报告迈克菲威胁报告： 2009年第二季度

　　Zeus

　　这位天神一定极其愤怒。 Zeus(也称为Zbot和WSNPoem)是一个用于编写窃取密码的特洛伊木马程序的生成器应用程序。此程序包括一个基于Web脚本语言PHP的控制面板和一个Windows可执行文件，用以构建恶意软件。生成的文件可以窃取数据和凭据、捕获HTTP和HTTPS流量、抓取屏幕截图、将日志发送到远程位置，并且还可以充当代理服务器。该生成器可以对已经编码的日志进行解密。Zeus用户可以找到各种选项，如漏洞包、高级命令和控制界面。

　　Zeus在这个事件频发的季度中大展拳脚：

　　. 4月 1.2.4.x版本热卖

　　. 其俄罗斯作者增加了针对初学者的服务。(参见图25。)

　　图25: Zeus作者提供了额外的奖励。

　　. Roman Hüssy是瑞士一位21岁的IT专家，他运作的Zeustracker网站上列出了使用Zeus的Internet服务器。Hüssy注意到，那 100000个意外受感染系统大部分位于波兰和西班牙。僵尸主控机使用“毁掉操作系统”的惯用方法断开感染的计算机与Internet的连接。这种竞争者之间的对抗或自愿行为是为了消除踪迹么?两种可能性似乎都说得通。

　　图 26：正在出售的“新鲜” Zeus日志。

　　. ZeuEsta再次现身网络。这项服务的订阅者会收到一个特定的iframe，然后可以将其添加到他们侵入或了解的陷阱网站中。该iframe会将受害者重定向到ZeuEsta网页，以便用恶意软件将其感染。订阅者还可以获得对个人管理面板的受密码保护的访问权限，以便查看日志、网络僵尸和漏洞统计数据以及发出命令等等。通过Liberty Reserve每月支付100美元的费用即可获得ZeuEsta托管服务。

　　图 27：ZeuEsta服务使网络犯罪分子能够轻松从事犯罪活动。

　　将犯罪软件作为一种服务

　　Zeus的案例表明网络犯罪正朝着服务化的方向发展。“如果您有恶意软件，他们就有易受攻击的计算机! ”

　　有些网络犯罪分子会将他人编写的恶意软件安装到他们控制的受侵扰的计算机上。

　　图 28a和 28b：只需支付140美元即可将您的恶意软件安装到1000台计算机上。

　　联邦贸易委员会已经成功惩治了另一个网络犯罪分子。FTC(Federal Trade Commission，联邦贸易委员会)已经关闭了不符合要求的Internet服务提供商Pricewert LLC，该提供商使用许多名称，其中包括 3FN.net、 Triple Fiber Network和APS Communication。该联邦机构指出，这家公司招募、公开支持并积极参与了垃圾邮件、儿童色情及其他有害电子内容的分发活动。在俄勒冈州务卿办公室公司部门网站上搜索时，我们发现Pricewert于2003年9月在波特兰市注册，旗下有两家伯利兹城公司。 FTC在其备忘录中逐项列出了3FN托管的非法内容：恶意僵尸网络软件、儿童色情内容、虚假防病毒产品、非法网上药店以及盗版音乐和软件。10 FTC还介绍了3FN员工利用crutop.nu论坛招揽新客户的情况。通过查询 Alexa.com，我们获知这些网站的主要访问者是俄罗斯人和乌克兰人。

　　图29a和29b：FTC关闭了不符合要求的ISP，其从事的非法活动主要受到了俄罗斯人和乌克兰人的关注。

　　AutoRun恶意软件

　　在Avert Labs每天监测到的恶意软件中，基于USB和闪存的恶意软件(也称作AutoRun恶意软件)仍然是最为流行的系列之一。用户喜欢方便的设备，而恶意软件编写者喜欢用户数据。考虑到AutoRun恶意软件能够感染的设备类型( USB记忆棒、数码相框和更大的存储设备)，还真不能低估其对消费者和企业用户数据的危害。要了解有关AutoRun感染以及如何对其进行防范的详细信息，请阅读报告《基于AutoRun的恶意软件的兴起》，其作者是Avert Labs印度班加罗尔办公室的研究人员。

