Created: 2008-11-17 17:33:20
圖1 :2008年10月的前十大威脅
ESET的ThreatSense.Net® 提供一個可靠的惡意程式報告,細緻地分析最新的網絡威脅。最新的報告顯示,惡意程式Win32/psw.onlinegames再次成為最大的網絡威脅,它被偵測的次數幾乎佔病毒偵測總數的百分之十一點三。雖然頭數位的威脅在位置上沒有改變,但在流行程度上就出現了一些變化。在上個月偵測比率升幅驚人的盜取遊戲密碼的惡意程式,在今個月有所下降,但同時間,INF/Autorun的偵測比率則上升了。由於這兩種都是偵測率非常高的惡意程式,所以有關變化並不能代表長期的趨勢情況。
2008年9月的圖表顯示出異常高的Win32/PSW.OnLineGames偵測率。當然這種類型的威脅攻擊繼仍持續高企。
另外比較重要的是,WMA/TrojanDownloader.GetCodec.Ge是一種傳染性極強的木馬程式下載器,它在9月底開始流行並在2008年10月進佔了十大威脅的第六位。
在以下的報告中,我們會更詳細地分析和說明ThreatSense.Net®所偵測出來的十大威脅(包括上次排名和病毒偵測比率):
如果想了解多些ThreatSense.Net®報告的運作和資訊,可參考本報告最後一節的「覆蓋全球的 ESET ThreatSense.Net®」。
1. Win32/Psw.OnLineGames
上次排名: 1
佔病毒偵測總數:11.30%
在2008年10月,有接近偵測總數11.3%的Win32/Psw。OnLineGames類型威脅被偵測出來。這是一種具Rootkit功能並可以記下鍵盤輸入紀錄的木馬程式,它通常以偷取網上遊戲者的登入身份和資料為目的並可以發送這些資料到其他電腦。
對使用者來說,這代表什麼意思?
雖然Win32/PSW.OnLineGames佔病毒偵測總數的比率在2008年9月有所下降,但其偵測數量仍然是非常高的,所以遊戲玩家仍應保持警覺。
MMORPG(大型多玩家線上角色扮演遊戲,像天堂、魔獸世界和Second Life)應該留意該惡意程式的威脅範圍,這對玩家來說是非常重要的。因為當中牽涉的,不只是單單的滋擾、惡作劇或一些毫無意義的假病毒攻擊,更有一些網絡釣魚或欺詐都會導致玩家在現實世界的經濟損失。ESET的惡意程式情報小組已在ESET全球威脅年中報告中更詳細地闡述了這個問題,該報告可在https://www.eset.com/threat-center/下載。
2.INF/Autorun
上次排名: 2
佔病毒偵測總數: 6.54%
這類型的威脅是指使用批次檔Autorun.inf來感染檔案的惡意程式。這個批次檔
包含了可移除儲存裝置(例如USB 手指和外置硬碟)的自動執行資訊。惡意程式會經由可移除儲存裝置在電腦上自動執行並不斷地傳播到其他電腦或置裝置上。 ESET NOD32 會使用啟發式掃描偵測出這些曾被更改的autorun.inf檔案替用家防護入侵。
對使用者來說,這代表什麼意思?
可移除儲存裝置的使用非常普及:惡意軟件編程者意識到這一點,故加以利用來。Windows預設了自動執行在可移除儲存裝置的Autorun.inf檔案。有許多類型的惡意程式會把自己複製到可移除儲存裝置:雖然這可能不是惡意程式的首要傳播方法,但惡意軟件編程者亦會加入這個後備方法。Randy Abrams寫過有關這問題的網誌(https://www.eset.com/threat-center/blog/?p=94)去教導使用者關閉這個預設功能會遠勝於單單倚靠防毒軟件偵測它出來。關於這個問題,全球威脅年中報告中亦有更詳細的闡述https://www.eset.com/threat-center/
3.Win32/Toolbar.MywebSearch
上次排名: 3
佔病毒偵測總數:2.79%
這是一個可能具有潛在風險並不受用家歡迎的應用程式(Potentially Unwanted Application)。在這種情況下,它是一個包括搜索功能的工具列,它會引導使用者通過MyWebSearch.com 搜
尋資料。
對使用者來說,這代表什麼意思?
