1、1新一代的超级病毒今年 1 月,德国知名的 IT 站点“pcwelt.de”成了恶意软件传播的平台,攻击者渗透了 186 个子页面,并通过它们传播恶意软件。所有被感染的电脑都将被加入到一个僵尸网络,恶意软件将从被植入木马的电脑上发送垃圾邮件。利用人们熟悉和信赖的网站传播病毒,是目前各种间谍软件和银行木马的主要传播途径。这些恶意软件有着一个类似“Blackhole”、 “Gameover”、 “DroidKungFu”之类有意思的名字,但是它们并不是什么好玩的东西,而是相当危险的恶意软件。下面,CHIP 将为大家介绍这些新一代的超级病毒,帮助大家了解这些恶意软件,并学会如何保护自己。 新一代的超
2、级病毒感染了数百万个人电脑,它们大部分通过Java、Flash 和 Adobe Reader 这些常用软件的安全漏洞攻击用户。除此之外,黑客还可能在正常的网站上放置恶意代码,再诱使用户访问网站,或者直接发送能够传播病毒的文件给用户。许多用户在打开邮件中表面看起来是 PDF 文件的附件时,电脑就会被安装上恶意软件。这种电子邮件通常会假借著名企业或者公共机构的名义,让人防不胜防。由于电子邮件协议本身存在缺陷,所以邮件发送人可以假冒任何一个人或者组织。未来的目标:Windows 8、智能电视 除了传统的传播方式和攻击目标以外,安全专家预计,在未来数月,2恶意软件主要的攻击目标将会是 Windows
3、8。微软的这个新系统与之前的系统相比具有更多的安全机制,但是安全专家 Aryeh Goretsky 预测,攻击者将会利用用户对新系统界面比较陌生的机会,利用虚假的系统消息误导用户执行指定的操作,取消系统的安全保护措施和加载恶意软件。虽然 Windows 8 中提供了与 Windows Defender 相配套的“尽早启动反恶意软件” (Early Launch Anti-Malware,ELAM)功能,但是根据赛门铁克的安全专家 Stefan Wesche 介绍,他们已经捕获了第一个能够在操作系统内核加载前启动而绕过 ELAM 的 Rootkit 病毒。 Windows 8 不是唯一的新目标,
4、智能手机、平板电脑和智能电视机都将成为恶意软件攻击的新目标。因为它们很容易被感染,Android 的应用程序大多未经安全审核,许多 iOS 的用户也不具备安全知识,而智能电视机的用户基本上没有任何安全概念。 除了恶意程序的攻击目标有很大的变化之外,利用恶意软件发起攻击也不再仅仅是个人和黑客组织,政府机构也开始利用间谍软件。德国的联邦刑事调查局(Bundeskriminalamt,BKA)就采购了间谍软件FinFisher,虽然其在官方博客上透露,迄今为止 FinFisher 主要在中东和亚洲使用,但是从理论上讲,包括德国公民在内的任何人都有可能在这个超级间谍软件的监视之下。 Windows 电
5、脑: 犯罪分子的摇钱树 通过新的木马病毒,犯罪分子可以获得巨大的利润。他们为用户提供控制僵尸网络的管理界面,甚至还提供技术支持。 3当一个网络罪犯无法进入受害人的电脑时,他可以购买一个所谓的漏洞利用工具包,这是一个智能化的攻击工具,能够自动检查目标电脑上的已知漏洞,并通过发现的漏洞渗透进系统,再利用下载器下载并安装恶意软件。以针对“pcwelt.de”发起攻击的漏洞利用工具包为例,它可以检查目标系统上的 40 个安全漏洞。 最危险的漏洞利用工具包“Blackhole”在地下交易市场上的使用费用为每天 40 欧元,或者按年支付,每年为 1 200 欧元。根据开发者的文档所述,使用该工具包,攻击者
6、只需将指定的代码加入到网站上,然后引诱用户访问即可。在后台加载“Blackhole”页面之后, “Blackhole”将通过一个 JavaScript 代码的漏洞检测并收集系统的信息。该工具包不断地收集相关的信息更新数据库,并结合 Windows 和应用软件的版本分析有效的攻击方式,同时还将所有的信息存储起来供以后使用。 对于安全软件来说,这种独具创意的漏洞利用工具包几乎是无法被察觉的,而且其 2.0 的版本中还加入了动态的 URL 生成器,使原本针对静态 URL 进行检查的病毒鉴定方式失去意义。而豪华版的“Blackhole”漏洞利用工具包能够检测和攻击最新的漏洞,任何没有马上打补丁的系统都
