訂閱電子報






新聞中心

Share |
Malware and antivirus software

2009年3月 全球威脅趨勢

Created: 2009-04-24 17:56:45

Please select the language:中文 | English

圖1 :2009年3月的前十大威脅

2009年3月的前十大威脅

ESET的ThreatSense.Net® 提供一個可靠的惡意程式報告,仔細地分析最新的網絡威脅。最新的報告顯示,惡意程式. Win32/Conficker再次成為最大的網絡威脅, 它被偵測的百分比約佔病毒偵測總數的8.90%。在以下的報告中,我們會更詳細地分析和說明ThreatSense.Net®所偵測出來的十大威脅(包括 上月排名和病毒偵測比率):
1. Win32/Conficker
上月排名:3
佔病毒偵測總數:8.90%

Win32/Conficker會通過微軟Windows操作系統未修補的漏洞來繁殖網絡蠕蟲。該蠕蟲利用Windows的RPC子系統漏洞傳播,攻擊者可遠程控制及攻擊受感染的電腦。
Win32/Conficker會通過Svchost進程加載DLL。這威脅會連接網絡預先設定的伺服器或下載其他惡意程式組件。

對使用者來說,這代表什麼意思?
雖然ESET對於Conficker有 好的偵測能力,但為了避免其他威脅利用這個系統漏洞,請確保你系統已安裝了10月底由微軟發佈的相關系統更新檔。關於該漏洞的詳細資料,請參考https://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx
有關的分析資料可參考:http://mtc.sri.com/conficker
2. Win32/Psw.OnLineGames
上月排名:1
佔病毒偵測總數:8.54%
這是一種具Rootkit功能並可以記下鍵盤輸入紀錄的木馬程式,它會收集網上遊戲者的登入身份和資料,發送到入侵者的電腦。

對使用者來說,這代表什麼意思?
多月來,這個威脅和INF/Autorun在首兩位不停交替著。
MMORPG(大型線上角色扮演遊戲,像天堂、魔獸世界和Second Life)應該留意該惡意程式的威脅範圍,這對玩家來說是非常重要的。因為當中牽涉的,不只是單單的滋擾、惡作劇或一些毫無意義的假病毒攻擊,更有一些網 絡釣魚或欺詐都會導致玩家在現實世界的經濟損失。

關於這威脅,ESET的惡意程式研究小組在上年底的全球威脅報告中,有更詳盡的闡述,請參考https://www.eset.com/threatcenter/threat_trends/EsetGlobalThreatReport
3. INF/Autorun
上月排名:2
佔病毒偵測總數:7.19%
這類型的威脅是指使用批次檔Autorun.inf來感染檔案的惡意程式。這個批次檔
包含了外置儲存裝置(例如USB手指和外置硬碟)的自動執行資訊。惡意程式會經由外置儲存裝置在電腦上自動執行並不斷地傳播到其他電腦或置裝置上。ESET 防護軟件會使用啟發式掃描偵測出這些曾被更改的autorun.inf檔案替用家防護入侵。

對使用者來說,這代表什麼意思?
外置儲存裝置的使用非常普及,惡意程式製造者意識到這一點,並加以利用,所以這一類的威脅常高據頭兩位位置。
Windows預設了自動執行在外置儲存裝置的Autorun.inf檔案。有許多類型的惡意程式會把自己複製到外置儲存裝置,雖然這可能不是惡意程式的首要傳播方法,但惡意程式編程者亦會加入這個後備方法。
Randy Abrams寫過有關這問題的網誌(https://www.eset.com/threat-center/blog/?p=94)去教導使用者關閉這個預設功能會遠勝於單單倚靠防毒軟件偵測它出來。你亦可以參考他提供的其他建議https://www.eset.com/threat-center/blog/?p=548
4. Win32/Agent

上月排名:4
佔病毒偵測總數:3.22%
ESET NOD32以Win32/Agent來識別這個惡意代碼偵測。它會竊取受感染電腦中的使用者的個人資料。
為達此目的,惡意程式會把自己複製到電腦的暫存檔案位置,並根據本身檔案或過去曾經在其他系統隨機建立的相似檔案,新增機碼到登錄檔,使惡意程式每次在電腦啟動時自動執行。

對使用者來說,這代表什麼意思?
建立隨機檔名是惡意程式隱藏自己的其中一種方法,並已沿用許多年。雖然檔名
是可以幫助偵測惡意程式,但我們絕不應依賴此作為辨別威脅的首要識別機制,尤其是當一些防護程式的廣告標榜「我們是唯一可以偵測nastytrojan.dll檔名威脅的防毒產品。」時,使用者應特別留意。

