

4年来只有一个IM 蠕虫的危害程度到达发动病毒警戒的标准，若就第一季度激活病毒爆发的次数来看，IM 蠕虫可说是第一季度以聊天软件为媒介，而引发高度关注的”话题”病毒。第一季的6个病毒警报中，有3个是经由 IM 衍生，并有两个IM 蠕虫中有bot傀儡虫寄生其中，以潜入受害系统。

趋势科技李晶表示：防毒软件可以删除恶性程序，却无法做到控制人们的线上行为。去年许多造成疫情的 email 病毒，靠着吸引人的信件标题，就让粗心人们亲手 click 激活病毒程序，而达到危害系统的目的。比 eMail更亲密、更互动的聊天软件，不但缩短了人们之间的距离，也大幅缩短了病毒攻占系统的时间。IM 蠕虫充分利用了人们好奇心、友谊或信赖感，仅凭网址链接和吸引人的文件名，就能使平常朗朗上口的防毒常识，比如「不开启不明文件」、「不点选网址链接」..等等，全都在相谈甚欢时，得了暂时性失忆症。

IM 蠕虫相继涌出，极有可能是恶性程序原始码被公开导致，根据趋势科技网络安全研究中心协理Joe Hartmann指出 “这些在地下组织散播的原始码外露将会导致更多的病毒危害 IM 用户，甚至不排除发展出高风险的变种。

另外，通过MSN散播的IM 蠕虫 WORM_KELVIR.B 和 WORM_BROPIA.F 各夹带一个 bot worm傀儡虫影响系统，并以已知漏洞持续蔓延

IM 病毒创新攻击事件：

·3月- WEB Came 当起狗仔偷拍！！
3月上旬出现的病毒WORM_RBOT.ASH ，一旦它在受害计算机中植入后门程序，就会截取网络摄影机影像，回传给黑客。这种监控行为的潜在危险，包括小偷因此知道家中菲佣何时外出买菜，可以闯空门；狗仔队可把话题人物的睡姿公布网络等等。趋势科技表示，「这种利用病毒偷窥隐私的行径，都是在背景执行，一般使用者很难察觉。再加上网络摄影机型号的不同，当病毒激活摄影功能时，不见得会出现音效或灯号，更何况有些病毒，还会刻意关闭声卡，以免窗口设定的音效让其形迹败露。令人忧心的是，现在新款的笔记型计算机，内建的WebCam 可随时激活，病毒可能在你一开机时，就"随侍在侧"了。」

·7月-有人需要 iTunes 吗？
请留意过多联想所产生的诱惑。这个程序与Apple Computer, Inc.毫无关联，而且也不是媒体播放程序。WORM_OPANKI.Y 和其它 OPANKI 变种一样都是透过实时传讯程序来散播。这个变种的散播媒介是 AOL Instant Messenger (AIM)，它会传送信息表示「this picture never gets old.」(这张图片永远不会过时。) 而信息中的 URL 会下载ITUNES.EXE。WORM_OPANKI.Y 执行之后会下载数个广告程序到受感染的系统中。令人纳闷的是它的攻击模式在逻辑上并未有任何突破。它先挑起人们好奇心去看一张「永远不会过时的图片」，然后当使用者按下信息时则会下载一个名为 ITUNES.EXE 的文件。难道这张图片就是媒体播放程序吗？尽管如此，警觉性不高的 IM联系人加上 IPod 的高人气就足以构成一个具有新闻价值的社交工程圈。

驱动之家编者按：其实这些病毒也不是无缘无故自己跑到你的计算机或手机里，不管是间谍软件还是木马程序，垃圾邮件与共享软件依旧是最大的祸源。尽管大部分人都讨厌垃圾邮件，但往往又禁不起耸动标题的诱惑，一步步掉入诈骗网站的陷阱或安装恶意程序。所以建议用户们最好不要理会垃圾邮件，并且在输入账号、密码等重要数据前一定要三思。只要克制按下鼠标的冲动，这样病毒就没有表现舞台了！