返回新闻列表

2012年3月网络威胁概况:无文件僵尸程序和首个针对安卓系统的网银木马

独特的无文件僵尸程序

         2012年3月,卡巴斯基实验室的安全专家检测到一种特殊的恶意攻击,这种恶意攻击使用的恶意软件不会在受感染系统上创建任何文件。卡巴斯基实验室经过调查发现,一些俄罗斯新闻网站在页面上使用的AdFox标题系统会感染访问用户,而网站并不知情。当用户载入相关页面时,浏览器会偷偷将用户重定向到一个包含Java漏洞利用程序的恶意网站。卡巴斯基实验室首席安全专家Alexander Gostev解释说:“近几年来,我们首次遇到这种罕见的 “无文件”恶意软件。该恶意软件只会在受感染计算机的RAM(内存)中进行操作,使得反病毒解决方案很难将其检测出来。虽然这次发现的攻击事件仅仅针对俄罗斯用户,但是利用同样的漏洞利用程序和无文件僵尸程序,很容易就可以对世界其他地区的用户发动攻击。因为该恶意程序同样可以利用类似的广告或标题网络在其他国家进行传播。”

Duqu木马仍在行动

        卡巴斯基实验室对Duqu木马的调查已经进入第六个月。3月份的有了最新的调查进展,公司的安全专家已经确认该恶意软件所使用的架构代码。这次发现得到了众多国际IT社区的帮助。期间,我们收到了几百条建议和假设。最终确认,Duqu架构是采用C语言编写,并使用MSVC 2008以“/ O1”和“Ob1”选项编译。同时,Duqu木马的编写者并没有停止开发新的恶意软件组件。今年3月,我们发现一种最新的驱动,同之前Duqu早期使用的驱动几乎相同。之前使用的驱动分别于2010年12月3日和2011年10月17日创建,而最新的驱动创建日期是2012年3月23日。看来,Duqu木马的编写者在休整4个月后,又开始进行恶意软件的开发工作了。

打击网络犯罪

        今年3月,卡巴斯基实验室携手CrowdStrike Intelligence Team、Dell SecureWorks 和Honeynet Project,进行了一次大规模清剿行动,成功关闭了第二个Hlux/Kelihos僵尸网络。安全研究人员将该僵尸网络命名为Kelihos B,因为该僵尸网络是采用之前的僵尸程序A的变种组建的。安全人员在僵尸网络中引入了一个sinhole路由器,从僵尸网络运营者手中接手了这些被感染计算机的控制权,从而停止其继续进行操作。

         Google浏览器用户同样需要增强安全警惕!3月初,卡巴斯基实验室的安全专家发现了另一款针对Google Chrome的恶意扩展。这次,其攻击目标是巴西的Facebook用户。而且,网络罪犯完全可以利用相同的攻击手段,对其他国家和地区的用户发起攻击。恶意扩展会通过Facebook链接进行传播,并且伪装成合法的应用链接。如果用户选择安装这一恶意应用,会被重定向到Google Chrome的官方在线商店。该恶意软件会伪装成“Adobe Flash Player”。恶意扩展被安装到计算机上后,会获取受害用户的Facebook账号权限。Google得知这一情况后,删除了该恶意扩展。但是,网络罪犯已经创建了类似的恶意扩展,并且同样将其放在了Google Chrome 在线商店中。

Mac OS威胁

        本月,Mac OS系统上出现了前所未有的恶意软件行为。其中最值得关注的攻击案例中,网络黑客会发送大量垃圾邮件。这些垃圾邮件包含Java漏洞利用程序链接,能够在用户计算机上安装恶意程序。如果用户使用的是Mac OS计算机,则安装Backdoor.OSX.Lasyr.a后门程序。如果使用的是Windows计算机,则安装Trojan.Win32.Inject.djgs木马。漏洞利用程序会将恶意程序Backdoor.OSX.MaControl.a安装到Mac OS X计算机上。同样是在3月,Backdoor.OSX.Imuler恶意程序的新变种被检测到。这些恶意程序会伪装成安全的扩展名文件,从而便于传播。3月份的攻击中,网络罪犯发送了大量垃圾邮件,其中包含伪装成色情图片的恶意文件。这些文件的扩展名为.JPG。此外,3月份,网络罪犯首次利用Twitter充当恶意程序的命令控制服务器。为了传播恶意程序,网络罪犯使用了200,000多个被攻陷的WordPress博客。

移动恶意威胁

        移动威胁又新添了一种全新的针对安卓系统的网银木马。之前,已经有木马能够窃取移动交易授权码(mTAN),这种码是银行通过短信发送给客户手机的验证码。3月中旬,一款最新的恶意软件被发现。该恶意软件不仅能够窃取包含mTAN的短信信息,还能够窃取用户在线银行的登录信息(登录名和密码)。

        要浏览2012年3月恶意软件报告全文,请访问Securelist.com.