返回新闻列表

八月份恶意软件概况:安卓恶意软件诞生一周年 & Zeus木马的克隆

        恶意软件和比特币 从2011年八月底开始,卡巴斯基实验室安全专家检测到35个独特的针对比特币(bitcoin)系统进行攻击的恶意程序。由于意识到他们的潜在收益主要取决于其能够访问的计算机数量,所以网络罪犯逐渐从盗窃比特币钱包,转移到利用基于Twitter和P2P网络的僵尸网络进行网络犯罪。网络罪犯利用这种手段来对抗反病毒厂商,因为如果僵尸网络中仅有一台命令控制服务器,没有其他服务器时,很容易被反病毒厂商所拦截。例如,僵尸计算机会向某个Twitter账号发送一个请求,Twitter账号会提供僵尸网络运营者留下的命令,即比特币生成程序被下载的位置以及攻击哪个比特币矿池的命令信息。虽然将Twitter用做僵尸网络命令控制中心并不新颖,但这是其首次被用于比特币系统。

       八月份,卡巴斯基实验室还发现某个大型僵尸网络中隐藏着真实的比特币账号。但是,这些账号可能会被那些反对使用非法比特币收集程序的服务器运营商所删除。为了应对这一情况,僵尸网络运营者必须要创建特殊的代理服务器,同受感染计算机进行交互,这样他们的请求信息就会被传送到未知的比特币矿池。由于无法确认僵尸网络针对的是哪个特定比特币矿池,所以也无法拦截其中的虚假账号。这种情况下,唯一能够拦截此类网络犯罪行为的手段是获取代理服务器的完全访问权。

        Ice IX:Zeus的“私生子” ZeuS木马(Trojan-Spy.Win32.Zbo)是传播最为广泛的针对在线银行用户的恶意程序,其源代码泄漏距今已差不多有一年。之后,某些说俄语的网络罪犯克隆了该恶意程序。这些克隆程序在今年夏天很常见。今年春天最新出现的ZeuS木马变种被其创建者称为Ice IX,这种恶意程序的售价高达600—1800美元。Ice IX最显著的创新是修改了僵尸网络控制网页模块,从而让网络罪犯可以使用合法的托管服务,而不必再使用昂贵的由网络犯罪社区维护的隐形服务器。这表明,Ice IX运营者的成本有所下降。Ice IX的出现表明,更多ZeuS木马的“私生子”在未来还可能会继续出现,而且针对在线银行服务用户的攻击也将越来越严重。

       远程访问蠕虫 最新的网络蠕虫Morto并不需要利用系统或程序漏洞,就能够复制自身。此外,这种恶意程序能够利用提供Windows桌面远程访问的Windows RDP服务进行传播。这种传播手段是首次出现。更重要的是,该蠕虫会试图获取远程访问密码。根据临时估算,目前全球大约有超过几十万台计算机被该蠕虫所感染。

针对个人用户的攻击:手机威胁

       2010年8月初,首个针对安卓(Android)操作系统的恶意程序被发现,其名称为SMS Trojan FakePlayer。今天,针对Android系统的恶意威胁占全部检测到的针对移动平台的恶意威胁数量的23%左右。

top20_september_en.png
针对不同移动平台的恶意程序分布

       除去J2ME平台,2010年8月检测到的智能手机威胁中,85%均针对Android系统。

       8月份,Nickspy 木马从众多针对移动平台的恶意威胁中脱颖而出。其最显著的特点是能够收集被感染手机的GPS坐标位置以及被感染电话的所有通话记录。不仅如此,该木马还能够录制手机用户的通话信息。录取的音频文件会被上传到由网络罪犯控制的远程服务器。

针对企业网络和大型组织网络的攻击

       8月份出现了多起高调的黑客攻击事件。其中的受害者包括意大利网络警察、一些同执法部门有合作关系的美国公司以及同美国国防部有合作关系的军方承包商Vanguard。但是,把这些黑客攻击放到今年发生的各种大型网络攻击的大背景下,并不算严重。

       另外,McAfee最近披露的一项消息震动了整个IT社区。McAfee声称发现历史上规模最大的网络攻击,其持续时间长达五年多,而且攻击的目标针对全球众多组织, 甚至从美国国防部到越南体育委员会。这一大规模的网络攻击被称为Shady Rat。据说,由网络罪犯所控制的进行攻击的服务器是由一些“研究人员”发现的,但事实上多家反病毒公司的专家早在数月前就已经知晓该服务器。而且,在McAfee的文章发布时,该服务器仍然在正常运转,而McAfee在报告中所用到的信息早就被已经被披露。不仅如此,这一被称为历史上最复杂最大型攻击中所使用的间谍软件早就被多种反病毒程序利用简单的启发式分析检测出来。除了上述这些疑点和一些其他因素外,公众对McAfee披露的这次事件还有众多疑问,其中也包括卡巴斯基实验室的专家。

       卡巴斯基实验室首席安全专家Alexander Gostev评论道:“我们的研究表明,Shady Rat并不是历史上历时最长,规模最大,或者最为复杂的网络攻击。此外,我们认为,将网络攻击的信息公布于众,但却没有完整的组件描述以及所使用的技术介绍,这种做法不妥。因为这些不完整的报告并不能让安全专家找到保护自身资源的办法。”