病毒奧斯卡——『2005年金毒獎』出爐[圖]

http://www.enorth.com.cn　 2005-12-02 09:57

　　今年計算機病毒的表現五花八門、手法多變。從知名網絡安全廠商趨勢科技公布的2005年度『金毒獎』的內容來看，精彩程度一點都不輸奧斯卡金像獎。

　　趨勢科技公布的『2005年金毒獎』評選標准是以TrendLabs趨勢科技全球防病毒研究與技術支持中心所追蹤的病毒事件為主，並以全球各大調查單位的調查報告數據及各項犯罪案例為佐證，讓網友更進一步認識網絡毒害的新趨勢。

　　這些來自全球各地的參賽者，何以在彈指間行騙全球呢？請看本報導。

　　<最佳代言人>:布拉德皮特、維多利亞

　　得獎理由：<看好萊塢明星走光，系統也被看光>

　　從Internet 成為數字時代的主角以來，色情一直是存在的問題。而病毒也善用此項』資源』，借助使用者的好奇心，一個郵件標題、一個附件名，就能讓使用者點擊鼠標進行散播。趨勢科技 TrendLabs 的誘捕系統（Honey pot）就攔截到許多以色情為餌的病毒。它們既不是散發大量郵件的蠕蟲，也沒有通過 Bot 僵屍網絡來散發垃圾郵件，而是由人為手動轉發給木馬植入程序。這些特定的電子郵件樣本，是由 Yahoo 群組中的某位成員散發給許多 Yahoo 群組的郵件！雖然它屬於手動散播，但只要想想這封電子郵件所傳送的群組數目，加上每個群組所擁有的成員數目，也能產生滾雪球的轉發效應。

　　2005年被病毒利用的超人氣男女大明星包括：布拉德皮特和維多利亞。

　　網絡防毒及內容安全專家趨勢科技（Trend Micro）提醒，當你收到標題為』Brad Pitt so HOTTTT』或』 VICTORIA BECKHAM SEXY.....VERY HOTTTTTTTTTTTTTTTT』.的郵件，最好直接刪除，否則木馬TROJ_NETLOG.C 和 TROJ_JOINER.BH除了讓你欣賞明星的偷拍照同時，系統也會被看光。

　　其它明星被黑事件：

　　·2月希爾頓酒店繼承人Paris Hilton意外地被黑客將手機中的名人通訊錄、個人記事本和寫真照片曝光在網絡上。
　　·11月大陸某網站出現內含木馬病毒的周傑倫最新專輯《十一月的蕭邦》MP3 文件。用戶下載後就會被竊取個人資料、賬號等。

　　其它圖片『黑』人事件：

　　·9月由溫心怡等5名女子組成的罕見的清一色為女子的黑客軍團，在網絡上張貼暗藏木馬程序的名模、色情圖片，例如『林志玲全集系列』、『馬子舒淇』、『各國空姐』供人下載，取得賬號、密碼後，交給國內的詐騙集團。分別盜取雅虎奇摩賬號進行網絡拍賣詐騙，線上游戲賬號盜取網友的虛擬寶物出售。
　　·惡性重大蠕蟲最愛的 eMail主題：色誘圖片MYTOB（魔頭）、SOBER（掃把）、NETSKY、 MYDOOM皆為』好色』之徒

　　<年度票房獎>:漏洞病毒
　　得獎理由：<漏洞=＄＄＄>

　　2005年由 Bot 傀儡程序所組成的僵屍網絡，儼然成為集團式犯罪的必要條件，可怕的是，你的計算機成為犯罪集團暗地納入的行凶會員，你可能一點都不知情。2005 年第一季，寄發大量郵件的 BOT WORM 傀儡蟲家族 MYTOB 現身之後，導致BOT WORM 傀儡蟲創作者或團體開始迅速繁衍，這些人利用公開程序代碼的模塊化特性獲得極大的進展，包括 ZOTOB 作者也是屬於同個黑客集團成員。網絡安全機構 SANS表示，僵屍計算機已被黑客當作用來勒索的工具，尤其是線上賭博網站。某些黑客還會將他們以 bot傀儡程序所控制的計算機，出租給其它國家的黑客。

　　僵屍網絡控制計算機獲利 6萬美元

　　FBI 成員於2005年11 月3 日逮捕一名涉嫌利用 Bot 犯案的黑客。菲裔美籍人士 Jeanson Ancheta 被控涉及兩起詐欺與多起計算機入侵與洗錢案。Ancheta 涉嫌利用經過修改的 "rxbot" 特洛伊木馬程控數千臺含有安全漏洞的計算機。他在這些遭控制的系統中安裝會產生彈出信息的惡意程序，這項陰謀行動總共產生了高達 $60,000 美元的不法利益。目前Ancheta 已被收押且不得保釋，預計將於12 月 27 日出庭受審。如果他被控的 17 罪名都成立的話，將必須面臨 50 年的刑期。

