Created: 2008-10-09 14:53:39
圖一:2008年9月之十大威脅
2008年9月由ESET ThreatSense.Net®病毒預警系統捕獲的病毒樣本中,
Win32/PSW.OnLineGames 類型的惡意軟體位居榜首。關於此類威脅的更多資訊、十大惡意程式
的排名,下文會有詳細的論述。
關於病毒預警系統的運作詳情,請參本文的最後一節。
1. Win32/PSW.OnLineGames
上期排名: 1
檢測總數比例:19.47%
大量的惡意程式專門竊取各種網路遊戲和虛擬世界程式的密碼
自2007年,已有大量的惡意程式專門竊取各種網路遊戲和虛擬世界程式的密碼。但近期更有惡化的跡象:不再單是惡作劇,而是一些有系統有組織的牟利行為。該惡意軟體變種主要以網路遊戲用戶為目標,進行盜取其帳號的活動。
Win32/PSW.OnLineGames是一個木馬與鍵盤側錄程式的家族統稱。它收集有關網路遊戲的密碼。它會自動發出收集到的資料到黑客的電腦。成功盜取密碼後,黑客會接管遊戲帳戶,竊取積分和虛擬寶物,而且往往會在網上發售來轉換成金錢。
網路遊戲天堂一樣也受到嚴重的針對,虛擬的商品和貨幣會在eBay上拍賣,更發現大量的作弊程式,甚至一些有數據竊取功能的病毒:例如, Win32/Detnat 及 PWS.Lineage木馬。這些高利潤的惡意程式不斷增長。
2. INF/Autorun
上期排名: 2
檢測總數比例:3. 53%
利用USB儲存裝置設計去自動執行有害程式
近期的第1位是透過USB儲存裝置傳播的Autorun病毒。它會利用系統設計去自動執行有害程式。利用USB儲存裝置中的autorun.inf批次檔,使裝置插入電腦時,自動執行惡意程式或病毒,它會不動聲色的自行安裝於系統。ESET NOD32將這種自動執行或修改系統配置的惡意程式,稱為
INF/Autorun。ESET NOD32 具有有效的掃描引擎檢測這一類的惡意軟件。各用戶在陌生的電腦使用自己的USB儲存裝置後,很可能會感染Autorun病毒。在回到自己本身的電腦時,最好先進行掃描,避免中毒。此外用戶可以暫時停止Window Autorun功能以完全消除Autorun病毒的威脅。
3. Win32/Toolbar.MywebSearch
上期排名: 4
檢測總數比例:3.28%
強行發送各類廣告或鎖定首頁
Win32/Toolbar.MyWebSearch是一個工具軟件,它具有網上搜尋功能。雖然它不是木馬或病毒般具有破壞能力,但可能會影響電腦性能。受影響的電腦很可能會出現不尋常的連接,以傳輸用戶的網絡瀏覽習慣或其他數據到遠方的伺服器並下載廣告。而且當用戶自行移除 Win32/Toolbar.MyWebSearch可能會導致其他正常軟件不能工作,影響電腦性能。
4. WMA/TrojanDownloader.Wimad.N
上期排名: 7
檢測總數比例:2.58%
這個惡意程式是一個Windows 的媒體檔案,它會把瀏覽器轉向到惡意的URLs ,並下載額外的惡意組件。惡意組件通常具是廣告程式。這個惡意程式在P2P 的網絡傳播,它會附載在流行歌曲的MP3上。 偵測數據在8月份開始上升。
黑客趨向利用社會工程的方式傳播惡意程式,例如 MP3,FLASH,影片codecs。特別在P2P 的網絡上有很多疏忽的用戶,所以P2P 的網絡成為黑客天堂。
5. Win32/Pacex.Gen
上期排名: 6
檢測總數比例:1. 82%
以竊取電腦使用者的私人資料為目的
Pacex.gen是一個龐大的惡意程式家族,它竊取密碼(和之前提及的W32/PSW.OnLineGames 相似)。Pacex.gen有非常多已知的變種。