這種特殊的滋擾已名列十大名單多個月了。惡意程式防護公司都不願意把PUA(Potentially Unwanted Application)正式列為惡意程式,PUA(Potentially Unwanted Application)通常不在掃描器的預設掃描設定中,因為有些廣告軟件和間諜程式可被視為合法,尤其是如果它在最終用戶許可協議中提到(就算只是很小的字)自己的程式行為。
4.Win32/Pacex.Gen
上次排名: 5
佔病毒偵測總數: 2.76%
Pacex.gen 使用容易使人混淆的外殼包裝數量種多的惡意程式檔案。Win32/Pacex.
Gen 中字尾的Gen 代表很多已知的變種的意思,憑標籤相似的病毒特徵偵測出未知的變種。
對使用者來說,這代表什麼意思?
這種使用外殼包裝的惡意程式主要在偷取密碼的木馬程式中發現。有些針對線上遊戲玩定的,會偵測為Pacex,而不是PSW.OnLineGames,因為這兩者之間有一些重疊。這表示,PSW.OnLineGames的偵測比率可能是更高的。但愈來愈多的啟發式偵測防護會幫助區分它們和顯示出一個更明顯的趨勢。
5.WMA/TrojanDownloader.Wimad.N
上次排名: 4
佔病毒偵測總數:1.87%
這種威脅是因為一個Windows Media檔案導向多媒體瀏覽器到一些含有惡意程式的網址去下載一些有問題的附加元件,當中包括廣告程式。這個威脅的傳
播就好比使用點對點程式網絡下載流行的MP3一樣。圖表顯示自8月起,這威脅的數量正不斷上升。
對使用者來說,這代表什麼意思?
惡意程式假冒成MP3歌曲、Flash影片或視頻編解碼器等非常普遍,這方法經常被惡意程式製作者使用:看似正常的檔案可以自己執行或引入問題代碼讓壞人進入電腦。所以請記住,不一定是一個執行檔才可以用來引入惡意代碼,並小心一些「必要」程式其實是一些惡意程式假扮。這是其中一種惡意程式製造者最常使用的方法,引誘使用者執行惡意代碼。
6.WMA/TrojanDownloader.GetCodec.Gen
上次排名:新上榜
佔病毒偵測總數:1.69%
GetCodec是一種會修改媒體檔案的惡意程式。這種惡意程式會轉換電腦中的所有音效檔案成WMA格式,並在檔案中新增一個標頭(header),要求使用者到指定網址下載一個新的解碼器去讀取該媒體檔案。
對使用者來說,這代表什麼意思?
惡意程式假冒成一種新的視頻編解碼器,是許多惡意程式製作者和發佈者所喜歡使用的技倆。正如Wimad,受害者因為相信那是一些有用或有趣的程式,而被騙執行惡意代碼。雖然沒有簡單或者統一的測試去證實是否真的有一個新的編解碼器或者只是某種木馬程式,但我們仍鼓勵你儘量小心,並對任何不請自來的工具下載邀請,持有懷疑態度。即使該工具來自一個可信任的網站,亦需儘可能了解和驗證它的真偽。
7.Win32/Agent
上次排名: 8
佔病毒偵測總數:1.42%
ESET NOD32以這個總稱來命名這個惡意代碼偵測。它會竊取受感染電腦中的使用者的個人資料。
這個惡意程式會把自己複製到電腦的暫存檔案位置,並根據本身檔案或過去曾經在其他系統隨機建立的相似檔案,新增機碼到登錄檔,使惡意程式每次在電腦啟動時自動執行。
8.Win32/Adware.Virtumonde
上次排名: 6
佔病毒偵測總數:1.26%
這威脅偵測代表一種廣告木馬程式。它會不停發送令人覺得滋擾的廣告到使用者的電腦。在執行時,Virtumonde會在未經使用者同意下,同時打開多個彈出視窗顯示廣告。通常這種廣告程式都很難去完全移除。這類廣告是惡意程式製造者的一大收入來源,所以你會持續在十大威脅中發現它的踪影。
對使用者來說,這代表什麼意思?