　　發現一個漏洞值多少錢？

　　『漏洞=＄＄＄』，一點也不誇張：對漏洞研究人員而言，提供微軟或其它信息業者沒有發現到的可攻擊安全漏洞給某些安全廠商推出的『漏洞貢獻者方案Vulnerability Contributor Program (VCP)』、『零時差項目 (Zero Day Initiative，ZDI)』，可以獲得金錢報酬;對黑客而言，利用漏洞撰寫而成的 Bot 傀儡蟲，可以組成攻擊他人的僵屍網絡銷售給不法者;對企業而言，一些安全研究員或是黑客已經從』搜集漏洞』中找到另一片商機。看看這個由安全業者提供的漏洞獎勵計畫，你將不難明白，在產品或操作系統上尋找新的安全漏洞似乎是不錯的『生財之道』：

　　上述是Argeniss提供的資料，IDefense也有類似的方案，名為『漏洞貢獻者計劃（Vulnerability Contributor Program，VCP)』，接受任何人提供新的安全漏洞並支付這些人酬勞。3Com 與旗下公司 TippingPoint 也於7月底共同推出『零時差項目 (Zero Day Initiative，ZDI)』，提供優厚的條件獎勵安全研究人員揭露所發現的安全漏洞。只要有人購買研究人員提供的安全漏洞，研究人員就可獲得點數。點數的計算類似航空公司會員累積裡程的方式，每年會依據研究人員當年度提報安全漏洞所獲得的總金額，采一元兌一點的方式累計點數。『零時差項目 (Zero Day Initiative，ZDI )』每一個等級都提供獨特的獎勵與優惠條件，所有獎勵與優惠條件在獲得點數後的下一年全年有效，獎金從1,000 美元到20,000 美金不等，還可免費登錄並招待前往拉斯維加斯參加國際黑客年會DEFCON、BlackHat 大會。以下是 ZDI 獎勵方案各等級會員的介紹：

　　雖然提出獎勵計劃的廠商，旨在發現技術應用中存在的漏洞，為用戶提供更好的安全服務。然而趨勢科技也懮慮以下問題：

　　-如果漏洞提報者，對贊助廠商提供的金額並不滿意怎麼辦？他們將如何處置所揭露的安全弱點？
　　-如果發現的安全漏洞未通知供貨商，會不會在道德約束失效後，產生其它可能性：比如搶先在黑客BlackHat黑帽大會上發表成果，借以肯定自身功力。

　　<最佳服裝獎>: RootKit黑客工具套件

　　得獎理由：<宛若哈利波特的隱形斗篷，穿上它間諜程序、Bot傀儡蟲不走光>

　　2005年包括 Celine Dion (席琳狄翁)在內的 19 張 SONY 發行的 CD 因為含有防盜版技術，而意外地造成『買 CD 唱片，送黑客隱形斗蓬』的安全意外，即使後來停產該項保護 CD，但已有210萬張售出。這個始作俑者就是 BREPLIBOT特洛伊木馬程序家族，其利用Sony唱片防拷軟件采用的 Rootkit 工具留下的後們來作自我隱藏，使得病毒不易被追蹤。也使得有些公司頒出禁令：上班時間不准聽 CD ，免得公司被黑客入侵。

　　就定義而言，Rootkit 是惡意使用者用來掩飾入侵行動並取得系統管理員層級存取權限以入侵計算機或計算機網絡的一套工具 (程序) 組合。它具有多種功能，例如它可以監控傳輸的資料及進行鍵盤側錄、在系統上開啟『後門』、修改記錄文件、攻擊網絡上其它機器，以及修改現有系統工具以躲避偵測。

　　Rootkit 經常被惡意程序用來隱藏它們所執行的處理程序，因此不容易被偵測到。許多 Bot 蠕蟲、間諜軟件都利用這套工具來打造隱形斗篷。

　　根據趨勢科技 TrendLabs指出運用這種隱匿技巧的惡意程序數量大增，自2005年初每月低於 1 0件的零星案件，到10月底已發現到有35個惡意程序采取 Rootkit技術。

　　<年度黑心獎>:以國際災難，釣魚詐騙/詐財的病毒

　　得獎理由：<紅十字會網站遭抹黑，善款流入黑客口袋>

　　2005年國際間災難頻傳，善心人士得確認捐款能送達需要幫助的人們手中，而不是讓想趁機大撈一筆的網絡釣客半途攔截！ 10月初以Katrina 颶風災後募款為名，假冒紅十字會名義募款的數十個假網站遭查獲。善心人士用搜尋引擎找尋巴基斯坦地震、卡羅娜颶風等關鍵詞時，得當心假冒網站剝削你的愛心，因為據調查光是以Katrina注冊的詐騙網站就高達數百個。

