<非常好的团体奖>:复合式病毒
得奖理由:双头蛇,够毒竦
2005年第一季有两次病毒爆发事件,属于「复合毒」型态,包含「蠕虫与蠕虫」与「蠕虫与木马」(如:WORM_BAGLE.BE)的一毒双煞结合体。第一季在亚洲与美国引发病毒爆发疫情的TROJ_BAGLE.BE木马会自数个网站下载 WORM_BAGLE.B蠕虫,而WORM_BAGLE.B蠕虫则会透过 eMail附件夹带木马TROJ_BAGLE.BE,两者的共生关系,使得病毒的攻击力道更加强劲。
趋势科技资深安全专家齐军表示:“一旦 Bot 傀儡虫利用复合毒的攻击方式潜入网络,相对于安全警戒线就得拉高,因为这些利用漏洞计算机进行网络滋生的蠕虫,也会随意开启连接埠让黑客得以远程访问,并为所欲为地执行恶意程序进而对所属网络造成难以弥补的安全危机。它们可以瞬间滋生难以数计的变种,并窃取机密资料、终止安全程序、发动阻断攻击等等。”
第三季出现的 WORM_BAGLE.DA 则有更进一步的发展,它使用两个特洛伊木马程序组件。WORM_BAGLE.DA 会寄发大量邮件散播 TROJ_BAGLE.DA。顺着这个思考逻辑,这个特洛伊木马程序组件应该会下载蠕虫的复本,但是它并没有这样做,而是下载另一个特洛伊木马程序 TROJ_DLOADER.ACT。最后再由这个特洛伊木马程序来下载蠕虫。从此之后,MYTOB 变种也依样画葫芦采用复合式循环攻击的策略:蠕虫WORM_MYTOB.KM 搭配木马 TROJ_DROPPER.LV 进行攻击。
其它复合式攻击事件:
手机病毒:如前述<手机病毒与计算机病毒行为越来越雷同> SYMBOS_SKULLS.N会安装其它 3 个手机病毒:SYMBOS_SKULLS.I, SYMBOS_CABIR.A, 和 SYMBOS_BOOTTON.A。
IM病毒:透过MSN 散播的IM 蠕虫 WORM_KELVIR.B 和 WORM_BROPIA.F 各夹带一个 bot worm傀儡虫影响系统,并以已知漏洞持续蔓延。
<非常好的创意奖>:声音键盘侧录法
得奖理由:先声夺人
你走进办公室,坐下来,然后打开计算机,当然你必须输入登入信息才能开始操作。但是,请等一下!当你输入信息时,确定没有人在偷看吗?因此你会看看四周是否无人。然后你就开始输入登入信息... 嗯... 密码.... ********* 难道「偷窥」才是取得别人密码的唯一方式吗?当然不是。还有许多方式,其中一种就是加州大学研究人员所发表的报告中所讨论到的。根据这些研究人员的说法,只需要在某人打字时加以记录,就能取得输入的资料。这种方式的概念是,按下不同按键时似乎会产生不同的声音,而这些声音能转换为一串字母或文字。这样就能取得资料了.. 这就是利用音频进行键盘侧录 。
其它”黑”人听闻神偷事件:
11月:利用复制粘贴功能偷机密-偷取账号密码不一定要网络钓鱼( Phishing)的假页面或是网域嫁接(Pharming)利用木马程序的偷天换日,现在连「复制」、「粘贴」这两个简单的动作,都有可能导致私密资料的外流。每一种便利的功能背后都可能隐藏着许多风险。Microsoft Internet Explorer 5 (及更新的版本) 浏览器推出之后不断进行功能改进以支持更多的功能,让使用者能更便利地使用指令码处理功能。其中包括从剪贴簿中截取URL 或纯文字格式内容的功能。
执行这些功能的 JS 函式分别是 clipboardData.getData(''URL'') 与 clipboardData.getData(''Text'')。 虽然这项功能是由 Microsoft 为了方便编辑而开发的,然而它也可能遭到恶意网站利用,从你的系统中窃取机密资料。位于加拿大的Friendly Canadian Search Engine 公布了针对网站如何撷取粘贴簿中的资料制作了示范文件,只要做简单的CTRL+C 动作,你就可以惊讶地发现你刚刚复制的资料居然出现在其它网站,包含你刚刚用复制贴入的网络银行密码、身份证、信用卡资料。一个小小的建议.,当你在网络上浏览时,请手动输入密码与使用者账户信息,避免用剪贴的方式。虽然这样作会多花你几秒钟,但是却能让你更安全。
