近日,趋势科技TrendLabs公布了“5月份病毒感染报告”,指出5月前十大威胁当中有6个是属于灰色软件(Grayware)即间谍程序和可能威胁安全的程序。趋势科技全球病毒实时监控中心(WTC)追踪记录还显示,5月超过165,000人次感染灰色软件。
灰色软件的影响
间谍程序与其它可能威胁网络安全的灰色软件通常会通过免费软件/共享软件、自动下载功能、或cookie潜入系统,而且一般没有反安装的选项。它们轻则对系统产生干扰,如跳出广告或重新导向造成Internet活动中断、光标与滚动条不受控制等;重则造成系统破坏,如入侵行为、侵犯隐私、窃取信息、开启危害系统安全的安全漏洞、更改IE首页、搜寻引擎与安全设定等。
5月趋势科技TrendLabs发布的五次病毒爆发警报中,其中二次为蠕虫结合间谍软件、广告软件等复合式攻击,包括分析使用者广告偏好度的MYTOB和借着BHO浏览器辅助工具列监视使用者浏览行为及收集私人资料的WURMARK。
目前间谍程序常用的手法,是在浏览网站时,趁机安装潜入受害计算机。新型勒索木马TROJ_PGPCODER.A也是采用这种方法,潜入目标系统将15种档案加密,并勒索200美金。
图:5月十大病毒(来源:趋势科技全球病毒实时监控中心)
WURMARK监视使用者浏览行为
5月11日造成亚太地区病毒爆发的WORM_WURMARK.J选择与TROJ_DLOADER.MI特洛伊木马程序,以及一个间谍程序TSPY_AGENT.C联手出击。这个间谍程序会登录为BHO(Browser Helper Object,浏览器辅助工具列,或浏览器助手)。BHO主要可以得知使用者经常浏览的网站性质,并针对其兴趣,发送相关广告。而且WORM_WURMARK.J也具备键盘侧录功能,可以将所有使用者透过键盘输入的资料储存在一个DLL?中。因此这个蠕虫能够收集非常多的重要信息,包括个人信息与理财信息。取得这类记录文件的远程使用者就能存取帐户与个人设定档,并能进一步利用这些信息从事任何不法勾当。
MYTOB(魔头病毒)分析使用者广告偏好度
5月30日现身的MYTOB病毒所植入的间谍软件(TSPY_AGENT.H),会自动下载广告软件(ADW_MEDTICKS.A)并产生弹跳式广告,透过此间谍程序可分析感染者点击广告的种类与频率,藉此追踪分析使用者行为,归纳其广告偏好度。趋势科技表示,WORM_MYTOB被视为具备散发大量邮件功能的BOT傀儡虫,WORM_MYTOB除了透过网络散播之外,并加入了寄发大量邮件的功能作为另一种散播机制,更加强化了整个BOT蠕虫家族的阵容,目前MYTOB变种已超过100个。趋势科技TrendLabs表示,WORM_MYTOB系列变种行径大同小异,包含会传送电子邮件给在系统中找到的联络人以散播蠕虫复本、邮件中包含停用或确认电子邮件帐号的信息,但最近出现的变种已开始结合间谍软件,显示出愈来愈多的计算机被隐形的第三只手所远程控制。
蠕虫、木马、间谍软件以复合式攻击考验网络安全
趋势科技的全球防毒研究与支持中心TrendLabs怀疑现在病毒制作者与黑客背后还有犯罪组织提供资助,蠕虫与间谍软件结合的原因在于金钱利益。第一季我们已经见识过WORM_BAGLE.BE病毒与特洛伊木马程序结合蠕虫的攻击方式,其以狡诈的循环感染手法在亚洲部份地区和美国引发了警戒,而WURMARK已经首开先例与间谍软件尝试合作。未来复合式攻击方式将为恶意程序变种确立了发展方向,特洛伊木马程序的隐匿入侵功能、蠕虫的迅速散播能力,再加上间谍程序高超的伪装技巧,将让计算机世界面临极大的难题。
趋势科技呼吁用户最好安装内建“间谍程序清除系统”的防毒软件,比如PC-cillin2005,它能主动侦测更可有效移除各种间谍程序、广告软件、Cookies等趁机窃取蚌人隐私资料的恶意软件。并同时记得务必将浏览器更新到最新版本,并且安装最新的安全修正程序,以免在浏览网站时木马趁机入侵。
背景资料:灰色软件(Grayware)
灰色软件是针对具有扰人的行为模式、令人排斥或一般人难以察觉的应用程序的通称。灰色软件对于系统功能或使用者的影响并未有定论。有些灰色软件与恶意活动有所关联,而有些灰色软件的则是用来提供使用者某些特定信息。使用者应该对所有具备资料收集功能的应用程序的活动提高警觉。
灰色软件主要包含以下几类程序:
★广告软件Adware
★资料探勘程序 (追踪用 Cookie) Data Miners (Tracking Cookies)
★拨号程序Dialers
★黑客工具Hacking tools
★玩笑程序Joke programs
★键盘侧录程序Keyloggers
★密码破解程序Password cracking applications
★远程访问程序Remote Access Programs
★间谍软件Spyware
