第二季度近半数病毒爆发事件,会暗中下载间谍软件

趋势科技分析指出:间谍软件与蠕虫联盟,比单一病毒更凶猛

趋势科技发布的第二季度病毒事件分析报告中指出,过去三个月造成7次病毒爆发事件的蠕虫中,有4个会另行下载恶意程序,其中3个会无预警地安装间谍软件或广告软件。包括分析使用者广告偏好度的魔头病毒(MYTOB)和借着 BHO 浏览器辅助工具列,监视使用者浏览行为及收集私人资料的蒙面客病毒(WURMARK) 。第二季度共有四个 MYTOB 变种造成中度病毒警戒,除了承袭前辈类似的技巧外, WORM_MYTOB.AR还会下载间谍软件 TSPY_AGENT.H,接着这个间谍软件又会下载另一广告软件ADW_MEDTICKS.A。趋势科技认为现在病毒制作者与黑客背后可能有犯罪组织提供资助,蠕虫与间谍软件结合的原因在于金钱利益。

第二季度病毒爆发事件,过半数会下载恶意程序

蠕虫新助手:间谍软件

第二季的病毒爆发事件,全都是借助电子邮件散播的蠕虫。趋势科技表示,电子邮件、共享文件夹、社会工程学技巧,几乎成为近年来引爆病毒疫情的必备条件,然而过去三个月蠕虫已经找到了更有力的助手:间谍软件。这个具有侵犯隐私权争议的恶性程序,已着手与蠕虫结合,其对计算机的杀伤力,不单是资料毁损,而是隐私权与实质资产的侵犯。蠕虫与间谍软件联盟,势必比单一病毒更加凶猛。超过150个变种的 MYTOB家族,在第二季的7个中度病毒爆发警报中,占了4个席次。MYTOB除了采用超过百个变种的人海战术外,还有两个变种会植入广告软件搜集使用者网络行为;而WORM_WURMARK.J则会利用TROJ_DLOADER.MI木马在受感染的系统中植入一个商业间谍程序,并且具备键盘侧录功能。一旦特洛伊木马程序下载蠕虫之后,这个蠕虫就会植入间谍程序,三个恶意组件联手窃取系统与使用者的相关信息,主要目的就是金钱方面的利益。只要恶意程序制作者能取得银行账户与住家地址等重要信息,这类复杂的计谋就能获得报酬。

除了间谍软件外,蠕虫下载特洛伊木马等其它恶意程序的复合型攻击,在过去三个月也蔚然成风。扫把病毒(SOBER)以“2006年免费世界杯足球赛门票”的社会工程学技巧诱使电子邮件点击率大增,这个蠕虫会在利用预先设定的 URL 网域清单持续下载不明文件,并造成电子邮件信息大量散播,先前遭受感染的系统还会变成散发电子邮件的跳板。

Malware 警戒级数 爆发日期 传播媒介 社交工程 下载恶意程序
扫把病毒WORM_SOBER.S 中度 5 月 2日 电子邮件 V 指向特定网域下载不明文件
魔头变种病毒WORM_MYTOB.ED
 中度 5 月 9日 电子邮件,共享资料夹 V X
魔头变种病毒WORM_MYTOB.EG
 中度 5 月 9日 电子邮件,共享资料夹 V X
蒙面客病毒WORM_WURMARK.J
 中度 5 月 11日 电子邮件 V 木马程序间谍软件
魔头变种病毒WORM_MYTOB.AR
 中度 5 月 29日 电子邮件 V 间谍软件广告软件
魔头变种病毒WORM_MYTOB.BI
 中度 5 月 31日 电子邮件 V 间谍软件广告软件
板斧病毒WORM_BOBAX.P
 中度 6 月 3日 电子邮件 V 木马程序

