|
【台北訊】來自用戶電腦的惡意程式
第一個前20大排行中列出了本月份被偵測出的惡意威脅程式、廣告程式和潛在的未知程式。
|
Position
|
Change in position
|
Name
|
Number of infected computers
|
|
1
|
  0
|
Net-Worm.Win32.Kido.ir
|
265622
|
|
2
|
0
|
Net-Worm.Win32.Kido.iq
|
211101
|
|
3
|
 0
|
Net-Worm.Win32.Kido.ih
|
145364
|
|
4
|
0
|
Virus.Win32.Sality.aa
|
143166
|
|
5
|
0
|
Worm.Win32.FlyStudio.cu
|
101743
|
|
6
|
|
not-a-virus:AdWare.Win32.GamezTar.a
|
63898
|
|
7
|
 1
|
not-a-virus:AdWare.Win32.Boran.z
|
61156
|
|
8
|
1
|
Trojan-Downloader.Win32.VB.eql
|
61022
|
|
9
|
 1
|
Trojan-Downloader.WMA.GetCodec.s
|
56364
|
|
10
|
|
Trojan.Win32.Swizzor.c
|
54811
|
|
11
|
|
Trojan-GameThief.Win32.Magania.cpct
|
42676
|
|
12
|
3
|
Virus.Win32.Virut.ce
|
45127
|
|
13
|
3
|
Virus.Win32.Induc.a
|
37132
|
|
14
|
0
|
Trojan-Dropper.Win32.Flystud.yo
|
34638
|
|
15
|
 3
|
Packed.Win32.Krap.ag
|
31544
|
|
16
|
3
|
Packed.Win32.Black.a
|
31340
|
|
17
|
0
|
Worm.Win32.Mabezat.b
|
29804
|
|
18
|
2
|
Packed.Win32.Klone.bj
|
28814
|
|
19
|
7
|
Packed.Win32.Black.d
|
28560
|
|
20
|
 5
|
Worm.Win32.AutoRun.dui
|
28551
|
基本上來看,第一個前20大排行榜在12月中相當穩定,沒有太大變動。有三個新進榜的成員分別落再第六名、第十名與第十一名,將一些惡意程式擠出榜單之外。唯一例外的是Packed.Win32.Krap.ag,它在上個月中首次進入榜單,並再本月中上升了三個名次。Krap.ag如同其他Packed家族成員,是被偵測打包程式測得的包裝惡意程式,在這種情況下,成為流氓防毒軟體。這些惡意程式的數字略有增加,顯示出網路罪犯持續積極利用這些程式已轉虧為盈。
本月份第六名的GamezTar.a,是值得注意的一個新進榜成員。這個程式作為使用者的瀏覽器上能快速登入線上遊戲的工具列。當然,它也會帶來刺激性的廣告。此外,它會安裝若干獨立運行的應用程式工具列以干涉網路上的活動,無論是搜尋或者顯示的內容。EULA(End User License Agreement)www.gameztar.com/terms.do不包含所有的功能,但用戶的注意力通常會被集中在大型閃爍「點擊此處,獲得免費遊戲」的按鈕,而非注意「服務條款」底下的視窗。因此,在下載任何軟體之前,強烈建議用戶閱讀EULA(如果存在)。
第十名被Trojan.Win32.Swizzor.c拿下,身為同家族的Swizzor.b在2009年的8月首度出現在排行榜中,而Swizzor.a則可追溯回5月。經常變更密碼並不會阻止它們的成就,它們也定期創造新的變種。實際上,這個木馬的功能很簡單,就是不斷的從網際網路上下載其他的惡意文件。
第二個前20大排行榜所提供的數據來自網際網路的惡意程式,反映出網路的安全威脅。這個排名包括從網頁中下載到受害者電腦的惡意程式與惡意軟體。
網際網路上的惡意程式
第二個前20大排行榜所提供的數據來自於網際網路上的惡意程式,反映出網路的安全威脅,這個排名包含了從網頁中下載到受害者電腦的惡意程式和惡意軟體。
|
Position
|
Change in position
|
Name
|
Number of infected computers
|
|
1
|
 0
|
Trojan-Downloader.JS.Gumblar.x
|
445881
|
|
2
|
 1
|
Trojan.JS.Redirector.l
|
178902
|
|
3
|
|
not-a-virus:AdWare.Win32.GamezTar.a
|
165678
|
|
4
|
 2
|
Trojan-Downloader.HTML.IFrame.sz
|
134215
|
|
