六.病毒与Rootkits同流合污
危险程度: 高
可能性: 中等
目标: Windows用户
Rootkits是恶意软件开发者梦寐以求的东西:它们允许蠕虫,bot和其它恶意软件隐藏其中而不被发现。这些文件都不会显示在Windows Explorer中,而进程也不会显示在任务管理器,可怕的是,目前很多杀毒软件都不能查到藏在Rootkit中的恶意软件。这也就是恶意软件作者对其如此情有独钟的原因。
读者比较熟悉的可能就是去年11月闹的沸沸扬扬的Sony防拷贝Rootkit事件。攻击者很快就利用Sony Rootkit来隐藏他们的恶意软件。Sony的软件能够隐藏所有以“$sys$”开头的文件或进程。所以恶意软件作者也相应的把他们的文件改名。
在三月,西班牙杀毒软件厂商Panda Software表示,发现了带有Rootkit功能的Bagle蠕虫变体。更糟的是,与botnet情况相似,Rootkit作者也在出售工具或者甚至免费提供,这无疑助长了带有Rootkit功能恶意软件的泛滥。
尽管攻击者现在基本都是为恶意软件合成Rootkit功能,但不排除会有新的攻击方式。例如,安全机构eEye就已经发现了攻击者和有可能会把文件隐藏在硬盘的启动扇区中。此外,在一月,Next-Generation Security Software的安全顾问John Heasman就宣布,通过BIOS的高级配置与电源接口(ACPI)功能,Rootkit可以把恶意代码隐藏到电脑的BIOS之中。
一个由微软与密歇根州研究人员进行的项目揭开了Rootkit研究的密码。他们设计了一种方法,首先把操作系统“撬起来”跟着把一个称为SubVirt的软件放到底层运行。对于目前所有的操作系统来说,它都能正常运行,并且这个“虚拟机”彻底控制了OS所能及的东西,还能非常简单的实现自我隐藏。
幸运的是,这种技术实现起来很有难度,并且一旦运行的状况会很明显-系统会变得非常缓慢并且某些文件名会被修改。现在来说,这样的Rootkit还处于试验阶段,以概念验证代码的方式存在;离攻击者能利用的阶段还为时尚早。
高风险的捉迷藏
找出现今相对没那么危险的Rootkit对于安全软件厂商来说是一项极大的挑战。
检测Windows电脑上的Rootkit就像是在漆黑的房间中用手电筒照某个物体,并通过物体在墙上的投影来识别各个物体。如F-Secure的BlackLight和Sysinternal的RootkitRevealer这些专业软件,它们根据Rootkit具有的不规则特性来扫描Windows文件系统和内存。
但是这些软件并不是在每种情况下都适用。例如最近,广告软件Look2Me通过禁用一个关键的系统调用而把BlackLight废掉了。这个发现虽然出于偶然,但是Rootkit作者无疑会高度关注这件事,并且会在下一版的恶意软件中加以利用。
Rootkit隐藏病毒
工作原理:隐藏的恶意软件在PC上安营扎寨
1. 带有木马的Rootkit通过被下载而入侵电脑
2. 恶意软件对系统作出深层的改动以躲过杀毒软件
3. 木马在系统上种植木马和间谍软件
防御措施
1. 安装具有Rootkit查杀功能的杀毒软件。卡巴斯基和F-Secure最新版的杀毒软件已经提供这样的功能,而其它杀毒软件应该也会很快增加这功能。
2. 安装如F-Secure的BlackLight和Sysinternal的RootkitRevealer的Rootkit检测工具,它们都是免费提供下载的。其它扫描器也会逐渐可用;读者可以到这里获得更多信息。
七.病毒拜访你的手机
危险程度: 中等
可能性: 低(美国),中等(欧洲,亚洲)
目标:手机及智能电话用户
似乎开发针对PC的病毒还不满足,攻击者现在把目标转移到手机上面来了。与PC病毒一样,部分手机病毒通过造成系统崩溃和破坏其操作系统的方式肆虐。其它比较无聊的病毒只是会改变程序图标或者令到设备更难使用而已。
当然,部分病毒完全是冲着钱而来的。一个感染俄国用户手机的木马会发送文本信息到某个收费服务。
允许?不允许?