第二季病毒爆发事件,过半数会下载恶意程序。病毒爆发的条件,除了电子邮件、共享资料夹、社会工程学技巧外,蠕虫已经找到了更有力的助手:间谍软件。

趋势科技忧心未来复合式攻击方式将为恶意程序变种确立了发展方向,特洛伊木马程序的隐匿入侵功能、蠕虫的迅速散播能力,再加上间谍程序高超的伪装技巧,将让数字资产面临极大的挑战。第一季首度出现贝革热变种病毒(WORM_BAGLE.AC 和 WORM_BAGLE.AI)与特洛伊木马程序结合蠕虫的攻击方式,在第二季板斧病毒(BOBAX )也采用雷同方法,先以电子邮件大量散播木马,再借助木马下载蠕虫的循环攻击模式,所不同的是BOBAX 不像 Bagle 使用自己的木马,而是借助 TROJ_SMALL.AHE木马程序。

back to top

-------------------------------------------------------------------------------

间谍软件耗费企业资源,应视为整体安全策略的一部份

根据著名调查公司Forrester Research今年2月发布的“2005年反间谍软件方案”(Antispyware adoption in 2005)报告指出,间谍软件已成为企业组织最关切的安全问题之一。恶意间谍程序会妨碍企业的生产活动,并且危害信息安全。它会造成主要系统的速度减慢、支持成本增加、以及生产力降低。它还会让网络安全出现漏洞,而且能突破传统防毒扫描程序的侦测,渗透到系统登录资料与内存中,并且在客户端安装数百种文件与处理程序。

企业在防范恶意威胁时,向来都着重于客户端的安全性。这也包括间谍程序在内。然而,为了对抗间谍程序 (以及其它恶意威胁),IT 组织必须做更广泛的思考。最安全的作法必须包含在网关与桌上型计算机上部署多层式架构的间谍程序防护解决方案,此外还必须在所有客户端提供自动清除功能以强化防御能力。网关是阻挡间谍程序入侵与防止向外扩散的最理想位置,而客户端的安全不管是对本地或远程的使用者都十分重要。将整个网络环境的病毒防护、间谍程序防护、垃圾邮件防护、以及内容安全等一系列完整威胁防护功能整合在一起的解决方案可提供企业组织更大的效益(如趋势科技防毒墙 web安全版 IWSS --InterScan Web Security Suite),因为间谍程序与其它恶意威胁的拦截可成为整体安全策略的一部份。

back to top

---------------------------------------------------------------------

第二季病毒感染案例破千万,创新高

趋势科技全球病毒实时监控中心(WTC-Trend World Wide Virus Tracking Center)http://www.trendmicro.com/map/ 第二季共侦测到10,248,989 感染案例,相较于上一季的8,279,477感染案例高出22%。这也是自2004年以来病毒感染率最高的一季。


月病毒感染案例打破2004年第一季以来的纪录

如上图所示, 2004年第一季度是去年的病毒高峰期,之后三季病毒呈现些微成长,但第四季度开始出现明显下滑。不过今年第二季度病毒感染率却呈跳跃式增长,甚至打破2004年第一季创下的纪录,趋势科技预测接下来的两个季度将呈现上扬趋势。

back to top

---------------------------------------------------------------------

魔头病毒MYTOB变种超过150个,家族恶势力 第二季度之冠

变种家族势力庞大的MYTOB ,是目前引发第二季病毒警戒的家族中,累积感染率最高的病毒家族,超过150个的庞大变种数目累积了31万左右的感染案例。相对于成军不久的WURMARK 和 BOBAX 家族显得小巫见大巫。这个蠕虫家族企图通过电子邮件与网络共享资源来散播,造成大范围的感染。它可被视为具备散发大量邮件功能的 Bot 蠕虫,若以它所发出的电子邮件来看,它也算是 WORM_MYDOOM 的远亲。就像其它会散发大量邮件的蠕虫一样,WORM_MYTOB 会利用确认/验证、停用、以及警告电子邮件账号的通知进行攻击。

不过若就单个病毒统计,第二季疫情爆发的新病毒中以WORM_SOBER.S 最毒,以超过50万的感染案例遥遥领先,即使4个引发警戒的 MYTOB 变种总数,也望尘莫及。趋势科技表示,Sober向来以精心设计的电子邮件信息引诱使用者执行恶意附件文件闻名,它随处散发的电子邮件会伪装成安全产品供货商的通知、邮件投递失败警告、或者是最新 WORM_SOBER 攻击的通知。这次新变种以「免费看2006世界杯足球赛」更是缔造了新的感染纪录,可见「免费」与「世界杯」的魅力,让经不起诱惑者一一上钩。

back to top