Created: 2008-08-15 15:51:57
圖1 :2008年7月的前十大威脅
.jpg)
根據ESET的ThreatSense.Net®的惡意程式報告和追蹤系統分析顯示,這一個月被偵測最多出來的,仍是Win32/PSW.OnLineGames,它佔了威脅偵測總數的
12.72%。
在以下的報告中,我們會更詳細地分析和說明ThreatSense.Net®所偵測出來的十大威脅:
#如果想了解多些ThreatSense.Net®報告的運作和資訊,可參考本報告最後一節的「Worldwide Coverage with ESET’s ThreatSense.Net®」。
1. Win32/Psw.OnLineGames
上次排名: 1
佔病毒偵測總數: 12.72 %
在2008 年7月,有接近偵測總數12.72%的Win32/Psw.OnLineGames
類型威脅被偵測出來。這是一種具Rootkit 功能並可以記下鍵盤輸入紀錄的木
馬程式,它通常以偷取網上遊戲者的登入身份和資料為目的並可以發送這些
資料到其他電腦。
對使用者來說,這代表什麼意思?
這對MMORPG(大型多玩家線上角色扮演遊戲)的玩家來說是非常重要的,像天堂、魔獸世界和Second Life,他們應該留意該惡意程式的威脅範圍,不只是單單的滋擾、惡作劇或一些毫無意義的假病毒攻擊,因為當中牽涉的一些網絡釣魚或欺詐是會導致玩定在現實世界中的經濟損失。在這種情況下,玩家的帳戶資料或遊戲物品大多會被竊取,然後在黑市上轉售(或eBay等)。ESET的惡意程式情報小組已審議了這個潛在問題,並在ESET全球威脅年中報告提出來,該報告將會與本報告同一時間發表。
2. INF/Autorun
上次排名: 3
百分比偵測: 4 .68 %
這類型的威脅是指使用批次檔Autorun.inf來感染檔案的惡意程式。這個批次檔
包含了可移除儲存裝置(例如USB 手指和外置硬碟)的自動執行資訊。惡意程式會經由可移除儲存裝置在電腦上自動執行並不斷地傳播到其他電腦或置裝置上。 ESET NOD32 會使用啟發式掃描偵測出這些曾被更改的autorun.inf檔案替用家防護入侵。
對使用者來說,這代表什麼意思?
可移除儲存裝置的使用非常普及:惡意軟件編程者意識到這一點,故加以利用來。Windows預設了自動執行在可移除儲存裝置的Autorun.inf檔案當。有許多類型的惡意程式會把自己複製到可移除儲存裝置:雖然這可能不是惡意程式的首要傳播方法,但惡意軟件編程者亦會加入這個後備方法。Randy Abrams寫過有關這問題的網誌(https://www.eset.com/threat-center/blog/?p=94)關於這個問題,更改系統設計的機制會遠勝於單單倚靠防毒軟件偵測它出來。這威脅也會在年中報告中討論到。
3. Win32/Adware.Virtumonde
上次排名: 2
佔病毒偵測總數: 4.41 %
這威脅偵測代表一種不被用家接納的不需要「應用程式」。它會不停發送令人覺得滋擾的廣告到使用者的電腦。在執行時,它會在未經使用者同意下,同時打開多個彈出視窗顯示廣告。通常這種廣告程式都很難去完全移除。這類廣告是惡意程式製造者的一大收入來源,所以你不難在十大威脅中發現它們的踪
影:如Virtumonde和Toolbar.MyWebSearch。
對使用者來說,這代表什麼意思?
Virtumonde對廠商和客戶來說,已經成為一個很難解決的問題,遠遠超過「廣告」或「可能有害」的地步,更多的討論和資料會在本報名後面提到(Virtumonde: 纏繞不散的不速之容)
4. Win32/Pacex.Gen
上次排名: 4
百分比偵測: 2 .88 %
Pacex.gen 使用容易使人混淆的外殼包裝數量種多的惡意程式檔案。Win32/Pacex.
Gen 中字尾的Gen 代表很多已知的變種的意思,憑標籤相似的病毒特徵偵測出未知的變種。
對使用者來說,這代表什麼意思?
這種使用外殼包裝的惡意程式主要在偷取密碼的木馬程式中發現。有些針對線上遊戲玩定的,會偵測為Pacex,而不是PSW.OnLineGames,因為這兩者之間有一些重疊。這表明,大多的偵測會歸為 PSW.OnLineGames。但愈來愈多的啟發式偵測防護會幫助區分它們和顯示出一個更明顯的趨勢。
5. Win32/Toolbar.MywebSearch
上次排名: 6
佔病毒偵測總數: 2.31 %
這是一個可能具有潛在風險並不受用家歡迎的應用程式。在這種情況下,它
是一個包括搜索功能的工具列,它會引導使用者通過MyWebSearch.com 搜
尋資料。
對使用者來說,這代表什麼意思?
