小心「傷寒」惡意程式

加拿大卡加利大學電腦安全研究員發展出一種不用誘使用者電腦安裝廣告軟體，就能散佈的新方法。

包括副教授 John Aycock 與 Mea Wang，以及研究所學生 Daniel Medeiros Nunes de Castro 與 Eric Lin 的研究團隊，稱呼這種攻擊為「傷寒式廣告軟體」，因為它像傳染病一樣，可由一台電腦感染同一無線或有線網路中的其他電腦。

「廣告軟體不僅擾人，且會散佈對電腦有害的流氓防毒軟體，因此廣告某種程度只是冰山一角，」Aycock 在聲明稿中指出。

這種攻擊最特別的一點是，如同「傷寒瑪莉」一樣，受害電腦本身並不知自己的「帶原」角色，而將廣告軟體傳染給同一網路其他電腦。有趣的是，受感染的電腦也無法察覺任何惡意軟體，以為這只是普通、無害的廣告軟體。

「我們已發展出三種概念驗證廣告軟體，在有線及無線網路上測試，並將廣告插入 HTML 或串流影片中。同樣作法也能擴及其他類型的網路及應用。」研究人員表示。

該攻擊運用網解析協定 (Address Resolution Protocol, ARP) 欺騙技巧，使連網電腦以為受感染的電腦是網路閘道器，而非路由器。然而就可以進行中間人 (man-in-the-middle) 攻擊。

研究人員展示他們可以覆寫 HTML 以便在授權廣告中插入未獲授權的廣告，並且改寫網頁文字。這種技倆和插入惡意 iFram 一樣簡單。

研究人員也展示可插入 JavaScript 以傳送 pop-up 旗標或浮動式文字廣告。此外，他們也能透過快取或改編 Flash 影片及影片串流檔，以便在使用者呼叫的影片中插入廣告。

為防範此類攻擊，研究人員呼籲設立能防止 ARP 欺騙技術的網咖。

「我們的特殊設定可收集路由器的 MAC 網址，並自動列入使用者機器中的 IP-MAC 靜態比對清單中。這樣一來，就算惡意節點可以送假的 ARP 訊息給路由器，ARP 欺騙手法就無法得逞，因為使用者會拒絕把惡意 MAC 網址當路由器。」