　　趨勢科技接獲舉報一個紅十字會網絡釣魚網站，網頁內幾乎所有的連結與圖像都與正牌網站一模一樣，除了三個關鍵按鈕：『Continue』、『Cancel』以及『Verisign』，乍看之下就像真的網站一樣，如果使用者未仔細檢視，很容易上當。該詐騙手法翻新，是以外掛在入口網站的方式（這個案例是使用www.quadrate-stadt.de這個德國網站），然後在該網址後面加上包含紅十字會網址在內的詐騙網址，讓消費者誤以為是贊助紅十字會的鏈接。

　　趨勢科技提醒，即使鏈接的網址中含有你信賴的合法網址（如入口網站或博客日志等免費網絡空間），也不保證是為捐款的安全性背書。

　　其它黑心詐騙事件：

　　1月：WORM_ZAR.A病毒利用海嘯做掩護，企圖癱瘓黑客對手網站
　　3月：網銀大盜TROJ_ASH.B 偽造 9家銀行頁面
　　8月：微軟免費送病毒清除程序；美國將戰敗；兩木馬冒名行騙，開後門入侵
　　9月網絡相冊也有黑心貨！假YAHOO相冊騙ID
　　11月:標題為 "Avian Influenza -Situation in Thailand" (禽流感 - 泰國疫情) 的電子郵件和兩個惡意的 Word 文件正在四處流傳。雖然附件文件中確實含有關禽流感的信息，但是它們內嵌的程序代碼卻有BKDR_LECNA.E木馬程序。

　　<最佳剪輯獎>: Pharming（網域嫁接）

　　得獎理由：<移花接木，不留痕跡>

　　2004年網絡釣魚（ Phishing）以維妙維肖的假頁面獲得金毒獎的『最佳視覺設計獎』，今年它的孿生兄弟Pharming （網域/址嫁接），以同樣的詐騙目的，但卻更高明的手法，贏得<最佳剪接獎>。Pharming （網域/址嫁接）跟網絡釣魚（ Phishing）最大的不同是，後者仿冒銀行等金融機構發出帶有假網址鏈接的E-mail，而Pharming （網域/址嫁接）采用更難識破的網域/址嫁接手法。因為它是以入侵Domain Name Server（DNS）服務器的方式，植入惡意程序修改 HOSTS 文件。使用者即使輸入正確網址，經DNS的IP地址轉換，也會不知不覺地被導引到偽造網站，並讓黑客有機會竊取個人的機密資料。

　　<最佳現場導播獎>: ZOTOB

　　得獎理由：<黑到CNN>

　　美國有線電視新聞網CNN的中央計算機系統，2005年8月遭到史上最快利用微軟漏洞發動攻擊的ZOTO蠕蟲入侵，造成副控制室計算機死機、現場新聞停止達數十分鍾。宛如熱鍋螞蟻、試著解除突發蠕蟲危機的計算機維修人員，頓時成為新聞現場主角，而 ZOTOB 卻成為悶不出聲的最佳現場導播。

　　Worm _ ZOBOT，其作者在原始碼中叫囂：偵測到這個病毒的防毒軟件將於24小時內被剿殺！(原文：MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!)兩星期之後 FBI分別於摩洛哥與土耳其，將18 歲與21 歲青少年逮捕。創造這個快速感染全球帶有漏洞的Windows2000系統計算機，癱瘓許多企業及媒體網絡病毒的動機是企圖偽造信用卡。

　　其它CNN被黑事件：

　　CNN 頭條新聞電子報在全球擁有廣大用戶，是具有公信力的媒體。但是偏偏有為數不少的病毒打著 CNN 名號行騙，比如2002年WORM_BUZZARD.A病毒巧妙地偽裝成CNN實時新聞電子報，以』CNN Breaking News』為標題之一，大量衍生;2004年HTML_DELPLAYER.A也曾偽裝 CNN 最新消息指稱奧拉馬賓拉登被捕，一旦開啟網址鏈接，則會不留痕跡地執行木馬程序。2005年Crowt.A病毒假裝成CNN新聞電子報，以附件形式散播。

　　<最佳動作獎>:手機、PDA、隨身CD機、MP3等移動設備

　　得獎理由：<移動黑客，來無影去無蹤>

　　惡意程序的目標並不只有計算機，有些惡意程序已進化到能感染行動裝置，當然也包含了某些 MP3 播放器，如2005年4月出現的WORM_NOPIR.B病毒。6月新加坡生產的Nomad以及Zen系列MP3播放器登陸日本市場，然而在9月卻傳出兩種系列最新的產品中感染了病毒，只得緊急召回出售的商品。