5. WMA/TrojanDownloader.GetCodec

上月排名:7
佔病毒偵測總數:1.45%
Win32/GetCodec.A是一種會修改媒體檔案的惡意程式。這種惡意程式會轉換電腦中的所有音效檔案成WMA格式,並在檔案中新增一個標頭 (header),要求使用者到指定網址下載一個新的解碼器去讀取該媒體檔案。WMA/TrojanDownloader.GetCodec.Gen會下載相關病毒Wimad.N感染GetCodec變種、如Win32/GetCodec.A。

對使用者來說,這代表什麼意思?
惡意程式假冒成一種新的視頻編解碼器,是許多惡意程式製作者和發佈者所喜歡使用的技倆。正如Wimad,受害者因為相信那是一些有用或有趣的程式,而被騙 執行惡意代碼。雖然沒有簡單或者統一的測試去證實是否真的有一個新的編解碼器或者只是某種木馬程式,但我們仍鼓勵你儘量小心,並對任何不請自來的工具下載 邀請,持有懷疑態度。即使該工具來自一個可信任的網站,亦需儘可能了解和驗證它的真偽。(可參考:https://www.eset.com /threatcenter/blog/?p=170)

6. INF/Conficker
上月排名:15
佔病毒偵測總數:1.34%
INF/Conficker與INF/Autorun具有密切的關係:它是一種傳播Conficker蠕蟲最新變種的autorun.inf檔案。這再一次帶出停用Autorun功能的必要:詳情請參閱上文的INF/Autorun部份。 
7. Win32/Toolbar.MywebSearch

上月排名:9
佔病毒偵測總數:1.30%
這是一個可能具有潛在風險並不受用家歡迎的應用程式(Potentially Unwanted Application)。在這種情況下,它是一個包括搜索功能的工具列,它會引導使用者通過MyWebSearch.com 搜尋資料。

對使用者來說,這代表什麼意思?
這種特殊的滋擾已名列十大名單多個月了。
惡意程式防護公司都不願意把PUA(Potentially Unwanted Application)正式列為惡意程式,PUA(Potentially Unwanted Application)通常不在掃描器的預設掃描設定中,因為有些廣告軟件和間諜程式可被視為合法的,尤其是如果它在終端用戶許可協議中提到(就算只是 很小的字)自己的程式行為。
8. Win32/Qhost
上月排名:16
佔病毒偵測總數:1.19%

這種威脅會將自己複製到Windows的%system32%資料夾裏,然後利用其指令及控制伺服器與DNS溝通。Win32/Qhost可透過電郵傳播,並將受感染電腦的控制權交給攻擊者。這木馬群組透過更改受害電腦裏的檔案以更改其與特殊domains之間的通訊。
對使用者來說,這代表什麼意思?
這是一個透過更改受攻擊電腦的DNS設定以改變domain名稱與IP地址之間配對的例子。使該電腦不能連接到安全的網頁進行更新,甚或是連接時不動聲色地移花接木到惡意的網站。Qhost通常會使用這手法以執行”中間人”(man-in-the-middle)的銀行攻擊。

9. Win32/Autorun.KS
上月排名:17
佔病毒偵測總數:1.07%

凡利用Autorun.inf檔案傳播的威脅皆會被標籤著”Autorun”的字眼。當插入外置儲存裝置的時候,Autorun.inf便會自動執行該裝置上的程式。ESET網站將會在短期內發佈有關的介紹。它對使用者帶來的意思與INF/Autorun大致相同。

10. Win32/TrojanDownloader.Swizzor.NBF

上月排名:6
佔病毒偵測總數:1.03%

惡意程式Win32/TrojanDownloader.Swizzor常被發現於受感染的電腦上,用以下載和安裝其它惡意程式組件。

Swizzor惡意程式會安裝多個廣告程式到受感染電腦。有些Swizzor變種不會感染俄羅斯語言的系統,你可參考:https://www.eset.com/threat-center/blog/?p=415
對使用者來說,這代表什麼意思?
正如我們先前多次討論,我們很難有一條清晰的界線去劃分惡意程式和其他有害的程式,如廣告程式和惡意程式都經常使用作廣告用途。無論病毒製作者的目的是商業利益、意識形態、惡作劇或惡意攻擊,他們大多以金錢為首要出發點。

有些病毒會避免感染某些國家的電腦,Pierre-Marc Bureau解釋:它們希望藉此逃過這些國家邊境內的法律懲罰。就像最早版本的Conficker便使用不同的技術,以避免感染烏克蘭的電腦。這些蛛絲馬跡有可能提示我們攻擊者的國籍。