目前来说,这些病毒在美国还不是什么大问题,但是在欧洲和亚洲已造成极大的威胁。
像现实世界的很多生物战剂一样,手机病毒也需要彼此物理靠近才能传染到其它手机上。蓝牙功能是最通常的感染方式。例如,Mabir病毒就是通过SMS短信传播的。
大部分的手机病毒都是针对Symbian操作系统,只有很少一部分是针对Windows Mobile和基于Java的手机。手机病毒持续增长,截至到2006年5月15日,已经发现了有211种变体,比2005年底的数字增加了156。
防御措施
1. 禁用手机或PDA上的“打开”蓝牙功能,以断绝这种最普通的感染方式。
2. 密切留意电话帐单,看看有没有不明的收费项目。
3. 安装移动版杀毒软件。F-Secure,卡巴斯基,McAfee和趋势都有相应移动版的产品。
危险程度: 中等
可能性: 低
目标: 广大消费者
护照,剃须刀或者宠物猫有可能携带计算机病毒吗?听来好像很方缪,但最近荷兰研究人员的发现证实了这种可能性。
RFID(射频识别)芯片非常的小,成本也不高。它可以嵌入到标贴或宠物ID标签当中,并且,它们很快就会用于驾照和美国护照上面,以用于短距离传输电子信息。
虽然这种传输数据的方法很成功,但是部分RFID技术的实际实现存在安全隐患。例如,在某些标签上的信息可以被重写,并且其它标签可以在超于正常距离外被读取。
为了利用这些隐患,荷兰大学的研究人员进行了备受争议的概念验证研究,他们通过修改过的RFID和类似病毒的命令来“感染”存储标签记录的后台数据库。理论上,通过这种方法可以造成RFID系统崩溃或运行恶意代码。
很多安全专家都指出,通过在RFID阅读器和数据库间集成有效中间件合理构建的系统,对这些攻击起到一定的防御作用。并且,敏感的RFID芯片可以通过加密和屏蔽外壳来拒绝获得未经要求的恶意有效载荷。计划实施的美国护照就会结合使用这两种方法。
这次研究又一次说明了这样一个基本观点:几乎任何系统都有漏洞。那么,要小心身边的猫了。
防御措施
1. RFID信号不能穿透金属和金属边的箱子。如果带有RFID安全护照,那么请把它们放到金属的名片盒子或其它类似的金属物中。
九.利用个人信息进行敲诈
危险等级: 中等
可能性: 低
目标: Windows用户
这种攻击虽然很少见,但是在全球都有发生。
Cryzip是一个敲诈用软件,它能够搜索到硬盘上44中不同类型(如微软的Word和Excel)的文件,并把它们压缩成一个带密码保护的Zip文件。跟着它通知受害人,要求把300美元存到从99个e-gold(简称EG,被称为网络时代的货币,基于网上支付平台,国际上越来越多的公司和商店接受e-gold的支付方式)账户中随机选择的一个账户中。一旦受害人支付了,罪犯就会提供相应的密码。
目前来说,这些敲诈软件还不是很先进,并且攻击范围有限。但是,这还处于威胁的初期,一旦罪犯技术成熟后,更大的威胁也随之而来。
工作原理:敲诈,恶意软件风范
1. 用户胡里胡涂的访问了某个恶意网站,跟着敲诈木马软件潜入PC。
2. 敲诈软件把整个“我的文档”压缩成一个带密码保护的文件。
3. 用户收到勒索金钱的信息,或者要求购买某在线商店的物品,以作为要回密码的报酬。
防御措施
1. 如果你不幸成为受害者,那就去报警。不要支付金钱,并且不要访问任何勒索信息中提供的连接。
2. 记下勒索信息中的细节,并关闭受感染的电脑。启动另外一台没被感染的电脑,通过刚才记录的细节信息在网上搜索,很可能可以找到相应的密码。
3. 试一下使用能恢复误删文件的程序以恢复丢失的文件。然而,某些文件是完全不能恢复的。
·安全标识与警示标识标签图例与标准·XP瘦身、加速、安全全攻略·安全也简单,注意系统的“区域和语言”·工业安全标签标识与OSHA·TCP/IP各层的安全性和提高各层安全性的·TCP/IP各层的安全性和提高各层安全性的·TCP/IP各层的安全性和提高各层安全性的·安全-包过滤控制访问列表·FTP的安全问题 《转》·宽带帐号安全威胁及防范方法
危险程度: 高
可能性: 低
目标: Windows,Mac,Linux用户
面对Windows用户遭受的无尽攻击,Mac和Linux用户可能暗自得意。但是,这些一度认为是安全天堂的系统,现在越来越有必要处理它们自己的问题了。
随着恶意的人开始关注一份报告指出的OS X的70个安全漏洞,Mac也被攻击中。在二月,第一个恶意软件就利用了其中的一个隐患攻击了OS X Tiger:它就是所谓的Oompa-loompa即时通讯蠕虫。IE用户已经习惯了某个IE的bug会导致“远程代码执行”的警告,而现在Mac用户也要提高警惕了。
Apple最近发布的三个安全补丁就是修复了其Safari浏览器的安全漏洞。
针对Linux的蠕虫也不少。针对Linux系统的恶意程序在2004年到2005年间翻了一倍。
最新的隐忧是跨平台病毒的出现:单个程序就可以感染两个或多个类型的系统。
在4月就出先了能同时攻击Windows和Linux的概念验证病毒。这个病毒由杀毒软件厂商卡巴斯基开发,但是它不会造成破坏。它的名称有Virus.Linux.Bi.a和Virus.Win32.Bi.a,只能感染一种Linux文件格式(ELF)和一种Windows文件格式(PE)。并且它是基于旧的Linux单元,这些单元在新的系统中已经不再使用。不过这也足以促使Linux之父Linus Torvalds开发相应的补丁了。
Windows的广泛使用也意味着恶意软件的伤害范围同样广泛。但是其它系统的流行,也逐渐变成攻击者的目标。
OS漏洞一览
以下列出的安全公告显示,微软并不是唯一一个遭受隐患困扰的公司,但是Apple看起开推出补丁的速度更为迅速。
系统补丁一览
防御措施
1. 考虑安装Mac版或Linux版的杀毒软件,Panda,McAfee和赛门铁克都有对应系统版本的产品。
2. 无论用户的是什么系统,保证系统打好补丁,并且确认补丁是最新的。