　　為了防止資料被竊，英國軍方早在2004年即禁用iPod音樂播放器，當有著USB 接頭的移動儲存裝置與計算機連接上，即存在著資料外泄與病毒入侵的安全威脅，而相關商業機密的客戶數據庫，可能在不知不覺中被放入報復或離職員工的口袋。

　　不過在2005年移動裝置中以手機的相關安全威脅，較引起注目。手機變成竊聽器！？手機自拍性愛照片，全上了網站？！個人記事本，黑客全知道？！這全都是真實發生的手機安全威脅。

　　Gartner Group研究機構表示:智能型手機是成長最快速的手機類型，智能型手機一般多內建記事本、電子郵件、即時通訊、辦公室應用軟件等功能，以及藍牙、WiFi等無線傳輸功能，可視為小型掌上計算機。但這也同時提供病毒、蠕蟲、特洛伊木馬程序一個活動的環境。去年春天一名英國的手機漏洞研究專家Laurie，刻意攜帶藍牙手機到英國議會大廳裡閑逛，他利用藍牙技術竊取了40多位英國議會議員手機中的記事本和通訊錄，甚至把用戶的手機變成竊聽器。過去手機因維修，被裝竊聽器的案例時也所聞，現在手機病毒可以做到自動撥號，如果這受話者正巧是黑客，那麼用戶的手機就成為遙控竊聽器。

　　趨勢科技TrendLabs實驗室中的多項測試表明，智能手機和掌上計算機平臺所提供的強大計算能力，有可能被惡意利用，例如借助收發動態內容的多媒體短信，在目標設備中植入木馬程序，盜取用戶的私人信息；或者執行自動的破壞性操作，例如自動撥號等操作，造成用戶在財務或個人信用方面的損失。以下是針對2005手機的威脅趨勢所做的整理：

　　手機病毒與計算機病毒行為越來越雷同：

　　約莫10年的計算機病毒史中，黑客在其中鑽研的攻擊技巧，會照本宣科轉移到智能型手機上嗎？今年初以來，趨勢科技 TrendLabs 研究調查發現，手機病毒與計算機病毒近年的發展趨勢有越來越多雷同之處，包括：

　　·家族化傾向：計算機病毒動輒超過百種的龐大勢力，手機病毒也跟著滋生變種，它們以系列化改良增加火力，如SYMBOS_SKULLS、SYMBOS_DREVER、SYMBOS_CABIR系列等等。以SYMBOS_CABIR病毒而言，原始的病毒一次只能攻擊一臺手機，但新型的變種，卻能攻擊無數個手機。
　　·社交工程陷阱： PC病毒慣用的社交工程陷阱，手機病毒也跟上潮流了，常見的有：
　　-偽裝成游戲-如隱藏在<打蚊子>盜版游戲中的SYMBOS_CABIR ; 偽裝<毀滅戰士> Doom II的破解版的『SYMBOS_DOOMED 變種。
　　-偽裝成免費手機防毒軟件-如SYMBOS_DREVER、SYMBOS_SKULLS這些惡意程序還會刻意放在盜版軟件網站和黑客網站，讓貪小便宜者，得不償失。
　　·復合式攻擊：趨勢科技 TrendLabs 發現，越來越多病毒爆發事件，屬於「復合毒」型態，包含「蠕蟲與蠕蟲」與「蠕蟲與木馬」一毒雙煞的結合體，而現在手機病毒也一樣。
　　趨勢科技發現 SYMBOS_SKULLS.N病毒影響除了修改應用程序圖標，還會安裝其它 3 個手機病毒：SYMBOS_SKULLS.I, SYMBOS_CABIR.A, 和　　SYMBOS_BOOTTON.A。這是繼去年12月1日SYMBOS_SKULLS.B夾帶2004年6月被發現的全球第一個透過藍芽傳播的手機病毒SYMBOS_CABIR.A「食人魚」後，更具危險性的變種。
　　·刪除防毒軟件：計算機病毒為了延後被偵測的時間，常常借著刪除防毒軟件或阻止受害者聯機至安全廠商的網站來隱藏行蹤。趨勢科技指出，如果中了SYMBOS_DREVER.A 手機木馬，防毒軟件也會被刪除。
　　·垃圾短信夾毒闖關： 3 月 7 日現身的 SYMBOS_COMWAR.A 會傳送特定內容的 MMS 多媒體短信，並夾帶病毒的 .SIS 安裝程序作為附件。