Virtumonde對廠商和客戶來說,已經成為一個很難解決的問題,遠遠超過「廣告」或「可能有害」的地步,更多的討論和資料會在2008年7月的威脅報告中提到(Virtumonde: 纏繞不散的不速之客)。你亦可以參考我們的網誌「廣告程式、間諜程式和可能有潛在風險的應用程式」https://www.eset.com/threat-center/blog/?p=138
9.JS/TrojanDownloader.Iframe.NBM
上次排名: 75
佔病毒偵測總數:1.18%
JS/TrojanDownloader.Iframe威脅使用有害的JavaScript文件,試圖利用互聯網瀏覽器的漏洞或元件攻擊電腦。這些腳本會安裝附加的惡意元件到受害者的電腦。
對使用者來說,這代表什麼意思?
惡意代碼Iframe可以內嵌在任何受到入侵的網站。攻擊者大規模使用數以千計的網站,感染到訪者的電腦,這趨勢仍在持續。直接利用瀏覽器和電子郵件軟件的漏洞攻擊使用者,使受害者更難防護。建議使用不要受邀到訪一些不知名的網站,並定時更新防毒程式和操作系統,保持最新的資料狀態。
10.Win32/Qhost
上次排名: 7
佔病毒偵測總數:1.17%
這一類型的木馬程式會在DNS 指令執行和控制伺服器通訊時,複製自己到Windows系統的System32 資料夾中。Win32/Qhost 會通過電子郵件傳播,並給予攻擊者受感染電腦的控制權。
對使用者來說,這代表什麼意思?
這是一個木馬程式修改DNS設定的例子,受感染電腦的DNS 設定會被木馬程式所修改,使用者電腦的域名位置會被導向到其他IP 地址。它不會理會你正在瀏覽什麼的網頁,會直接使受感染的電腦無法連到防毒軟件網頁下載和更新或使瀏覽器不停重複導向使用者到同一個網頁下載惡意程式。
新近事件和情況
首先要說明的,是10月份收集到的常規偵測數據。十分之九的項目都是威脅的總稱。這說明惡意程式製造者正不斷努力,希望寫成能夠逃避我們產品偵測的變種,亦同時證明我們的偵測演算法是有效的。另外,雖然還未到每月排名的前十大位置,但Packer/Themida威脅的偵測數量正在上升。Themid是使用運行時間壓縮器(Runtime Packer)躲避防毒產品的惡意程式。欲了解更多有關運行時間壓縮器(Runtime Packer)的資料,可以參考Randy Abrams的文章介紹:https://www.eset.com/threat-center/blog/?p=161
在2008年10月期間,我們觀察到含惡意代碼的PDF檔案威脅偵測正在增加。這些檔案利用PDF軟件閱讀器的安全漏洞進行攻擊。如果這些攻擊成功,將會有更多的惡意程式被安裝到受感染的系統,從而使電腦被攻擊者完全控制。
10月24日,微軟發佈了MS08 - 067修復檔更正一個漏洞。這個漏洞使文件共享功能開啟時,大多數版本的Windows都可能受到遠程攻擊。在調查中發現,攻擊者可以利用MS08 - 067漏洞安裝一個木馬程式到受感染系統。ESET NOD32防毒把這種威脅偵測為Win32/Gimmiv.A。
10月的Virus Bulletin年度會議上,強調了惡意程式防護的研究。ESET不只單單贊助項目,更派出技術專家出席會議,提供了四個專題報告和三個會議文件。這些文件不久後將可以在我們的官方網站下載https://www.eset.com/download/whitepapers.php包括:
•「機械人程式及殭屍網絡的理解和教學」Randy Abrams
•「誰來測試測試者?」David Harley和Andrew Lee