　　图30：每月发现的独特AutoRun恶意软件二进制文件。

　　在图30中我们可以看到，一些月份中AutoRun恶意软件的新版本增长迅猛。尽管有些起伏，但总体还是呈上升趋势。 AutoRun功能为恶意软件编写者提供了极大的便利。(省去了很多点击操作。)该Windows功能独自使20世纪80年代的手持恶意软件传播模型再次焕发了活力。流行的特洛伊木马程序系列(如PWS-OnlineGames和PWS-Gamania)以前需要用户单击一个可执行文件，而现在可使用AutoRun媒介通过可移动驱动器进行传播。寄生病毒系列(如W32/Sality和W32/Virut)也在集成此感染媒介方面取得了一定的成功。

　　图31：USB寄生病毒 W32/Sality和W32/Virut的增长。

　　我们一直在关注使用AutoRun作为感染媒介的恶意软件的惊人增长速度。下面是反映AutoRun恶意软件猖獗程度的一个示例：下面的图 32显示了迈克菲全球病毒分布图中的数据，该图提供了在使用迈克菲防病毒软件的计算机上检测到的病毒的统计数据。

　　图32：迈克菲的全球病毒分布图将AutoRun恶意软件(此列表中称为Generic!atr)排在首位。

　　上一季度，Conficker蠕虫吸引了媒体的大量关注。但与我们最后报告的AutoRun病毒相比，它便黯然失色。虽然本季度Conficker活动略有增长，但还远不能撼动AutoRun病毒的主导地位。

　　图33：AutoRun感染继续使Conficker蠕虫相形见绌，尽管后者受到媒体广泛关注。

　　本季度中，我们曾在30天内发现了超过2700万受感染的文件中存在AutoRun恶意软件，使其一举成为全球检测到的活动最猖獗的恶意软件。试想一下数百万连接到Internet的计算机以及其他安全供应商检测到的基于AutoRun的威胁，您就会明白问题有多么严重。用于创建此系列绝大部分恶意软件的编译器和打包程序都是现成可用的，而且合法软件生产商往往也使用这些工具。

　　图34a和34b：本季度合法打包程序(上)和编译器(下)的广泛传播使攻击者可以轻松准备用于分发的AutoRun蠕虫。

　　从UPX和 AutoIt(用于创建AutoRun恶意软件)的广泛传播，我们可以得出什么结论?简言之，主要归功于它们都是免费开源的程序。例如，用于创建基于 AutoIt的蠕虫的源代码在 Internet上比比皆是;此外，可以轻松对使用AutoIt 3.2x和更早版本编译的文件进行反编译，以获得原始脚本。这为编写全新及更新的恶意软件版本提供了极大的方便。

　　过去， Microsoft曾通过增强的安全功能解决了许多流行的感染媒介问题，如通过引导扇区、 Office宏、脚本和电子邮件客户端传播病毒的问题。基于 AutoRun的病毒感染日益猖獗， Microsoft如果能在未来的Windows更新中解决这项被恶意利用的便捷功能带来的问题，情况将大有不同。

　　关于 McAfee Avert Labs

　　McAfee Avert Labs是 McAfee Inc.的全球研究团队。Avert Labs对安全有非常全面且深厚的研究，其下的多个研究团队致力于恶意软件、潜在有害程序、主机入侵、网络入侵、移动恶意软件以及各种本地化漏洞的披露。这种广泛的研究还使得迈克菲的研究人员能继续改进安全技术和更好地保护公众。

　　关于迈克菲 (McAfee, Inc.)

　　McAfee, Inc.总部位于美国加利福尼亚州的圣克拉拉，是全球最大的专注于安全技术的公司。迈克菲始终致力于应对全球最严峻的安全挑战。迈克菲提供经实践验证的前瞻性解决方案和服务，保护全球的系统和网络，使用户能够更安全地联网并在Web上浏览及购物。迈克菲凭借屡获殊荣的研究团队，为家庭用户、企业、公共部门以及服务提供商提供创新产品和强大保护，使他们能够遵从法规、保护数据、防范破坏、发现漏洞以及不断监控安全问题和提高安全性。 http://www.mcafee.com/cn。