2005年恶意程序作者被唾弃的程度,就像德高望重的大学教授对他们作恶多端、傲慢自大的学生的观感一样:一群爱张扬、却无聊的十几岁青少年(ScriptKiddie)。但是近来更明显的是这些「小鬼」已经学聪明了,而且变得更狡诈、更市侩:恶意程序不再只是为了突显自我而已。以下是趋势科技全球防毒研发暨技术支持中心--TrendLabs所分析的六项「2005年恶意程序的创新与突破」。
移动装置恶意程序:从消耗电力到借助感染记忆卡荼毒PC
2004年底,第一个能感染行动电话的恶意程序被发现在外四处散播。从其名称即可看出SYMBOS_CABIR.A是以.SIS的形式来传播,并且是通过蓝牙装置感染其它手机。这代表了恶意程序攻击手法另一波邪恶革新的开始。第一个SYMBOS恶意程序除了传播病毒的行为模式会让电池消耗大量电力以外,并不会产生任何破坏行为,后续出现的SYMBOS恶意程序纷纷露出成熟的尖牙利爪,因为它们会改变显示设定,植入其它恶意程序、并且覆写合法的应用程序。接着出现的是SYMBOS_CARDTRP。这个移动装置恶意程序会利用手机便利的储存功能,将计算机恶意程序植入中毒去移动电话的记忆卡中。您可以这样想:这个恶意程序不仅会感染您的手机,同时也会将恶意程序传播到您的个人电脑中。
移动装置间谍程序:将电话通讯簿传送给第三者
一个新的Symbian恶意程序SYMBOS_PBSTEAL在11月11日现身。它会尝试将中毒使用者的通讯簿资料传送给第三者--在本文撰写时,它传送的对象是所有可用的线上蓝牙装置。目前行动装置恶意程序仍必须依赖社交工程技巧来散播,因为目标使用者必须接受通过蓝牙装置传送的信息,恶意程序才能进行散播。已知的Symbian恶意程序伪装成游戏程序与防毒软件,目的是为了让使用者接受并执行它。
游戏机恶意程序:从窃取游戏密码,到让游戏机变成“砖块”
2005年10月2日-一个以PSP团队为名的团体公布了一个声称为目前极受欢迎的SonyPlayStationPortable(PSP)的韧体(farmware)更新程序。后来发现这个文件其实是TROJ_PSPBRICK.A,一旦执行之后将会破坏PSP的韧体与BIOS,让游戏机变成一块非常昂贵的“砖块”。几天之后随即出现TROJ_DSBRICK.A,立刻让号称「绝不会变成砖块」的NintendoDS挨了一巴掌。DSBRICK变种让砖块这个比喻显得更贴切―它不仅会让您的游戏机变成像砖块一样毫无作用,而且它还真的会显示一堵砖墙的图片。它并不是以谋取利益为目的的攻击。不像其它以游戏密码为目标的窃贼,PSP与DS特洛依木马程序只会让掌上型游戏机无法使用。
突然间,这个恶意程序让追求开放原始程序代码的理论再度浮上台面。有些人认为这也是一种尝试妨碍隐私的行为,更有人大胆怀疑这是Sony与Nintendo联手策划的资本家阴谋。
商业性质的Rootkit:从Sony捍卫版权,到“魔兽世界”作弊工具
就在SonyPSP遭到「砖块化」攻击之后不到一个月内,SonyBGM被发现在其数字软件版权管理(DRM)软件中使用Rootkit技术以遏止盗版行为。这个Rootkit会隐藏所有名称开头为"$sys$"字符串的文件、资料夹、处理程序、以及登录机码。基本上,只要Sony的Rootkit存在,恶意程序作者就有现成的方法可隐藏他们的恶意程序。这是一种正当且合理的疑虑,而BKDR_REPLIBOT.C的出现竟让这个恶梦成真。最后,这场捍卫隐私权的战争竟然变质了。
此外,Sony的Rootkit还可用于一些较不正当的用途。专门攻击热门线上游戏「魔兽世界(WorldofWarcraft)」的黑客已经确认Sony的Rootkit可以让线上游戏的作弊行为完全无法被侦测到。「魔兽世界」的创作者撰写了一个防止作弊的程序,这个程序有个十分合适的名称─Warden,它会在游戏进行期间侦测执行的处理程序。然而这个Warden程序并无法侦测到SonyRootkit所隐藏起来的处理程序。虽然这还算不上是恶意的行径。只是有些不择手段的游戏玩家竟然毫不费力就能拥有令人难以置信的强大角色,而且还不会被逮到。
木马间谍程序:从银行密码到公家机关人事资料、线上游戏帐户
2004年底到2005年初期间,间谍程序所造成的信息与财务损失已成为计算机安全业界最关切的问题。多年来已有难以计数的个人使用者信用卡号与银行帐户号码遭窃。2003年底还传出ValveSoftware热门的视角射击游戏「战栗时空(Half-Life)」原始程序代码遭窃。2005年初,俄克拉荷马州某个警局里极为敏感的信息被窃,其中包括一些人事档案。虽然是公家机关,但在间谍程序的攻击行动中没有任何目标是神圣而不可侵犯的。为因应这种威胁,趋势科技在今年初定义了一个新的间谍程序类别,也就是特洛依木马间谍程序。
目前最著名且明显针对特定目标的间谍程序就是BANCOS与BANKER间谍程序,这两个间谍程序大多以巴西银行为攻击目标。继锁定银行为目标的窃贼之后,还出现了窃取热门线上游戏「传奇(Lineage)」与「天堂(LegendofMir)」帐户的窃贼。
网络钓鱼:从email到IM,从伪造页面到登录真正页面
网络钓鱼与利益导向恶意程序之间的微妙差异之前已经稍微讨论过。网络钓鱼攻击会运用最巧妙的社交工程技巧―巧妙的程度至少足以操弄使用者的恐惧、贪婪的心态,甚至更糟糕的是能利用使用者的无知。像是PayPal与eBay等知名网站经常成为网络钓鱼攻击所利用的对象。这确实是可以理解的,因为上述网站都是与金钱交易有极大关联的网站。十一月时,有一个Yahoo!钓鱼网站被发现,这个网站会利用Yahoo!Photos的名义,通过Yahoo!实时通讯进行自我推销。除了包含Yahoo!Photos与Yahoo!实时通讯在内的社交工程技巧以外,这个钓鱼网站所使用的技巧与八月所发现的Yahoo!Phish完全相同。
十一月时,PayPal遭到TSPY_FAKEPAL.A利用,这个恶意程序会附在告知收件者Paypal将进行「效能检查」的电子邮件中。一旦附件文件执行之后,就会悄悄安装这个特洛依木马程序,并且在使用者登入真正的Paypal网站时随即展开行动。这种技巧可被视为网络钓鱼诈骗手法的一大革新,因为使用者完全不会察觉到任何网络钓鱼诈骗行为的迹象。