•「其他名稱的命名」的Pierre-Marc Bureau和David Harley
另一個由VB贊助的專題報告「從雲霧中解讀威脅數據」David Harley則正在進行整理中。
10月尾最後的兩天,是AMTSO(The Anti-Malware Testing Standards Organization)會議,規模雖然比Virus Bulletin小得多,但對防毒研究者來說,是同等重要的。經過許多個月於AMTSO會議的工作和辯論,AMTSO內部成員、AVIEN論壇和AMTSO自己的網誌,將會收到和刊登在會議上一致接受的「測試基本原則」和「最佳的動態測試常規」,您亦將可在這裡下載https://www.amtso.org。您可能會問,是什麼原則?請參考以下的解釋。
1.測試決不能危害公眾。
2.測試必須是公正的。
3.測試應合理地公開和具透明度。
4.必須以均衡的方式衡量防毒產品的效能和表現。
5.測試者必須採取合理和謹慎措施,驗證測試樣本或測試案例是否準確:並歸類為惡意、無辜或無效。
6.測試方法必須符合測試的目的。
7.測試結論必須根據測試結果而作。
8.測試結果在統計上是有效力的。
9.供應商、測試者及出版商必須提供一個有效的聯絡方法去回應相關測試。
ESET的惡意情報主管David Harley,一直積極參與這兩個文件的編製,他告訴我們「雖然花費了數個月的時間,才將這些文件整理到最後批准的階段,但我相信它們代表惡意程式防護行業中的一個重要而成熟的里程碑。從歷史上看,我們大多不喜歡行業裡的一些測試。測試者有時會覺得,我們好只是等待備批評,所以不願提供真正的幫助。這些訂下的原則,正好進一步提供高級的指導予我們,進行良好的測試。下一步,我希望擴大宣傳的範圍和教育資源,使組織不僅提供資訊予測試者,亦能提供給公眾。所以在最近一次會議,我非常興奮地期待著參予一些其他領域的工作。」
覆蓋全球的ESET ThreatSense.Net®
目前網路上流行的惡意軟體,有林林種種,形形色色的功能和特點,每種威脅又常常衍生出多個變種,分別屬於不同的惡意軟體類型。用戶除了做到及時更新防毒軟體的病毒庫外,還需要選用帶有主動防禦偵測功能的防毒產品,而ESET NOD32和ESET NOD32 Smart Security就是其中之一。因為只有這樣,才能有效防禦未知病毒的侵襲,時時刻刻也有備無患。
事實上,儘管在本報告中沒有單獨列出,通過啟發式技術偵測到的威脅數量,已經超過了ThreatSense.Net® 病毒預警系統所偵測的比例。該系統能夠自動採集來自世界各地數百萬台電腦的偵測資料,並進行追蹤報告,因此被視為當今世界最全面的惡意軟體預警系統。
ThreatSense.Net®病毒預警系統由ESET建立,其前身是著名的病毒雷達VIRUS RADAR® (http://www.virusradar.com)。 現在,此預警系統已經演化為一整套功能齊備、效率極高的惡意軟體追蹤系統,大大提升了採集統計資料的品質。以前病毒雷達主要是跟蹤由電子郵件傳播的惡意軟體,而當中ThreatSense.Net則包含了所有捕捉各類威脅的詳細資訊。ESET安全軟體的用戶在開啟上報功能後,會自動上傳此類匿名的統計資訊,因此更有利搜集現實世界中惡意軟體行為和傳播規律相關的第一手資料,搜集範圍也更加廣泛。資料獲取自超過一千萬台電腦系統,可以暫態跟蹤超過一萬種不同的威脅和惡意軟體類別。綜上所述,ThreatSense.Net®是一套全面、高效的即時資料採集和分析系統:資料經過收集後進行過濾,從而時刻保證其真實性和準確性。