這種特殊的滋擾已名列十大名單多個月了。防惡意程式的公司都不願意把PUAs正式列為惡意程式,PUAs通常不是掃描器的預設定,因為有些廣告軟件和間諜程式可被視為合法,尤其是如果它在最終用戶許可協議中提到(就算只是很小的字)自己的程式行為。
6. WMA/TrojanDownloader.Wimad.N
上次排名: 5
佔病毒偵測總數: 1.90 %
這種威脅是因為一個Windows Media檔案導向多媒體瀏覽器到一些含有惡意程式的網址去下載一些有問題的附加元件,當中包括廣告程式。這個威脅的傳
播就好比使用點對點程式網絡下載流行的MP3一樣。
對使用者來說,這代表什麼意思?
惡意程式假冒成MP3歌曲、Flash影片或視頻編解碼器等非常普遍,這方法經常被惡意程式製作者使用:看似正常的檔案可以自己執行或引入問題代碼讓壞人進入電腦。所以請記住,不一定是一個執行檔才可以用來引入惡意代碼,並小心一些「必要」程式其實是一些惡意程式假扮。
7. JS/Exploit.RealPlay.LF
上次排名:沒有
佔病毒偵測總數: 1 。 56 %
這威脅會嘗試利用存在在RealPlayer的安全漏洞執行Windows系統中的任意代碼。這攻擊使用JavaScript由惡意網站發出。該漏洞會觸發緩衝區溢出,從而允許攻擊者在受害人電腦執行代碼。它主要是用來作第一攻擊去安裝其它惡意程式到受害人的電腦。
對使用者來說,這代表什麼意思?
這個RealPlayer漏洞已被用作病毒感染的大規模攻擊,攻擊者會經由合法網站使用SQL注入惡意代碼。該惡意代碼會將到訪者重新導向到一個伺服器下載惡意程式到未受保護的電腦。
該漏洞威脅中在National Vulnerability Database中有詳細說明: http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5601。如果潛在的受害者被說服檢視特製的HTML(如網頁或電子郵件),有可能執行攻擊代碼,即使當時RealPlayer是沒有運行。如想減少風險,請安裝RealPlayer修正檔,並停用ActiveX或IERPCtl ActiveX控制項。
8. Win32/TrojanDownloader.Murlo.NN
上次排名: 8
佔病毒偵測總數: 1.55 %
這是一個標籤去識別其中一類型的木馬程式,使用者一旦安裝了這種木馬程
式到電腦上,攻擊者即會要求受感染電腦下載一些惡意的附加元件。這威脅會在Windows 目錄建立一個名為IEXPLORE.exe 的檔案,並灌入有害代碼到網絡瀏覽器處理程序(如Firefox,Opera 和Internet Explorer)。 灌入的有害代碼會從互聯網下載更多問題檔案到電腦上。
對使用者來說,這代表什麼意思?
許多被偵測的威脅僅僅是感染過程中的第一階段。這些程式本身往往不會做任何傷害電腦的動作,但它會下載其他檔案、元件和更新等。然而,類似的方法,通常亦是用來安裝合法程式的,所以防惡意程式的軟件必須具有啟發式的偵測方法去確定程式惡意意圖的可能性。顯然,惡意程式可以透過更改小小的下載程式,使系統安全軟件無法識別它作為一個已知的威脅。
9. Win32/Qhost
上次排名: 10
佔病毒偵測總數: 1.31 %
這一類型的木馬程式會在DNS 指令執行和控制伺服器通訊時,複製自己到Windows系統的System32 資料夾中。Win32/Qhost 會通過電子郵件傳播,並給予攻擊者受感染電腦的控制權。
對使用者來說,這代表什麼意思?
這是一個木馬修改DNS設定的例子,受感染電腦的DNS 設定會被木馬程式所修改,使用者電腦的域名位置會被導向到其他IP 地址。它不會理會你正在瀏覽什麼的網頁,會直接使受感染的電腦無法連到防毒軟件網頁下載和更新或使瀏覽器不停重複導向使用者到同一個網頁下載惡意程式。
10. Win32/AutoRun.KS
上次排名: 19
佔病毒偵測總數: 1.19 %
這威脅的標籤「AutoRun」說明了它利用了Autorun.inf檔案。當愛感染的可移除儲存裝置被插入時,檔案會自動打開電腦系統上的程式
對使用者來說,這代表什麼意思?