最新情報
Conficker
Conficker在三月份非常活躍。最新偵測的變種,被ESET Antivirus標籤為W32/Conficker.X及被部份行家稱為Conficker.C,在41 日推出了新的更新機制。初步估計,有過百萬的電腦受害﹝被利用作botnet,即它們的傀儡﹞。
ThreatSense.net威脅監察系統驚人的發現,有3.88%的ESET用戶曾受到Conficker變種的攻擊,並成為重感的高危一族。難以估計攻擊者4月1 日的時候會對它們的「手下」發放甚麼指示,又或者會帶來甚麼程度的影響。ESET會繼續利用精密的監測系統監察情況,並與研究團體等方面保持聯繫。
想知及多有關Conficker的資訊,可參閱www.eset.com/threat-center/blog 。ESET會繼續為大家提供有趣的進展,如Honeynet Project等研發的掃描漏洞工具。ESET最新公佈的清除工具https://www.eset.eu/buxus/generate_page.php?page_id=22675 以及詳盡的分析http://mtc.sri.com/conficker
恐嚇及勒索性軟體
最早期的Conficker變種已有一個更新機制,但其矚目程度較4月1日推出的版本遜色不少。Conficker.A主要會下載一個名為loadav.exe的檔案。這明顯是一個虛假保安軟件,但卻未被人發現,因為它所在的伺服器從未在線。
在過往的數月裡氾濫著許多虛假的AV活動,包括有優化搜尋器錯誤地引導搜查有關Conficker資訊的人到具有虛假AV的網站。
另一個討厭的攻擊是關於Vundo﹝Virtumonde﹞木馬及恐嚇程式。它們會破壞用戶的資料檔,然後強迫受害者付款以復完損壞。相信是透過加入fpfstb.dll的木馬檔案﹝Xrupter﹞到系統目錄﹝%sysdir%﹞裡,然後建立及更改當中的登錄檔。
Xrupter會加密「我的文件」裡的檔案,當中包括一些含有重要個人資料或商業資料的文件:Word,Powerpoint及Excel文件,JPGs﹝相片及其它類型的圖片﹞,PDF等。然後受害人會收到以下類似的訊息:
「Window偵測到以下檔案以被損壞。為防止情況惡化,請按「修復」鍵。」
「請註冊FileFix 專業版2009修被復已損壞檔案。按這裡開啓立即購買網站。」
其後FileFix會解壓部份受影響的檔案,用戶可以再次開啓﹝但足以成為將來惡意攻擊的途徑﹞。而這個網站會被封鎖掉,受害者便不能再前去這個網站。
幸好,有一些免費的解壓程式可以解決到這個問題。
勒索性軟體並不陌生,但一旦加入虛假保安軟件及文件更改元素的話,就難放防範了。相信將來會見到更多類似的事件發生。更多資訊可參閱:…….

CanSecWest
CanSecWes年度研討會將於3月18至20號舉行。來自世界各地的系統安全研究人員都會參與這個活動。研討會的議題會集中於入侵技術的介紹和研究。今年其中一個最有趣的環節,是Sergio Alvarez將和我們一起探討手提設備的入侵、如iPhone和Android。硬件方面,Andrea Barisani和Daniel Bianco將會示範使用鐳射麥克風和頻率分析竊取鍵盤輸入紀錄。Dino Dai Zovi和
Charlie Miller將介紹新技術來搜尋和攻擊OS X操作系統的漏洞。另一個值得留意的地方,是Wei Zhao將會講述中國地下黑客集團的演變和運作模式。

CanSecWest舉辦的Pwn2Own比賽,亦吸引了很多傳媒的注目。其中兩位研究人員聲稱,他們可以入侵已完全更新的操作系統。Charlie Miller能夠控制MacBook;另一位使用假名的研究員「Nils」能夠穿透過Internet Explorer 8進入Windows, Firefox進入Linux和Safari進入OS X。

想知道更多的研討會資料,可以在這裡找到:
http://cansecwest.com/
Pwn2own比賽資料:
http://dvlabs.tippingpoint.com/blog/2009/02/25/pwn2own-2009

為何選擇ESET?

ESET擁有超過25年以上防病毒軟件開發經驗,讓我們更安全享受科技。ESET軟件對硬件要求低,對惡意軟件毫不留情。

ESET技術

ESET NOD32®防毒軟件獲獎技術,始終位於數字安全行業的最前沿。軟件每日更新,保護用戶數據安全。

免費支援

為您免費提供業內領先的本地售後技術支援。如有任何問題或查詢請在辦公時間內致電 (852) 2893 8186 查詢。