新聞中心

Share |
Malware and antivirus software

全球威脅趨勢 2009年4月

Created: 2009-05-11 11:19:42

全球威脅趨勢 2009年4
圖一: 2009年4月的十大病毒排行榜

根據ESET ThreatSense.Net的分析 ,本月最多的是 Win32/Conficker的威脅,幾乎佔8.70 %.
其他最普遍的威脅會在下文詳細地說明,包括它們之前在十大所佔的位置,和他們與其他病毒比較的相對百分比 。

  1. Win32/Conficker

    上月排名:1
    佔病毒偵測總數:8.70%

    Win32/Conficker會通過微軟Windows操作系統未修補的漏洞來繁殖網絡蠕蟲。該蠕蟲利用Windows的RPC子系統漏洞傳播,攻擊者可遠程控制及攻擊受感染的電腦。
    Win32/Conficker會通過Svchost進程加載DLL。這威脅會連接網絡預先設定的伺服器或下載其他惡意程式組件。

    對使用者來說,這代表什麼意思?
    雖然ESET對於Conficker有 好的偵測能力,但為了避免其他威脅利用這個系統漏洞,請確保你系統已安裝了10月底由微軟發佈的相關系統更新檔。關於該漏洞的詳細資料,請參考https://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx
    有關的分析資料可參考:http://mtc.sri.com/conficker

  2. INF/Autorun

    上月排名:3
    佔病毒偵測總數:8.55%
    這類型的威脅是指使用批次檔Autorun.inf來感染檔案的惡意程式。這個批次檔
    包含了外置儲存裝置(例如USB手指和外置硬碟)的自動執行資訊。惡意程式會經由外置儲存裝置在電腦上自動執行並不斷地傳播到其他電腦或置裝置上。ESET 防護軟件會使用啟發式掃描偵測出這些曾被更改的autorun.inf檔案替用家防護入侵。

    對使用者來說,這代表什麼意思?
    外置儲存裝置的使用非常普及,惡意程式製造者意識到這一點,並加以利用,所以這一類的威脅常高據頭兩位位置。
    Windows預設了自動執行在外置儲存裝置的Autorun.inf檔案。有許多類型的惡意程式會把自己複製到外置儲存裝置,雖然這可能不是惡意程式的首要傳播方法,但惡意程式編程者亦會加入這個後備方法。
    Randy Abrams寫過有關這問題的網誌(https://www.eset.com/threat-center/blog/?p=94)去教導使用者關閉這個預設功能會遠勝於單單倚靠防毒軟件偵測它出來。你亦可以參考他提供的其他建議https://www.eset.com/threat-center/blog/?p=548

  3. Win32/Psw.OnLineGames

    上月排名:2
    佔病毒偵測總數:7.01%
    這是一種具Rootkit功能並可以記下鍵盤輸入紀錄的木馬程式,它會收集網上遊戲者的登入身份和資料,發送到入侵者的電腦。

    對使用者來說,這代表什麼意思?
    多月來,這個威脅和INF/Autorun在首兩位不停交替著。
    MMORPG(大型線上角色扮演遊戲,像天堂、魔獸世界和Second Life)應該留意該惡意程式的威脅範圍,這對玩家來說是非常重要的。因為當中牽涉的,不只是單單的滋擾、惡作劇或一些毫無意義的假病毒攻擊,更有一些網絡釣魚或欺詐都會導致玩家在現實世界的經濟損失。

    關於這威脅,ESET的惡意程式研究小組在上年底的全球威脅報告中,有更詳盡的闡述,請參考https://www.eset.com/threatcenter/threat_trends/EsetGlobalThreatReport

  4. Win32/Agent

    上月排名:4
    佔病毒偵測總數:3.22%
    ESET NOD32以Win32/Agent來識別這個惡意代碼偵測。它會竊取受感染電腦中的使用者的個人資料。
    為達此目的,惡意程式會把自己複製到電腦的暫存檔案位置,並根據本身檔案或過去曾經在其他系統隨機建立的相似檔案,新增機碼到登錄檔,使惡意程式每次在電腦啟動時自動執行。