這是一個具體使用Autorun作惡意程式的例子。停用此功能可把這問題的風險減到最低。
愈趨複雜的網站
雖然這個問題並不是名列在的前十大威脅,但重點是,我們看到基於網頁威脅的偵測相繼增加。當中是有不同原因的,首先,電腦的網頁瀏覽器的應用不斷增加。現在我們大都使用瀏覽器來檢查電子郵件,閱讀新聞,甚至撰寫文件。因此,瀏覽器成為了惡意軟件編程者的首選攻擊工具。加上瀏覽器的結構愈來愈複雜,它內裡的資料可以帶來龐大的利潤(合法和非法)。另外一個我們看到了網頁威脅增加了的原因,就是網絡閘道成為一個很好的地方來偵測有問題的惡意內容,儘管我們仍然面對大量的網絡掃描技術挑戰。在今天,網站內容是主要的訊息來源
,但在收取資料時,其中亦包括了高比例的惡意內容。所以,ESET安全產品設計時,亦考慮到這問題,會在威脅發生在用家的桌面之前,監測到訪的網頁和攻擊。
Virtumonde: 纏繞不散的不速之容
這已不是我們第一次討論Virtumonde或Vundo)了,而相信這報告亦不會是最後一次。我們的常規偵測捕捉到許多新舊的威脅變種,但如果Virtumonde設法自行安裝,我們是很難完全自動清除,往往需要人手幫助。
這威脅始終排在我們的十大,發佈者不斷改變它的特點和傳播機制,但這亦同時間表明,我們能夠成功地偵測它出來。但是,所有主要的防惡意程式掃描器都難以偵測和/或刪除其中一些Virtumonde,除非他們設定非常高的安全性。在某程度上來說,如果產品可以成功偵測Virtumonde和其他有害軟件,它就有更多的掃描設定選項,就越容易找到辦法調整掃描器對付惡意程式。不足為奇的是,駭客會花更多的研究去避開這些最成功的商業產品(所以我們知道,ESET掃描器一直被駭客虎視眈眈)。
雖然在啟發式偵測的幫助下,我們亦無法肯定偵測出存在於任何時間的所有已知或未知的惡意程式,特別是惡意程式是針對避開掃描器的設計方法下。製毒者發佈,我們發現,他們調整和重新分配,我們調整我們的偵測,他們再調整和重新分配,我們再調整我們的偵測...無可避免地循環發生,某些偵測調整之間的罅隙,一些系統會受到感染。
一旦感染已經發生,清除惡意程式變得非常困難。商業化的掃描器,有時會處於比較不利的位置,因為他們不能「偷工減料」地清除病毒,因為有時難免地發生,不可能安全地清除病毒的情況,他們會顯示「未能清除消毒」。(如果這真的發生,我們的技術支援小組或許可以引導您整個清除過程。)有些廠商已出版了一本「一般」清除過程,但這是不適當的,因為它只說明了相當靜態的感染和清除過程,因為Virtumonde的一些特質,會使清除過程變得複雜和困難,所以清除時必須有一個互動的支援過程。當中可能需要資深的系統管理員和使用到其他我們談論到的技術和工具,但請注意,這種做法不能真正減少清除的流程,亦不代表你們應完全放棄,但我們亦會不斷調整和改進我們的產品。然而,這是一場長期消耗戰,而不是一回合的拳擊賽。在舞台上的變化和波動會不斷持續,沒有結束的一刻...
Worldwide Coverage with ESET’s ThreatSense.Net®
目前網路上流行的惡意軟體,有林林種種,形形色色的功能和特點,每種威脅又常常衍生出多個變種,分別屬於不同的惡意軟體類型。用戶除了做到及時更新防毒軟體的病毒庫外,還需要選用帶有主動防禦偵測功能的防毒產品,而ESET NOD32和ESET NOD32 Smart Security就是其中之一。因為只有這樣,才能有效防禦未知病毒的侵襲,時時刻刻也有備無患。
事實上,儘管在本報告中沒有單獨列出,通過啟發式技術偵測到的威脅數量,已經超過了ThreatSense.Net® 病毒預警系統所偵測的比例。該系統能夠自動採集來自世界各地數百萬台電腦的偵測資料,並進行追蹤報告,因此被視為當今世界最全面的惡意軟體預警系統。
ThreatSense.Net®病毒預警系統由ESET建立,其前身是著名的病毒雷達VIRUS RADAR® (http://www.virusradar.com)。 現在,此預警系統已經演化為一整套功能齊備、效率極高的惡意軟體追蹤系統,大大提升了採集統計資料的品質。以前病毒雷達主要是跟蹤由電子郵件傳播的惡意軟體,而當中ThreatSense.Net則包含了所有捕捉各類威脅的詳細資訊。ESET安全軟體的用戶在開啟上報功能後,會自動上傳此類匿名的統計資訊,因此更有利搜集現實世界中惡意軟體行為和傳播規律相關的第一手資料,搜集範圍也更加廣泛。資料獲取自超過一千萬台電腦系統,可以暫態跟蹤超過一萬種不同的威脅和惡意軟體類別。綜上所述,ThreatSense.Net®是一套全面、高效的即時資料採集和分析系統:資料經過收集後進行過濾,從而時刻保證其真實性和準確性。