　　<年度網絡大盜獎>:勒索木馬

　　得獎理由：<不支付贖金，就綁架文件>

　　『想打開你計算機中的文件嗎？聽從指示匯給我200美金，收到錢後你會拿到譯碼程序』這是5月份偵測到的TROJ_PGPCODER.A木馬病毒，在受害者計算機中的留言。TROJ_PGPCODER.A勒索木馬采用目前網絡釣魚和間諜程序常用的手法，在瀏覽網站時，趁機安裝潛入受害計算機。。

　　趨勢科技表示，截至目前為止，對企業組織進行網絡勒索的黑客都是要求支付金錢，否則就威脅對商業性網站發動惡意攻擊。對一般計算機使用者最不利的是，TROJ_PGPCODER.A勒索木馬似乎暗示網絡勒索的威脅范圍已經擴大到企業界以外的個人用戶。

　　其它勒索事件：

　　10月趨勢科技也偵測到另一個源自俄國的勒索木馬，不過他的胃口比較小，只要求20美金。

　　<年度最佳貢獻獎>:間諜軟件

　　得獎理由：<大家都下班了，間諜軟件卻還默默加班>

　　IDC分析師Brian Burke表示估計，全球計算機中有三分之二存在有間諜軟件，大部分計算機中甚至存在數種間諜軟件，這些軟件均是在使用者不知情的情況下運行的。間諜軟件從2004年的新名詞，到 2005年無所不在的威脅，Forrester調查機構2005年初所做的調查報告顯示：間諜軟件已經成為一個嚴重影響安全與IT支持方面的問題，越來越多的企業求助於反間諜軟件產品來控制間諜軟件可能帶來的災難。有39%的公司都不清楚公司計算機設備中有多少被感染，間諜軟件已成企業最大禍害。美國Pew Internet and American Life Projec皮尤研究組織7月公布調查結果發現：:九成用戶為躲開間諜軟件改變上網習慣。

　　無論哪個網站想讓你下載『免費』程序，要養成點擊『否』的習慣。

　　間諜軟件常常寄生在其它免費軟件上，當用戶喜孜孜地從網上下載免費軟件時，付出的代價可能就是隱私與安全。免費軟件的開發者可能借助允許間諜軟件寄生，作為開發費用的支出。即使為了規避日後的責任，會在同意書上以輕描淡寫的語句提示使用者，但大多數使用者並沒有耐心看完，尤其是長篇大論的英文頁面更是如此。於是間諜軟件就這樣不分晝夜的與你的計算機隨行。

　　趨勢科技曾在某個工具列網站偵測到TROJ_SMALL.GL 木馬，導致 26個來自不同網站的文件自動下載，之後系統多了2個間諜軟件、8個廣告軟件和3個特洛伊木馬。

　　間諜軟件2005年新伙伴

　　·1月：免費的垃圾郵件清除工具，遭間諜軟件利用：1月Lycos位於歐洲網站提供免費的反垃圾郵件屏幕保護程序供用戶下載，該軟件會在用戶收到垃圾郵件後，主動對垃圾郵件來源服器受發動DoS(Denial of Service)攻擊。不過這種近似間諜軟件的作法，並沒有獲得反垃圾郵件組織認同，甚至擔心為攻擊者利用，反而使得遭受冒用濫發垃圾信件的無辜服務器，雪上加霜。
　　·1月：假好心移除間諜軟件：間諜軟件出現假的警告窗口『你的計算機已經被間諜軟件感染。請點擊此處，可以安裝解毒軟件清理它。』的確，當你點擊安裝之後，先前被安裝的間諜軟件可能被移除，但是同時新的間諜程序也不知不覺進駐了。
　　·3月：blog成為廣告與間諜軟件新天地：2005年大熱門的blog當然也成為惡意攻擊者覬覦的對象，其方式方括：
1.利用Blog的JavaScript和ActiveX入侵有安全弱點的瀏覽器計算機中。
2.在「回響」留言版張貼廣告，如：「哈羅，我的名字是 Michael Johnson，我是blog世界的新手。我覺得你的blog真是太棒了！我的網站是在＊︿＆︿＄％，而且擁有關於＊＆︿＊％︿＆＄％最完整信息﹀令人做惡的是，張貼的鏈接會將大量間諜程序下載到系統中
3.挾持目前設定 RSS Feed 客戶端，將客戶端的設定改為指向另一個惡意的網頁內容。
　　·8月：間諜程序步步進逼線上游戲：亞洲最受歡迎的線上游戲「Legend of Mir 傳奇」與「Lineage天堂」被間諜軟件看上。
　　·7月：下載影音文件，多10個廣告軟件：除了工具列等免費下載軟件，間諜軟件也開始利用免費下載電影作為媒介，並且透過熱門的 P2P 網絡來散播。
　　·10月：新障眼法，不重視網頁美觀：空白、測試或禁止存取等大量留白頁面成為間諜軟件利用的障眼法
　　·10月：法院判定間諜軟件非法侵入私有財產：美國芝加哥聯邦法院2005年10月判定間諜軟件對家用計算機造成的乾擾可構成非法侵入私有財產。
　　·11月：兒童上網監控程序引起爭議：生產該監控程序的英國軟件公司控告反間諜軟件廠商把它視為間諜軟件。