    對使用者來說,這代表什麼意思?
    建立隨機檔名是惡意程式隱藏自己的其中一種方法,並已沿用許多年。雖然檔名
    是可以幫助偵測惡意程式,但我們絕不應依賴此作為辨別威脅的首要識別機制,尤其是當一些防護程式的廣告標榜「我們是唯一可以偵測nastytrojan.dll檔名威脅的防毒產品。」時,使用者應特別留意。

  5. Win32/TrojanDownloader

    上月排名:6
    佔病毒偵測總數:1.03%
    惡意程式Win32/TrojanDownloader常被發現於受感染的電腦上,用以下載和安裝其它惡意程式組件。
    對使用者來說,這代表什麼意思?
    正如我們先前多次討論,我們很難有一條清晰的界線去劃分惡意程式和其他有害的程式,如廣告程式和惡意程式都經常使用作廣告用途。無論病毒製作者的目的是商業利益、意識形態、惡作劇或惡意攻擊,他們大多以金錢為首要出發點。
    有些病毒會避免感染某些國家的電腦,Pierre-Marc Bureau解釋:它們希望藉此逃過這些國家邊境內的法律懲罰。就像最早版本的Conficker便使用不同的技術,以避免感染烏克蘭的電腦。這些蛛絲馬跡有可能提示我們攻擊者的國籍。

  6. INF/Conficker

    7. 上月排名:6
    佔病毒偵測總數:1.52%
    INF/Conficker與INF/Autorun具有密切的關係:它是一種傳播Conficker蠕蟲最新變種的autorun.inf檔案。這再一次帶出停用Autorun功能的必要:詳情請參閱上文的INF/Autorun部份。

  7. WMA/TrojanDownloader.GetCodec

    8. 上月排名:5
    佔病毒偵測總數:1.38%
    Win32/GetCodec.A是一種會修改媒體檔案的惡意程式。這種惡意程式會轉換電腦中的所有音效檔案成WMA格式,並在檔案中新增一個標頭 (header),要求使用者到指定網址下載一個新的解碼器去讀取該媒體檔案。WMA/TrojanDownloader.GetCodec.Gen會下載相關病毒Wimad.N感染GetCodec變種、如Win32/GetCodec.A。

    對使用者來說,這代表什麼意思?
    惡意程式假冒成一種新的視頻編解碼器,是許多惡意程式製作者和發佈者所喜歡使用的技倆。正如Wimad,受害者因為相信那是一些有用或有趣的程式,而被騙執行惡意代碼。雖然沒有簡單或者統一的測試去證實是否真的有一個新的編解碼器或者只是某種木馬程式,但我們仍鼓勵你儘量小心,並對任何不請自來的工具下載邀請,持有懷疑態度。即使該工具來自一個可信任的網站,亦需儘可能了解和驗證它的真偽。(可參考:https://www.eset.com /threatcenter/blog/?p=170)

  8. Win32/Qhost

    9. 上月排名:8
    佔病毒偵測總數:1.23%
    這種威脅會將自己複製到Windows的%system32%資料夾裏,然後利用其指令及控制伺服器與DNS溝通。Win32/Qhost可透過電郵傳播,並將受感染電腦的控制權交給攻擊者。這木馬群組透過更改受害電腦裏的檔案以更改其與特殊domains之間的通訊。
    對使用者來說,這代表什麼意思?
    這是一個透過更改受攻擊電腦的DNS設定以改變domain名稱與IP地址之間配對的例子。使該電腦不能連接到安全的網頁進行更新,甚或是連接時不動聲色地移花接木到惡意的網站。Qhost通常會使用這手法以執行”中間人”(man-in-the-middle)的銀行攻擊。

  9. Win32/Toolbar.MywebSearch

    上月排名:7
    佔病毒偵測總數:1.14%
    這是一個可能具有潛在風險並不受用家歡迎的應用程式(Potentially Unwanted Application)。在這種情況下,它是一個包括搜索功能的工具列,它會引導使用者通過MyWebSearch.com 搜尋資料。

    對使用者來說,這代表什麼意思?
    這種特殊的滋擾已名列十大名單多個月了。
    惡意程式防護公司都不願意把PUA(Potentially Unwanted Application)正式列為惡意程式,PUA(Potentially Unwanted Application)通常不在掃描器的預設掃描設定中,因為有些廣告軟件和間諜程式可被視為合法的,尤其是如果它在終端用戶許可協議中提到(就算只是很小的字)自己的程式行為。

