驚現(xiàn)首個針對安卓系統(tǒng)的網(wǎng)銀木馬

近日，卡巴斯基實驗室發(fā)布三月網(wǎng)絡(luò)威脅報告，報告中總結(jié)了熱點網(wǎng)絡(luò)威脅事件和惡意程序，其中一款獨特的無文件僵尸程序和首個針對安卓系統(tǒng)的網(wǎng)銀木馬引人注目。

獨特的無文件僵尸程序

卡巴斯基實驗室的安全專家檢測到一種特殊的惡意攻擊，這種惡意攻擊使用的惡意軟件不會在受感染系統(tǒng)上創(chuàng)建任何文件。卡巴斯基實驗室經(jīng)過調(diào)查發(fā)現(xiàn)，一些俄羅斯新聞網(wǎng)站在頁面上使用的AdFox標題系統(tǒng)會感染訪問用戶，而網(wǎng)站并不知情。當用戶載入相關(guān)頁面時，瀏覽器會偷偷將用戶重定向到一個包含Java漏洞利用程序的惡意網(wǎng)站。卡巴斯基實驗室首席安全專家Alexander Gostev解釋說：“近幾年來，我們首次遇到這種罕見的 “無文件”惡意軟件。該惡意軟件只會在受感染計算機的RAM（內(nèi)存）中進行操作，使得反病毒解決方案很難將其檢測出來。雖然這次發(fā)現(xiàn)的攻擊事件僅僅針對俄羅斯用戶，但是利用同樣的漏洞利用程序和無文件僵尸程序，很容易就可以對世界其他地區(qū)的用戶發(fā)動攻擊。因為該惡意程序同樣可以利用類似的廣告或標題網(wǎng)絡(luò)在其他國家進行傳播。”

Duqu木馬仍在行動

卡巴斯基實驗室對Duqu木馬的調(diào)查已經(jīng)進入第六個月，2012年3月項目取得了新進展——該惡意軟件所使用的架構(gòu)代碼已被確認。這次發(fā)現(xiàn)得到了眾多國際IT社區(qū)的幫助。期間，收到了幾百條建議和假設(shè)。最終確認，Duqu架構(gòu)是采用C語言編寫，并使用MSVC 2008以“/ O1”和“Ob1”選項編譯。同時，Duqu木馬的編寫者并沒有停止開發(fā)新的惡意軟件組件。今年3月，卡巴斯基實驗室發(fā)現(xiàn)一種最新的驅(qū)動，同之前Duqu早期使用的驅(qū)動幾乎相同。之前使用的驅(qū)動分別于2010年12月3日和2011年10月17日創(chuàng)建，而最新的驅(qū)動創(chuàng)建日期是2012年3月23日。看來，Duqu木馬的編寫者在休整4個月后，又開始進行惡意軟件的開發(fā)工作了。

打擊網(wǎng)絡(luò)犯罪

卡巴斯基實驗室攜手CrowdStrike Intelligence Team、Dell SecureWorks 和Honeynet Project，進行了一次大規(guī)模清剿行動，成功關(guān)閉了第二個Hlux/Kelihos僵尸網(wǎng)絡(luò)。安全研究人員將該僵尸網(wǎng)絡(luò)命名為Kelihos B，因為該僵尸網(wǎng)絡(luò)是采用之前的僵尸程序A的變種組建的。安全人員在僵尸網(wǎng)絡(luò)中引入了一個sinhole路由器，從僵尸網(wǎng)絡(luò)運營者手中接手了這些被感染計算機的控制權(quán)，從而停止其繼續(xù)進行操作。

Google瀏覽器用戶同樣需要增強安全警惕！3月初，卡巴斯基實驗室的安全專家發(fā)現(xiàn)了另一款針對Google Chrome的惡意擴展。這次，其攻擊目標是巴西的Facebook用戶。而且，網(wǎng)絡(luò)罪犯完全可以利用相同的攻擊手段，對其他國家和地區(qū)的用戶發(fā)起攻擊。惡意擴展會通過Facebook鏈接進行傳播，并且偽裝成合法的應(yīng)用鏈接。如果用戶選擇安裝這一惡意應(yīng)用，會被重定向到Google Chrome的官方在線商店。該惡意軟件會偽裝成“Adobe Flash Player”。惡意擴展被安裝到計算機上后，會獲取受害用戶的Facebook賬號權(quán)限。Google得知這一情況后，刪除了該惡意擴展。但是，網(wǎng)絡(luò)罪犯已經(jīng)創(chuàng)建了類似的惡意擴展，并且同樣將其放在了Google Chrome 在線商店中。

Mac OS威脅

Mac OS系統(tǒng)上出現(xiàn)了前所未有的惡意軟件行為。其中最值得關(guān)注的攻擊案例中，網(wǎng)絡(luò)黑客會發(fā)送大量垃圾郵件。這些垃圾郵件包含Java漏洞利用程序鏈接，能夠在用戶計算機上安裝惡意程序。如果用戶使用的是Mac OS計算機，則安裝Backdoor.OSX.Lasyr.a后門程序。如果使用的是Windows計算機，則安裝Trojan.Win32.Inject.djgs木馬。漏洞利用程序會將惡意程序Backdoor.OSX.MaControl.a安裝到Mac OS X計算機上。同樣是在3月，Backdoor.OSX.Imuler惡意程序的新變種被檢測到。這些惡意程序會偽裝成安全的擴展名文件，從而便于傳播。3月份的攻擊中，網(wǎng)絡(luò)罪犯發(fā)送了大量垃圾郵件，其中包含偽裝成色情圖片的惡意文件。這些文件的擴展名為.JPG。此外，3月份，網(wǎng)絡(luò)罪犯首次利用Twitter充當惡意程序的命令控制服務(wù)器。為了傳播惡意程序，網(wǎng)絡(luò)罪犯使用了200，000多個被攻陷的WordPress博客。

移動惡意威脅

移動威脅又新添了一種全新的針對安卓系統(tǒng)的網(wǎng)銀木馬。之前，已經(jīng)有木馬能夠竊取移動交易授權(quán)碼（mTAN），這種碼是銀行通過短信發(fā)送給客戶手機的驗證碼。3月中旬，一款最新的惡意軟件被發(fā)現(xiàn)。該惡意軟件不僅能夠竊取包含mTAN的短信信息，還能夠竊取用戶在線銀行的登錄信息（登錄名和密碼）。而卡巴斯基近期剛剛發(fā)布的安卓版卡巴斯基手機安全軟件，將幫助用戶攔截該木馬，并保護手機用戶免受各種威脅。