　　<年度超級玩家>:網絡游戲病毒

　　得獎理由：<木馬與間諜軟件，使得一場游戲變為一場夢>

　　2005年8 月份，針對『Legend of Mir 傳奇』與『Lineage天堂』這兩種網絡游戲而來的攻擊數量十分驚人，這兩者都是極受歡迎的MMORPG大型-網絡角色扮演游戲。網絡游戲賬戶遭受攻擊的情況幾乎和銀行賬戶一樣頻繁。電玩游戲已進化為高度電影化的互動體驗。就像它的棋盤游戲前身『Dungeons and Dragons』一樣，這類游戲也都有像狂熱分子與玩家社群之類的擁護者，他們會四處炫耀每一件新游戲對象、盔甲的每一片組件、甚至是僅存的最後一滴靈丹妙藥。因此，MMORPG 虛擬世界中的對象價值已經延伸到真實世界，稀有的寶劍盔甲組合可賣到數百美元，而不只是虛擬貨幣而已。

　　趨勢科技資深安全專家齊軍表示，『Legend of Mir傳奇』的玩家絕大多數都來自中國大陸，許多『Lineage天堂』的愛好者多位於臺灣地區，在美國也有不少的玩家。這兩種游戲的開發人員都位於韓國，而且在北美地區都有業務伙伴。為了讓這些網絡游戲中的虛擬武器與人物能力有所提昇，黑市中一直都有這方面的需求，因此造就了另一個產業。事實上，為了達到這些目的，許多人都願意付出任何代價。

　　趨勢科技2005年10月偵測到兩個與游戲有關的病毒，分別是攻擊Sony Playstation Portable (PSP)的木馬TROJ_PSPBRICK.A與攻擊任天堂的木馬病毒 DS TROJ_DSBRICK.A與TROJ_DSBRICK.B。起初 PSP 只能執行 Sony 認可的游戲，但破解程序能讓使用者執行他們自己的游戲。事實上，在較舊版本 (像是 1.50) 的 PSP 中曾被發現允許執行自訂程序代碼的安全漏洞，但 Sony 已經在較新的版本中修正了這個問題。第一個以 Sony Playstation Portable為攻擊對象的特洛伊木馬程序TROJ_PSPBRICK.A就是偽裝成可將其它游戲移植到此平臺的某種工具。而事實上，它會刪除系統文件，導致機器無法開機。此時... 你的『玩伴』.... 就成了一堆廢鐵。

　　與游戲有關的安全事件：

·5月-病毒LEGMIR專偷線上游戲密碼

·5月- Legend of Mir傳奇線上游戲出現釣魚網站

·6月-微軟MSN韓國網站被植入病毒，試圖竊取用戶登陸Lineage天堂網絡游戲時的密碼。

·6月-SYMBOS_CABIR 手機病毒隱藏在<打蚊子>盜版游戲中

·9月-『SYMBOS_DOOMED手機病毒偽裝在<毀滅戰士> Doom II破解版

·10月-出現兩個木馬分別攻擊 Sony Playstation Portable (PSP)與任天堂

　　<最佳團體獎>:復合式病毒

　　得獎理由：<雙頭蛇，夠毒竦>

　　2005年第一季有兩次病毒爆發事件，屬於『復合毒』型態，包含『蠕蟲與蠕蟲』與『蠕蟲與木馬』（如：WORM_BAGLE.BE）的一毒雙煞結合體。第一季在亞洲與美國引發病毒爆發疫情的TROJ_BAGLE.BE木馬會自數個網站下載 WORM_BAGLE.B蠕蟲，而WORM_BAGLE.B蠕蟲則會透過 eMail附件夾帶木馬TROJ_BAGLE.BE，兩者的共生關系，使得病毒的攻擊力道更加強勁。

　　趨勢科技資深安全專家齊軍表示：『一旦 Bot 傀儡蟲利用復合毒的攻擊方式潛入網絡，相對於安全警戒線就得拉高，因為這些利用漏洞計算機進行網絡滋生的蠕蟲，也會隨意開啟連接埠讓黑客得以遠程訪問，並為所欲為地執行惡意程序進而對所屬網絡造成難以彌補的安全危機。它們可以瞬間滋生難以數計的變種，並竊取機密資料、終止安全程序、發動阻斷攻擊等等。』