  10. Win32/Autorun

    上月排名:9
    佔病毒偵測總數:0.79%
    凡利用Autorun.inf檔案傳播的威脅皆會被標籤著”Autorun”的字眼。當插入外置儲存裝置的時候,Autorun.inf便會自動執行該裝置上的程式。ESET網站將會在短期內發佈有關的介紹。它對使用者帶來的意思與INF/Autorun大致相同。

最新情報
Conficker衝突
在3月底和4月初最引人注目的防毒新聞都是圍繞著Conficker殭屍。
在3月結束的數週之前,有推測認為,互聯網會在Conficker 4月1日更新時崩潰。
防毒產業,包括我們的長駐博客,試圖把事件平息下來,並說,最可能發生的將是Conficker將會啟動起來,開始表現得更像一個殭屍網絡,這亦是事實的發展。
幾天後,一個新聞網站在俄羅斯受到沉重DDoS (分佈式拒絕服務)攻擊。他們把事件歸咎於Conficker :但是,我們能夠確定,該事件是由另一個殭屍程式引起。
然而,另一個版本的Conficker突然出現-我們曾經提過: https://www.eset.com/threat-center/blog/?p=961
有趣的是,我們一直被指責過分引起恐慌。哈,討好所有人真的很難。
- Conficker是一個真正的危險,但還有許多威脅可以引起相同的災難的
- Conficker的作者們應該不會用它來破壞整個網絡,因為根本無利可圖

超級殭屍網絡(Superbotnet)的回歸
與此同時, Finjan公司在RSA宣布,它們發現新的大型殭屍網絡,由一百九十萬部殭屍電腦組成。他們誤以為主因是 另一個版本的 Win32/Hexzone (https://www.eset.com/threatcenter/blog/?p=995),並混淆了很多人(http://www.theregister.co.uk/2009/04/22/superbotnet_server/)。
但我們已經發現,並沒有看到過這隻病毒有這樣數量的爆發。事實上,它似乎是在尋找一些正在下載
其他惡意軟件的大型殭屍網絡,包括Hexzone 。不幸的是,要求收集進一步信息的計劃還沒有引起太大的反應,
顯然是由於執法機構所施加的壓力。
https://www.eset.com/threat-center/blog/?p=1011
https://www.eset.com/threat-center/blog/?p=1006
https://www.eset.com/threat-center/blog/?p=1001
https://www.eset.com/threat-center/blog/?p=995

蘋果電腦也中毒
4月份也出了一種新穎的項目。
Virus Bulletin的Mario Ballano Barcena 和 Alfredo Pesoli 發表了一篇文章,題為"The New iBotnet" (https://www.eset.com/threat-center/blog/?p=922) 。
它描述兩個關於木馬OSX.Iservice的變種,它們是翻版的 iWork '09 和 Photoshop CS4,在BT網絡上散播。

它們有一些有趣的技術功能,如使用授權服務API去誘騙受害人授權安裝。
但是,大多數人的關注點是這是第一個出現在Mac網絡的DDoS殭屍網絡。
從Mac社區來的回應比平常為少,但仍然有類似'我不聽!我不聽!'的內容.
Randy Abrams 和 David Harley 也在 https://www.eset.com/threat-center/blog/?p=988
https://www.eset.com/threat-center/blog/?p=991作出了評論。
David Harley說,這可能不是太大的殭屍網絡,但它是一個潛在的大危機。

其實有許多事情, Mac用戶需要了解:
- 木馬在現今世界中其實有如病毒般危險:惡意軟件也是危險之一,因為它不複製。
-這是一個謬論: 所有的Windows都是因為零日攻擊而淪陷。
-我們沒有證據表明Mac用戶比Windows用戶更容易抵抗惡意攻擊。
-在當今金錢為首的世界,針對Mac用戶群的惡意軟件正變得更有吸引力。

indows用戶更容易抵抗惡意攻擊。
-在當今金錢為首的世界,針對Mac用戶群的惡意軟件正變得更有吸引力。

 

back