迈克菲2010一季度安全威胁报告全文

　　密码窃取程序和虚假安全软件渗透社交网络

　　在我们于 2009 年 12 月发布的《2010 年威胁预测》中，我们预计通过密码窃取程序特洛伊木马和其

　　他恶意软件对社交网络的攻击在 2010 年将会增加。2在当前季度中，我们已看到了该预测兑现的若干

　　示例。

　　我们通常观察到的 PWS-Zbot 和 Spy-Agent.bw 形式的 Zeus 系列是最突出的密码窃取程序特洛伊木马

　　恶意软件。它专门捕获银行凭据。Zeus 只是网络犯罪分子的主要工具之一，他们往往将密码窃取程序

　　与其他类型的非法在线材料绑定在一起。例如，我们在包含儿童色情内容的相同机器上看到了 Zeus，

　　或随其他系列的特洛伊木马一起安装，如虚假安全软件(也称为虚假警报或虚假防病毒软件)。

　　在本季度中，我们看到了各种虚假安全软件随 Zeus 一起安装。您猜想谁是这些攻击的主要目标呢?

　　是 Facebook 用户。

　　大多数攻击都遵循以下模式 ：

　　攻击者发动大规模诈骗活动。在我们观察的大多数案例中，他们使用虚假密码重置邮件获得受害者的?

　　注意力，如下所示 ：

　　“由于采取了措施来保护我们客户的安全，您的密码已经更改。您可以在所附的文档中找到您的新?

　　密码。”

　　附件文档一般包含某种 Bredolab 或 Pushdo 特洛伊木马变种。?

　　Bredolab/Pushdo 网络以 Zeus 系列的安装程序的形式工作，不需要用户交互。但情况还不仅如此。

　　由于 Bredolab/Pushdo 在用户打开附件时进行安装，因此它可以安装和维护 Zeus，以及安装其控制者

　　认为对他们有利的任何其他特洛伊木马。

　　我们本季度观察到的最常见情况是安装虚假安全软件特洛伊木马。

　　犯罪分子为何要假冒防病毒软件?它可以同时让恶意软件开发者及其分发者赚钱。大多数虚假警报特

　　洛伊木马都由某个联盟计划运作，中间人会通过其软件的每次新安装获得部分利润。

　　Facebook 用户不仅遭遇 Zeus 和虚假安全软件攻击的困扰，而且还遭遇新的 W32/Koobface 蠕虫的困

　　扰。三月份，我们发现 150 多个网站的 .sys 文件夹中包含恶意文件 ;该文件夹在 Unix 系统上是隐藏的。

　　这些网站中的部分示例如下 ：

　　brand[已删除]b.dk/.sys/?getexe=p.exe

　　brand[已删除]b.dk/.sys/?getexe=v2captcha21.exe

　　brand[已删除]b.dk/.sys/?getexe=go.exe

　　alv[已删除]n.dk/.sys/?getexe=pp.14.exe

　　alv[已删除]n.dk/.sys/?getexe=v2prx.exe

　　car[已删除]ort.com.au/.sys/?getexe=pp.14.exe

　　car[已删除]ort.com.au/.sys/?getexe=fb.101.exe

　　这些已遭破坏的主机提供的文件本质上是 Koobface 恶意软件，但是还包括一般下载程序、主机文件修改程序、密码窃取程序等。