Eileen Shen
在新的 2009 年初始,惡意程式即便大行其道! 賽門鐵克安全機制應變中心從跨年假期前後就觀察到不少惡意攻擊手法,尤其是美國準總統歐巴馬即將於美國時間 1 月 20 日宣誓就職,這股歐巴馬旋風也成了駭客利用之道。此外,一隻名為 W32.Downadup 的蠕蟲不斷變種,統計截至上個禮拜為止,已有 300 萬個 IP 位置受到感染。以下即為本次病毒通報的摘要:
1) 歐巴馬不幹了?! 小心上當!
從美國總統大選開始,利用歐巴馬話題來誘使使用者上當的手法即是屢見不鮮,不管是前陣子攻佔各大媒體版面的「第一寵物」話題,或是歐巴馬的生平事蹟都是垃圾郵件作者用來「釣」收件人上鉤的工具。然而,歐巴馬將於 1 月 20 日 (台灣時間 1 月 21 日) 宣誓就職,心懷不軌的惡意程式散播者當然也不會錯過這大好機會。賽門鐵克安全威脅情報團隊即發現了一系列歐巴馬上任為垃圾郵件主題,並以聳動的標題與內文誘使收件人點選,像是「歐巴馬已過世」(Our new president has gone) 或是「歐巴馬拒絕上任」(Barack Obama refused to be the president of the United States of America) 等手法。同時,信中會附上連結,將使用者導至釣魚網頁。
這冒牌網頁和「正港」的競選活動網頁幾可亂真,當使用者進入網站之後,就會利用瀏覽器弱點,自動下載惡意程式植入至使用者電腦之中。同時,這惡意網站上的超連結幾乎都含有惡意內容,並以歐巴馬上任相關關鍵字作為檔名的檔案,如 usa.exe 、 obamanew.exe 、 pdf.exe 、 statement.exe 、 barackblog.exe 與 barackspeech.exe 等誘使用戶下載。
賽門鐵克目前已偵測到這項惡意軟體,並命名其為 W32.waledac 。此惡意程式具有蒐集機密資料的能力、並能將受害者電腦轉為垃圾郵件散佈僵屍 (spam zombie),同時在受害者電腦建立後門程式供駭客遠端遙控。事實上,這隻惡意程式和日前不久聖誕節相關攻擊花招是如出一轍,這也再次映證了攻擊者利用當下熱門時事外加聳動標題來引誘使用者上鉤的習性。尤其是政治議題,因其關心者眾,自然而然也就成了駭客喜愛利用的目標。賽門鐵克在此提醒使用者在使用網路時務必小心,不要任意點選郵件內來路不明的連結,並要定時更新修補程式。
2) 蟲蟲危機 企業用戶記得要更新修補程式
賽門鐵克安全機制應變中心近來偵測到一隻名為 W32.Downadup 的蠕蟲,其為賽門鐵克近年來發現蠕蟲變種數量較多的其中一例。該蠕蟲會針對未更新修補程式的 Windows XP SP2 與 Windows 2003 SP1 企業用戶進行攻擊。傳播途徑為利用 USB 隨身硬碟以及存取弱密碼 (weak password) 。
由於大部分一般消費者的電腦會自動更新修補程式,因此家用電腦受感染的案例比例較小。截至目前為止,賽門鐵克觀察到超過 300 萬個不同 IP 位址受到感染,而大部份受感染的區域位於東亞與南美洲,以中國和阿根廷影響最深。這隻蠕蟲內的自訂演算法 (Custom algorithms),每天會產生 250 個網域名稱。而比較其變種家族的散布程度,W32.Downadup.B 散佈的層級比 W32.Downadup.A 還要廣。
針對 MS08-067 漏洞攻擊的蠕蟲,除了 Symantec Endpoint Protection 可以偵測及移除病毒外,賽門鐵克另外也提供了一個獨立的程式,可以移除這隻蠕蟲的感染。
下載網址為 http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99
賽門鐵克討論區提供了最即時的 Downadup 蠕蟲的情報,詳情請參照: https://forums.symantec.com/t5/Malicious-Code/W32-Downadup-A-and-W32-Downadup-B-Statistics/ba-p/379940#A226 。賽門鐵克將持續關注這隻蠕蟲家族的變化情形並分析撰寫者的攻擊目的為何。