　　第三季出現的 WORM_BAGLE.DA 則有更進一步的發展，它使用兩個特洛伊木馬程序組件。WORM_BAGLE.DA 會寄發大量郵件散播 TROJ_BAGLE.DA。順著這個思考邏輯，這個特洛伊木馬程序組件應該會下載蠕蟲的復本，但是它並沒有這樣做，而是下載另一個特洛伊木馬程序 TROJ_DLOADER.ACT。最後再由這個特洛伊木馬程序來下載蠕蟲。從此之後，MYTOB 變種也依樣畫葫蘆采用復合式循環攻擊的策略：蠕蟲WORM_MYTOB.KM 搭配木馬 TROJ_DROPPER.LV 進行攻擊。

　　其它復合式攻擊事件：

　　·手機病毒：如前述<手機病毒與計算機病毒行為越來越雷同> SYMBOS_SKULLS.N會安裝其它 3 個手機病毒：SYMBOS_SKULLS.I, SYMBOS_CABIR.A, 和SYMBOS_BOOTTON.A。

　　·IM病毒：透過MSN散播的IM 蠕蟲 WORM_KELVIR.B 和 WORM_BROPIA.F 各夾帶一個 bot worm傀儡蟲影響系統，並以已知漏洞持續蔓延。

　　<最佳創意獎>:聲音鍵盤側錄法

　　得獎理由：<先聲奪人>

　　你走進辦公室，坐下來，然後打開計算機，當然你必須輸入登入信息纔能開始操作。但是，請等一下！當你輸入信息時，確定沒有人在偷看嗎？因此你會看看四周是否無人。然後你就開始輸入登入信息... 嗯... 密碼.... *********

　　難道『偷窺』纔是取得別人密碼的唯一方式嗎？當然不是。還有許多方式，其中一種就是加州大學研究人員所發表的報告中所討論到的。根據這些研究人員的說法，只需要在某人打字時加以記錄，就能取得輸入的資料。這種方式的概念是，按下不同按鍵時似乎會產生不同的聲音，而這些聲音能轉換為一串字母或文字。——這樣就能取得資料了.. 這就是利用音頻進行鍵盤側錄。

　　其它』黑』人聽聞神偷事件：

　　11月：利用復制粘貼功能偷機密-偷取賬號密碼不一定要網絡釣魚( Phishing)的假頁面或是網域嫁接(Pharming)利用木馬程序的偷天換日，現在連『復制』、『粘貼』這兩個簡單的動作，都有可能導致私密資料的外流。每一種便利的功能背後都可能隱藏著許多風險。Microsoft Internet Explorer 5 (及更新的版本) 瀏覽器推出之後不斷進行功能改進以支持更多的功能，讓使用者能更便利地使用指令碼處理功能。其中包括從剪貼簿中截取URL 或純文字格式內容的功能。

　　執行這些功能的 JS 函式分別是clipboardData.getData('URL')與clipboardData.getData('Text')。雖然這項功能是由 Microsoft 為了方便編輯而開發的，然而它也可能遭到惡意網站利用，從你的系統中竊取機密資料。位於加拿大的Friendly Canadian Search Engine 公布了針對網站如何擷取粘貼簿中的資料制作了示范文件，只要做簡單的CTRL+C 動作，你就可以驚訝地發現你剛剛復制的資料居然出現在其它網站，包含你剛剛用復制貼入的網絡銀行密碼、身份證、信用卡資料。一個小小的建議.，當你在網絡上瀏覽時，請手動輸入密碼與使用者賬戶信息，避免用剪貼的方式。雖然這樣作會多花你幾秒鍾，但是卻能讓你更安全。

　　<最佳表情符號獎>: IM 病毒

　　得獎理由：<即時Click，即時中毒，即時目瞪口呆>

　　2001年首個 IM 病毒WORM_MENGER.A 浮出臺面後，並沒有立即取代郵件病毒的鋒芒，直到今年第一季WORM_BROPIA.F、 WORM_FATSO.A、WORM_KELVIR.B 等3個 MSN 病毒在2月及3月相繼引爆後，IM 病毒已成為新的安全威脅焦點。

　　4年來只有一個IM 蠕蟲的危害程度到達發動病毒警戒的標准，若就第一季度激活病毒爆發的次數來看，IM 蠕蟲可說是第一季度以聊天軟件為媒介，而引發高度關注的』話題』病毒。第一季的6個病毒警報中，有3個是經由 IM 衍生，並有兩個IM 蠕蟲中有bot傀儡蟲寄生其中，以潛入受害系統。