5
|
|
Trojan-Clicker.JS.Iframe.db
|
128093
|
|
6
|
2
|
not-a-virus:AdWare.Win32.Boran.z
|
109256
|
|
7
|
|
Trojan.JS.Iframe.ez
|
91737
|
|
8
|
|
Trojan.JS.Zapchast.bn
|
64756
|
|
9
|
|
Packed.JS.Agent.bn
|
60361
|
|
10
|
|
Packed.Win32.Krap.ai
|
43042
|
|
11
|
8
|
Packed.Win32.Krap.ag
|
41731
|
|
12
|
|
Exploit.JS.Pdfka.asd
|
36044
|
|
13
|
|
Trojan.JS.Agent.axe
|
35309
|
|
14
|
|
Trojan-Downloader.JS.Shadraem.a
|
35187
|
|
15
|
 Return
|
Trojan.JS.Popupper.f
|
33745
|
|
16
|
|
not-a-virus:AdWare.Win32.GamezTar.b
|
33266
|
|
17
|
|
Trojan-Downloader.JS.Twetti.a
|
30368
|
|
18
|
|
Trojan-Downloader.Win32.Lipler.iml
|
28634
|
|
19
|
|
Trojan-Downloader.JS.Kazmet.d
|
28374
|
|
20
|
|
Trojan.JS.Agent.axc
|
26198
|
第二個前20大排行榜比第一個排行榜有更多一些變化,11月榜單上的惡意程式,只留下四分之一還在排行榜中。一個惡意程式重新回到榜上;然而,其餘的程式都讓整個排行產生重大的變化。
Gumblar.x仍為榜上的領導者,但受到此感染的網站正在被網路管理員逐步清理中,本月份下載的人數只剩下大約11月份的四分之一。
Krap.ag同樣也出現在第一個前20大榜單中,並在本排行中上升了8個名次。企圖下載這個程式的數量較上個月增加了大約50%。略高於Krap.ag是同一個家族的Krap.ai,同樣也被偵測為一個經過打包的流氓防毒程式。
GamezTar.a同樣在第二個前20大排行榜中出現,這是個提供連結至線上遊戲的不起眼程式。此外,還有另一個經過修改的惡意程式GamezTar.b,進入了本月的榜單,排行第十六位。
排行第五位的是Trojan-Clicker.JS.Iframe.db,,一個典型的iframe下載器。
Trojan.JS.Iframe.ez、Trojan.JS.Zapchast.bn、Packed.JS.Agent.bn、Trojan.JS.Agent.axe、Trojan-Downloader.JS.Shadraem.a以及Trojan-Downloader.JS.Kazmet.d主要都是針對Adobe與微軟的漏洞所設計,以下載並執行這些文件。這些程式都擁有各自不同的複雜性與困擾。
排行第十七位的Trojan-Downloader.JS.Twetti.a是一個網路罪犯活動中,非常有趣的例子。許多已經受到這個惡意程式感染的網站,接下來很很值得去進一步觀察它如何作業。一旦解密,會發現沒有任何的連結是前往主要的可執行文件,也沒有任何的利用或者連結在它們身上。分析結果顯示,該script是利用一個同時包含網路罪犯與Twitter的受歡迎API(application programming interface)應用程式介面。
該木馬執行的方式如下:它會先建立一個API的請求,以導致數據會呈「trends」的方式呈現,當然這裡指的就是擁有最多討論話題的Twitter。從中返傳輸回來的數據接下來被用來建立一個明顯的網域名稱,這個網域名稱是由網路罪犯已經登記或曾經使用類似方法,完成建立重新導向至網域名稱。惡意程式(無論是利用PDF或可執行文件)最主要的目的在於取代舊的網域。換句話說,惡意連結與重新導向都是透過中介機構建立而建立,在這種狀況下正好指向Twitter。
應該被提出來探討的包括Packed.JS.Agent.bn與Trojan-Downloader.JS.Twetti.a,它們使用特製的PDF文件感染使用者的電腦,而該文件被偵測為Exploit.JS.Pdfka.asd,進入第二個前20大排行榜,排名第十二。因此,我們可以假設,12月份的惡意程式中至少有三個是由單獨一個網路罪犯團所為。同樣也是值得令人關注的是,TDSS、Sinowal與Zbot家族,都是一些目前存在網路中最危險的威脅,它們皆在可執行文件下載至受害者電腦,並攻擊驅動程式時被偵測出。
總體而言,趨勢仍維持不變。攻擊手法越來越複雜、也越來越難以分析。它們的目的,在絕大部分的狀況下,都是以賺錢為主。虛擬的威脅不再純粹只是虛擬,它們可以造成實質上的損害,這也是為什麼必須確保你的電腦和資料受到完善保護的最大原因。
|
