返回新闻列表

十一月恶意软件:Duqu与Stuxnet之间的联系,认证机构失去公信

本月焦点
DUQU——调查继续

        通过卡巴斯基实验室专家们的分析,Duqu木马与Stuxnet蠕虫之间的另一层关系被揭开,两者都利用了之前未知的一些漏洞发起攻击。Duqu通过电子邮件发起攻击,利用一个包含漏洞探测程序的Word文档来发现Windows中存在的未知漏洞。而关键问题在于,直到12月初,微软还未发布可以修复该漏洞的补丁程序,意味着其受到攻击的风险十分高。事件发生后,卡巴斯基实验室立刻在其产品数据库中添加了这一特殊漏洞探测程序的特征码。公司的专家们也很快得出结论,Duqu的主要目的是收集一系列有关伊朗企业和政府情报机构活动的数据。大量证据表明,Duqu的早期版本可能早在2007-2008年之间就已出现,而创建Stuxnet蠕虫时所基于的平台,也被用于Duqu的创建。

意料之外的木马活动

        11月,首个拉美木马事件被记录在案,该木马在图像文件中运用了速记式加密技术。该木马家族的程序主要的攻击目标为巴西各大银行机构。其创建者使用的技术可以达到一箭三雕的效果。卡巴斯基实验室全球研究与分析小组拉美团队负责人Dmitry Bestuzhev 解释道:“首先,它可以使恶意软件自动分析系统功能瘫痪:反病毒程序分析对其毫无作用,反而会将其判断为没有风险的文件,与此同时,大量的恶意链接被释放。其次,在加密恶意文件入主的网站,其管理员无法将其识别为恶意文件,因而只能放任其存在。再次,一些反恶意软件研究人员可能没有足够的时间或技术来应对这些木马。可以说该木马的所有活动都能掌握在网络罪犯的鼓掌之间。”

移动威胁

        7月中旬,“色情短信”的主要发送对象为美国、马来西亚、荷兰、英国、肯尼亚和南非的手机用户。这种应用程序以为用户提供色情图片为诱惑,偷偷地为用户注册一系列所谓的“超值服务”,一旦用户注册后,其手机账户便被清除。而现在这个问题已经演化为短信木马,攻击目标主要为欧洲国家和加拿大的手机用户。

Mac OS威胁

        Mac用户正逐渐感受到恶意程序带来的影响,这些威胁主要在盗版的Mac软件中传播。例如,最新检测到的Backdoor.OSX.Miner,拥有几大恶意功能:它能远程访问受感染的计算机,收集Safari的浏览历史记录,抓取截屏,从比特币客户那儿盗取wallet.dat文件,并且在用户未经许可的情况下启动比特币矿工程序。

        这种恶意程序主要通过大量的torrent tracker网站传播,包括publicbt.com、openbittorrent.com以及thepiratebay.org。

攻击国家或企业网络,引发更多证书问题

        11月,我们还经历了另一场有关认证机构被攻击的事件,荷兰认证机构KPN宣布,该机构被黑客攻击,不得不暂时停止颁发证书的业务。该攻击是在与公共密钥基础设施(PKI)相连的KPN网络服务器上被发现的。该攻击可追溯至4年前,因而引发一系列问题,DDoS工具为何能在这么长的时间内不被检测到?

        跟Diginotar一样,KPN被荷兰政府和公共服务部门授权颁发一些“特别”的认证执照。事实上,许多遭受DigiNotar事件影响的单位组织都转用了KPN的认证。

        此外,马来西亚认证机构Digicert(CA Digicert Malaysia)还被卷入了一场更严重的事件。该机构被所有的浏览器厂商以及微软公司从各自的信任机构名单中去除。尽管这种做法比较极端,但是在当时的情况看来却是必要的,特别是该机构已经颁发了22个含有加密强度较弱的512位密钥的证书,而且还缺乏合适的使用扩展或撤回信息。

11月排名前10位的互联网威胁

1 Malicious URL 81.41% 0
2 Trojan.Script.Iframer 4.57% 0
3 Trojan.Script.Generic 1.67% 1
4 Trojan.Win32.Generic 0.74% -1
5 Trojan-Downloader.Script.Generic 0.61% 2
6 Trojan.JS.Popupper.aw 0.37% 3
7 Exploit.Script.Generic 0.36% -2
8 Trojan.JS.Agent.bwi 0.24% 新上榜
9 Exploit.Java.CVE-2010-4452.a 0.21% 新上榜
10 AdWare.Win32.Screensaver.i 0.16% 新上榜

        要了解更多关于卡巴斯基实验室在11月检测到的互联网威胁和存在于计算机用户上的威胁详情,请访问:www.securelist.com/en