　　趨勢科技李晶表示：防毒軟件可以刪除惡性程序，卻無法做到控制人們的線上行為。去年許多造成疫情的 email 病毒，靠著吸引人的信件標題，就讓粗心人們親手 click 激活病毒程序，而達到危害系統的目的。比 eMail更親密、更互動的聊天軟件，不但縮短了人們之間的距離，也大幅縮短了病毒攻佔系統的時間。IM 蠕蟲充分利用了人們好奇心、友誼或信賴感，僅憑網址鏈接和吸引人的文件名，就能使平常朗朗上口的防毒常識，比如『不開啟不明文件』、『不點選網址鏈接』..等等，全都在相談甚歡時，得了暫時性失憶癥。

　　IM 蠕蟲相繼湧出，極有可能是惡性程序原始碼被公開導致，根據趨勢科技網絡安全研究中心協理Joe Hartmann指出『這些在地下組織散播的原始碼外露將會導致更多的病毒危害 IM 用戶，甚至不排除發展出高風險的變種。

　　另外，通過MSN散播的IM 蠕蟲 WORM_KELVIR.B 和 WORM_BROPIA.F 各夾帶一個 bot worm傀儡蟲影響系統，並以已知漏洞持續蔓延

I　　M 病毒創新攻擊事件：

　　·3月- WEB Came 當起狗仔偷拍！！
　　3月上旬出現的病毒WORM_RBOT.ASH ，一旦它在受害計算機中植入後門程序，就會截取網絡攝影機影像，回傳給黑客。這種監控行為的潛在危險，包括小偷因此知道家中菲傭何時外出買菜，可以闖空門；狗仔隊可把話題人物的睡姿公布網絡等等。趨勢科技表示，『這種利用病毒偷窺隱私的行徑，都是在背景執行，一般使用者很難察覺。再加上網絡攝影機型號的不同，當病毒激活攝影功能時，不見得會出現音效或燈號，更何況有些病毒，還會刻意關閉聲卡，以免窗口設定的音效讓其形跡敗露。令人懮心的是，現在新款的筆記型計算機，內置的WebCam 可隨時激活，病毒可能在你一開機時，就"隨侍在側"了。』

　　·7月-有人需要 iTunes 嗎？
　　請留意過多聯想所產生的誘惑。這個程序與Apple Computer, Inc.毫無關聯，而且也不是媒體播放程序。WORM_OPANKI.Y 和其它 OPANKI 變種一樣都是透過實時傳訊程序來散播。這個變種的散播媒介是 AOL Instant Messenger (AIM)，它會傳送信息表示『this picture never gets old.』(這張圖片永遠不會過時。) 而信息中的 URL 會下載ITUNES.EXE。WORM_OPANKI.Y 執行之後會下載數個廣告程序到受感染的系統中。令人納悶的是它的攻擊模式在邏輯上並未有任何突破。它先挑起人們好奇心去看一張『永遠不會過時的圖片』，然後當使用者按下信息時則會下載一個名為 ITUNES.EXE 的文件。難道這張圖片就是媒體播放程序嗎？盡管如此，警覺性不高的 IM聯系人加上 IPod 的高人氣就足以構成一個具有新聞價值的社交工程圈。

　　編者按：其實這些病毒也不是無緣無故自己跑到你的計算機或手機裡，不管是間諜軟件還是木馬程序，垃圾郵件與共享軟件依舊是最大的禍源。盡管大部分人都討厭垃圾郵件，但往往又禁不起聳動標題的誘惑，一步步掉入詐騙網站的陷阱或安裝惡意程序。所以建議用戶們最好不要理會垃圾郵件，並且在輸入賬號、密碼等重要數據前一定要三思。只要克制按下鼠標的衝動，這樣病毒就沒有表現舞臺了！

編輯：趙海濤

[進入IT論壇]

請您文明上網、理性發言並遵守相關規定，在注冊後發表評論。

只有北方網注冊用戶可以發表評論......

　北方網精彩內容推薦

【關閉窗口】

| 北方網最新新聞排行 | IT浪潮新聞排行榜 |

無標題文檔

天津民生資訊
天氣交通	天津福彩	每月影訊	二手市場
空氣質量	天津股票	廣播節目	二手房源
失物招領	股市大擂臺	天視節目	每日房價

	熱點專題
	北京奧運聖火傳遞和諧之旅	迎奧運講文明樹新風
	解放思想乾事創業科學發展	同在一方熱土共建美好家園
	2008天津夏季達沃斯論壇	《今日股市觀察》視頻
	北方網網絡相聲頻道在線收聽	2008高考招生簡章復習衝刺
	天津自然博物館館藏精品展示	2008年天津中考問題解答
	帶你了解08春夏服飾流行趨勢	完美塑身舞動肚皮舞(視頻)
	C-NCAP碰撞試驗—雪佛蘭景程	特殊時期善待自己孕期檢查
	熱點新聞排行財經體育娛樂	汽車 IT 時尚健康教育