6. Win32/Adware.Virtumonde
上期排名: 3
檢測總數比例:1.3%
偽裝成一些無害的軟件作出各種破壞
這個Virtumonde惡意程式,主要是開啟一系列視窗,強行向用戶發送各類廣告。它善於偽裝成一些無害且合法的軟件,誘使用家安裝,繼而作出各種破壞。它會改變電腦系統,禁止或限制正常的網頁瀏覽,以及強迫用戶瀏覽有問題的網站。一經安裝,使難以經正常程序移除這些軟件。而且天會佔據系統大量資源,令普通的日常電腦幾乎不能運作。更嚴重的是侵犯用戶的各種隱私。
Virtumonde它不會給受害人提供任何安裝選擇權,並故意使用戶不能安全的移除該程式,使受感染電腦無法正常有效地使用。
ESET把Virtumonde歸納為:「一些你不能直接形容它為有害,但絕不想它存在於你電腦系統的東西。」
7. Win32/Qhost
上期排名: 10
檢測總數比例:1.13%
惡意程式會複製到Windows 的%system32%資料夾 。它會接上到DNS 伺服器,再接收黑客的指令。Win32/Qhost 會透過電郵傳播。
這個是一個木馬程式的例子,它會修改受感染電腦的DNS設定,使受感染電腦會轉向到黑客的伺服器,令用戶不能連接上防毒廠商的伺服器更新軟件及病毒資料。
8. Win32/Agent
上期排名: 9
檢測總數比例:1. 12%
這是一個ESET NOD32防毒引擎偵測的病毒系列。它以竊取電腦使用者的私人資料為目的。
這個惡意程式會複製到電腦暫存的位置,並修改registry ,以及在Windows 的系統資料夾加入隨機的檔案,使惡意程式會在電腦開機時自動執行。
9. Win32/Autorun
上期排名: 8
檢測總數比例:1.07%
這是一個ESET NOD32防毒引擎偵測的病毒系列。它會在電腦開機時自動執行,並以竊取電腦使用者的私人資料為目的。
這個惡意程式會複製到電腦暫存的位置,並修改registry ,以及在Windows 的系統資料夾加入隨機的檔案,使惡意程式會在電腦開機時自動執行。
10. Win32/TrojanDownloader.Swizzor.D
上期排名: 5
檢測總數比例:1.03%
黑客會利用這個名為TrojanDownloader.Swizzor.D的惡意程式令受感染電腦上網下載額外的惡意組件。惡意組件通常具是廣告程式。這個惡意程式裝扮成P2P 的加速軟件。
Swizzor 不會自行在網路上的電腦自我複製。當用戶安裝了這個惡意程式,它便會下載額外的惡意組件。在幾日之內,這個惡意程式已經有上萬個不同的包裝,我們會稱它為“server-side polymorph”
全面、高效的惡意程式威脅分析系統 ThreatSense.Net®
ThreatSense.Net®病毒預警系統完全由ESET獨立構建,其前身就是著名的病毒雷達
VIRUS RADAR® (http://www.virusradar.com)。 現在,此預警系統已經演化為一整套功能齊備、效率極高的惡意程式追蹤系統,大大提升了採集統計資料的品質。以前病毒雷達主要是跟蹤由電子郵件傳播的惡意軟 體,而當中ThreatSense.Net則包含了所有捕捉各類威脅的詳細資訊。ESET安全軟體的用戶在開啟上報功能後,會自動上傳此類匿名的統計資 訊,因此更有利搜集現實世界中惡意程式行為和傳播規律相關的第一手資料,搜集範圍也更加廣泛。資料獲取自超過一千萬台電腦系統,可以暫態跟蹤超過一萬種不 同的威脅和惡意程式類別。綜上所述,
ThreatSense.Net®是一套全面、高效的即時資料採集和分析系統:資料經過收集後進行過濾,從而時刻保證 其真實性和準確性。