日前,Fortinet(飞塔)公司研究小组找到了新的威胁并剖析了电脑诈骗者的意图,发表了对各处最新诈骗伎俩的见解。 Fortinet公司的FortiGate安全工具在2006年9月截获的前十位病毒威胁排名依序为Adware/BetterInternet (4.61%), W32/Netsky.P@mm (4.53%), HTML/Iframe_CID!exploit (3.82%), W32/Bagle.DY@mm(2.97%), W32/Grew.A!worm (2.64%), W32/WMF!exploit (2.58%), W32/BagleZip.GL@mm (2.40%), W32/Istbar.PK!tr.dldr(1.83%), W32/BagleZip.GM@mm (1.50%), W32/Bagz.E@mm (1.24%);其中Adware/BetterInternet又回到的第一名位置,网络使用者必须再度提高警觉。
此外,本月,普通数字背后揭示了一个奇怪现象。当微软浏览器的新安全漏洞(0-day Exploit)、W32/MS06. XMLNS(阿卡MS06-055 或者仅 VML 漏洞,因为漏洞在于微软处理矢量可标记语言的过程)整个月来都在制造新闻的时候,旧的W32/WMF!漏洞(阿卡MS05-053)却一举冲进前十名。通过观察 W32/WMF! 漏洞活动性的演变,可以看出分布不规则却非常尖锐的峰,这表明可能存在手动触发的可能。
Stration(死神变种病毒):带策略的蠕虫
近几个月,各种夸大其词的报道经常见诸报端,例如“世界范围内的爆发和邮件群发大泛滥的时间已经长时间持续不断”。事实上,直到九月份,由于Stration的制造者将各种变种在网上散布才造成真正的泛滥。据Fortinet EMEA威胁研究小组领导者Guillaume Lovet的准确说法,Stration属于一种邮件大量发送病毒。在8月底,Fortinet威胁研究小组确认了不少于58个Stration变种:平均每天竟有两个变种产生!
仅九月份,Fortinet就发现35个变种。它们中的大部分流行并不广泛,而且大部分的活动性来自三个特殊的变种:W32/Stration.T@mm (占本月变种活动性的19% )、W32/Stration.AC@mm (占23%) 和 W32/Stration.AT@mm (占27%)。事实上,大多数变种爆发都出现这种情况,它们都以一种游击战的方式进行传播:制造者将源代码稍微修改一下,然后进行编译,再把二进制文件提交到在线的(或自带的)交叉扫描程序进行扫描,并不断改进二进制文件直到所有的防病毒厂商都无法发现,最后将这种变种病毒散播出去。当发布了具有相应检测模式的防毒软件更新并被普通用户所使用时,病毒爆发就会自发停息,这时就会出现另一种变种。
过去,MyTob和其他加载蝇蛆的邮件大量发送病毒就经常使用这种常见的方法:允许蝇蛆制造者对它们的波特网病毒的大小进行微调(不能太小同样也不能太大,以免太容易引起杀毒软件公司的注意)。但是,Stration制造者的策略是不相同的。每个变种都能完成典型的邮件大量发送病毒所能做的事(也就是,获取受感染邮箱的地址,并将自己发送到这些邮箱),并从网上下载附加的编码。在大部分情况下,这些“附加编码”就表现为另一个变种。据研究小组Lovet指出,在每个变种传播的过程当中,Stration制造者都会利用之前受感染的计算机来传播下一个变种,由此而制造累积效应。
最后,值得一提的是:通过使用一种类似我们称为“使用者意识反常活动”的社会工程策略,Stration 传播出去大量的电子邮件。具体作法简述如下:
—— 来自邮件服务器的报告:
我们的防火墙侦测到带有蠕虫病毒的电子邮件正向您的电脑发送。
目前,很多电脑都被这一种新型的病毒类型(网络蠕虫)攻击。
利用微软系统里的新漏洞,这些病毒在不知不觉中就能感染电脑。成功侵入电脑以后,病毒获取所有的电子邮件地址,并复制自己发送给这些电子邮件地址。
请安装用于清除蠕虫的更新软件并恢复您的电脑。
顺祝好!客户支持服务部 ——
人们可能对以上粗糙的英语置之一笑,不过考虑到“钓鱼者”(phishers)和病毒制造者(vxers)怎样利用用户的认识活动来操控潜在的受害者就令人担忧了。 (责任编辑:韩建光) |