7、将遭殃。由于基本上很少有用户能够做到在漏洞出现后马上打补丁,这意味着每一个用户都会受到该软件的威胁。而作为设计此类工具的开发者,这是一个极其有利可图的生意。 850 万台危险的电脑 攻击最新已知漏洞的“Blackhole”在利用 Java 的安全漏洞上获得了巨大的成功,2013 年 1 月,Java 出现了一个新的安全漏洞,其开发商4Oracle 公司用了 5 天的时间准备补丁。在这 5 天中, “Blackhole”漏洞利用工具可以通过该漏洞接管安装 Java 的电脑。 Java 是非常受犯罪分子喜欢的一个软件,因为它安装在世界各地约850 万台的电脑上,而其中许多用户并没有更新 Java
8、程序的习惯。如果我们的电脑也安装了 Java,那么可以打开“控制面板|程序|Java” ,在Java 控制面板上切换到“更新”选项卡,单击“更新”按钮手动检查更新。如果希望彻底地避免 Java 为自己带来麻烦,则可以通过“控制面板|卸载程序”将 Java 卸载。 如果不幸系统已经被漏洞利用工具入侵,那么系统将被植入恶意软件,通常这会是一个类似 ZeuS 的木马。按照 G Data 安全实验室的专家Ralf 介绍,根据该公司的数据,Citadel 是最常见的 ZeuS 木马变种。目前,这个木马的开发者甚至设置了网上客户服务中心,犯罪分子可以向客户服务中心报告木马程序出现的错误,开发者将会对每一个
9、错误进行处理。除了技术支持服务以外,Citadel 的一揽子解决方案还包括一个工具,使用它可以建立和控制僵尸网络。它的成本是一次性支付 2 400 美元的费用,外加每月 125 美元的月租费。安全专家 Brain Krebs 发现,如果需要附加的功能,例如安装一个避免病毒扫描检测的模块并定期更新,则需要为每个模块支付额外的 395 美元并另加 15 美元的更新费用。 未来:自我控制的僵尸网络 Gameover 是 ZeuS 木马的另一个变种,这个木马已经发展出一种新的运行机制,它的僵尸网络不再由中央服务器控制,而采用分布广泛的 P2P结构。每一台僵尸网络中的电脑都同时具备控制服务器的功能,所有
10、的5电脑相互连接,分发更新程序和转发信息。因此,Gameover 的僵尸网络很难被关闭,在没有中央控制服务器的情况下,无法通过关闭服务器的手段阻止其继续产生危害。 ZeuS 木马的变种通常会利用击键记录器收集用户登录银行服务的信息,然而 Gameover 加入了新的方式,它尝试使用假冒的银行网站直接截取用户输入的账户。专家预测,这种 P2P 结构的僵尸网络未来将会有进一步的发展,G Data 安全实验室的专家 Ralf 认为,大约在 2014 年,银行木马就会发展到使用 Tor 网络等匿名服务进行数据传输,隐蔽性将进一步加强。 除了银行木马以外,另一个赚钱的恶意软件是敲诈勒索木马。类似BKA
11、和 GEMA 这样的敲诈木马通常会锁定用户的电脑,然后勒索金钱。它们大多提供匿名付款服务的账户,要求支付 50100 欧元赎回电脑的控制权,并威胁如果不在 24h 之内付钱就删除系统中的所有数据。从技术上讲,这种木马有两种变种,其特征可以在技术上加以区别:称为Reveton 的变种能完全阻止用户访问桌面;称为 Ransomcrypt 的变种则会加密个人文件,甚至加密所有数据,访问这些数据的用户需要向其付费索要密码,如果用户自行猜测并输入密码,那么当输入 5 次不正确的密码后,该木马将会把自己删除而让数据无法再次解密或者干脆直接锁定系统。 保护自己免受银行木马和敲诈木马的危害,最佳的方法是安装足
12、够强大的安全套件,例如 Kaspersky Pure。安全套件通常提供阻止访问传播病毒的网站和打开可疑邮件附件的功能,可以防止电脑受到感染。如6果系统仍然被感染,那么安全套件创建的恢复光盘能够启动电脑并扫描和清理系统。对于一些特殊的超级病毒来说,许多反病毒厂商还提供专门的工具,如 Kaspersky Windows Unlocker、Avira Ransom File Unlocker 等,这些工具可以帮助用户解锁被木马加密的文件或解锁操作系统。 移动设备与电视机:黑客游乐场 犯罪分子已经开始攻击运行 Android 系统的设备,并尝试通过其他接入互联网的设备窥探用户。 移动设备(主要是智能手