<非常好的表情符号奖>: IM 病毒
得奖理由:即时Click,即时中毒,即时目瞪口呆
2001年首个 IM 病毒WORM_MENGER.A 浮出台面后,并没有立即取代邮件 病毒的锋芒,直到今年第一季WORM_BROPIA.F、 WORM_FATSO.A、WORM_KELVIR.B 等3个 MSN 病毒在2月及3月相继引爆后,IM 病毒已成为新的安全威胁焦点。
4年来只有一个IM 蠕虫的危害程度到达发动病毒警戒的标准, 若就第一季度激活病毒爆发的次数来看,IM 蠕虫可说是第一季度以聊天软件为媒介,而引发高度关注的”话题”病毒。第一季的6个病毒警报中,有3个是经由 IM 衍生,并有两个IM 蠕虫中有bot傀儡虫寄生其中,以潜入受害系统 。
趋势科技李晶表示:防毒软件可以删除恶性程序,却无法做到控制人们的线上行为。去年许多造成疫情的 email 病毒,靠着吸引人的信件标题,就让粗心人们亲手 click 激活病毒程序,而达到危害系统的目的。比 eMail更亲密、更互动的聊天软件,不但缩短了人们之间的距离,也大幅缩短了病毒攻占系统的时间。IM 蠕虫充分利用了人们好奇心、友谊或信赖感,仅凭网址链接和吸引人的文件名,就能使平常朗朗上口的防毒常识,比如「不开启不明文件」、「不点选网址链接」..等等,全都在相谈甚欢时,得了暂时性失忆症。
IM 蠕虫相继涌出,极有可能是恶性程序原始码被公开导致,根据趋势科技网络安全研究中心协理Joe Hartmann指出 “这些在地下组织散播的原始码外露将会导致更多的病毒危害 IM 用户,甚至不排除发展出高风险的变种。
另外,通过MSN 散播的IM 蠕虫 WORM_KELVIR.B 和 WORM_BROPIA.F 各夹带一个 bot worm傀儡虫影响系统,并以已知漏洞持续蔓延
IM 病毒创新攻击事件:
3月- WEB Came 当起狗仔偷拍!!
3月上旬出现的病毒WORM_RBOT.ASH ,一旦它在受害计算机中植入后门程序,就会截取网络摄影机影像,回传给黑客。这种监控行为的潜在危险,包括小偷因此知道家中菲佣何时外出买菜,可以闯空门;狗仔队可把话题人物的睡姿公布网络等等。趋势科技表示,「这种利用病毒偷窥隐私的行径,都是在背景执行,一般使用者很难察觉。再加上网络摄影机型号的不同,当病毒激活摄影功能时,不见得会出现音效或灯号,更何况有些病毒,还会刻意关闭声卡,以免窗口设定的音效让其形迹败露。令人忧心的是,现在新款的笔记型计算机,内建的WebCam 可随时激活,病毒可能在你一开机时,就"随侍在侧"了。」
7月-有人需要 iTunes 吗?
请留意过多联想所产生的诱惑。这个程序与 Apple Computer, Inc.毫无关联,而且也不是媒体播放程序。WORM_OPANKI.Y 和其它 OPANKI 变种一样都是透过实时传讯程序来散播。这个变种的散播媒介是 AOL Instant Messenger (AIM),它会传送信息表示「this picture never gets old.」(这张图片永远不会过时。) 而信息中的 URL 会下载 ITUNES.EXE。WORM_OPANKI.Y 执行之后会下载数个广告程序到受感染的系统中。令人纳闷的是它的攻击模式在逻辑上并未有任何突破。它先挑起人们好奇心去看一张「永远不会过时的图片」,然后当使用者按下信息时则会下载一个名为 ITUNES.EXE 的文件。难道这张图片就是媒体播放程序吗?尽管如此,警觉性不高的 IM联系人加上 IPod 的高人气就足以构成一个具有新闻价值的社交工程圈。