13、机)的第一批病毒大部分传播的范围比较窄,但是它们的后续版本已经开始产生比较大的威胁了。这些木马软件通常藏身于第三方的应用程序商店,类似的病毒 2012 年曾经入侵过 Mac电脑,根据 F-Secure 的统计,约 60 万台 Mac 电脑受到这种垃圾邮件木马的感染。该木马利用一个 Java 中的漏洞成功感染 Mac 电脑,虽然当时开发商已经提供了该漏洞的补丁,但是苹果公司并没有及时发布更新。 除了移动设备之外,犯罪分子对其他接入互联网的设备,如电视机、DVD 播放机和机顶盒也同样感兴趣。由于这些设备通常都连接在家庭网络中,恶意软件可以在感染用户的电脑后,再从该电脑渗透到各种终端设备中。通常,恶
14、意软件将在这些设备上打开网络端口,设置一个简单的密码或者根本不设置保护措施,以便随时可以对设备进行访问和控制。2012 年,第一个攻击此类设备的恶意软件 LightAidra 感染了机顶盒、IPTV 设备和路由器上运行的 Linux 系统。 黑客窥探下的客厅 7安全研究人员发现,三星和索尼的智能电视机有可能被恶意软件破坏,这两种电视机都可以通过电脑远程操纵,使其无法正常使用,或者不断地重新启动。攻击三星智能电视的恶意软件主要通过数据包攻击设备的网络端口,而攻击索尼 Bravia 电视则是采用一长串的 MAC 地址,使设备内存产生缓冲区溢出。根据安全专家 Gabriel Menezes Nune
15、s 的介绍,在这个字符串中,甚至可以嵌入准备在设备上运行的恶意代码。2012 年 12 月,ReVuln 安全公司还发现了另一个三星智能电视中的安全漏洞,通过该漏洞,攻击者可以读取用户观看的节目以及访问连接到 USB端口上的数据存储设备。 由于黑客目前能够在电视机上获得的实际利益有限,因而针对电视机的攻击更多的只是一种尝试。但是正如 G Data 安全实验室的负责人Ralf 所担心的,智能电视机大部分安装了摄像头和麦克风,虽然它们都可以通过软件关闭,但却无法物理性地断开,黑客完全可以通过恶意软件激活麦克风和摄像头,以窥探用户的客厅。 行业:数字化战争 专业开发的恶意软件攻击各种经济团体和政治机
16、构,同时政府机构也利用恶意软件监视和搜寻目标人物,这些恶意软件非常专业,很难被发现。 最危险的病毒并不攻击个人电脑,它们会攻击与能源相关的机构、扰乱银行的网络业务、入侵各种政府机构,例如卡巴斯基 2013 年 1 月发现的“Red October”病毒,它专门攻击世界各地的外交机构、科研院所和政府机构,收集各种信息。该病毒的攻击者发送有针对性的钓鱼邮件,8例如给外交机构发送关于外交车辆信息的邮件,然后通过 Word 和 Excel中的安全漏洞在攻击目标的电脑上安装恶意软件。根据卡巴斯基全球研究和分析团队负责人 Magnus Kalkuhl 的介绍,这并不是一个新病毒,早在 2007 年,该病毒
17、就已经开始攻击各种相关的机构了。 该恶意软件有约 30 种不同类型的模块,除了捕获密码、从邮件服务器复制邮件、记录击键动作、感染连接电脑的手机和 USB 设备以外,该软件甚至还有一个加密模块,能够从加密的文件中读取数据,其中包括北大西洋公约组织保护秘密数据的加密工具“Acid Cryptofiles”。除此之外,该软件还设置有恢复机制,能够自动地通过电子邮件附件等方式尝试再次感染被修复的系统,因而,在清除病毒之后很有可能被再次感染。根据 Magnus Kalkuhl 的介绍,开发这个恶意软件的人或者组织,其主要目的是获取经济利益,这些人大多来自讲俄语的地区,但针对Office 程序漏洞的攻击代码大部分来自中国的黑客。 反击西方银行 这种有针对性的攻击,通常与黑客组织、经济团体或者政治机构有关。著名的恶意软件“Flame”就是如此。据说,在过去一年中,美国情报机构一直通过该软件收集中东一些机构的信息。随后不久,目标地区的黑客组织开始反击,一个据说可能与伊朗政府有关的伊朗黑客组织开始对西方的银行发起攻击,特别是针对美国的银行。他们通过分布式拒绝服务攻击(DDoS)的方式,对银行网站发起大量的访问请求,直到银行的服务器无法承受负荷而崩溃。2013 年年初,类似的大规模攻击已经使银行不得不向美国国家安全局寻求帮助。而在这种攻击中,最终付出9代价的其实是银行的用户。
