意大利Web域使恶意攻击可波及全球
来源:中国电子政务网 更新时间:2007-07-02

  趋势科技6月20日宣布,上周末在意大利,利用装载了恶意代码的合法网页来植入按键记录器从而窃取用户密码,或者将计算机引向代理服务器进行其他攻击的恶意感染事件有扩大趋势。趋势科技数据表明全球有数万名用户访问了受害URL,且忽略了正常网上冲浪时应注意的安全措施。最初的HTML恶件利用一个名为"iFrames"的漏。“Frames”用于网站且经常被利用。趋势科技研究者认为这最初可能是一个自发攻击,是由一个计算机特洛伊制造工具包引发的。

  在受影响的浏览器上,IP网页会被重新定向,这时,恶件工具包统计页面就会显示出有多少用户在访问合法意大利语网站时,被重新定向至能够启动下载链的主机。目前,趋势科技尚未接到来自中国国内的病毒报告。趋势科技MOC中心(Monitoring Operation Center,反病毒监测响应服务中心)正对该恶意攻击进行严密监控,一旦发现问题将及时交与中国区病毒实验室(China Trendlab)进行分析。

  趋势科技中国区病毒工程师张志徐说,在最近的一两年之内在中国国内就有恶意攻击者利用BBS或者网站的漏洞,手动植入网页的重定向代码。而导致用户访问此合法站点时被从定向到恶意攻击者自行架设的站点,下载恶意执行程序,而导致用户的信息被窃取或网络瘫痪等损失。趋势科技专家提醒广大中国区用户,从这次意大利爆发的恶意感染事件发现,如今的恶意代码植入手法已经从手动发展到了自动,以致顷刻间导致数千个网站被攻击。在Web威胁越来越猖獗的今天,用户应该加强对网页的安全访问意识。

  因为这种恶意攻击是透过HTTP入侵,因此建议企业用户建置HTTP网关防毒系统(IWSA/IGSA),可以启动拦截可执行文件的功能以及URL过滤功能。非趋势科技产品的用户,亦可下载趋势科技PC-cillin2007对此病毒进行查杀,PC-cillin特有的URL过滤技术可彻底清除此病毒:http://www.trendmicro.com/download/zh-cn/product.asp?productid=32

  本次感染的传播机制是一个复杂过程,但是需要取决于网站所有者是否意识到被侵害,以及网站使用者是否了解即使在合法网站上冲浪也会被感染。

  下面是感染的具体过程:

  1) 受损害或受攻击的第一级URL是合法网站。这些网站大多数都是合法的意大利语网站,刊登有当地的旅游、宾馆、汽车服务、音乐、乐透等广告。

  2) 这些网站被攻击后,恶意IP地址 (HTML_IFRAME.CU)被嵌入到合法网站的HTML代码中,这样用户就会被转向至另一个带有Javascript下载程序 (JS_DLOADER.NTI)的网站。这时受损害的是第二级和第三级URL,趋势科技可以封堵这些下载程序。

  3) 第三级URL会从第四级的URL处下载一个特洛伊至目标系统。这就是TROJ_SMALL.HCK的URL,它同样也会被趋势科技封堵。

  4) 特洛伊会从两个不同的五级URL再下载另外两个特洛伊,分别是TROJ_AGENT.UHL和TROJ_PAKES.NC,这两个特洛伊都能够被趋势科技检测和封堵。

  5) 这时,特洛伊PAKES 会从第六级URL下载一个窃取器——特洛伊SINOWAL的变种。

  专家提醒大家,可以通过以下行为来防止访问恶意网站:

  对于家庭用户:

  警惕需要安装软件的网页。除非你绝对信赖该网站以及软件的提供商,否则一定不要通过浏览器安装新软件。

  使用更新后的防病毒和防间谍软件扫描任何通过互联网下载的程序,包括通过P2P、Web以及FTP服务器下载的文件。

  警惕那些看起来比较奇怪的电子邮件,不管发件人是谁。不要打开这些电子邮件中的附件或点击其中的链接。

  激活Windows操作系统的自动更新功能,并尽快安装更新补丁。

  一定要使用防病毒实时扫描软件。定期检查防病毒软件是否更新,服务是否运行。

  对于公司用户:

  部署HTTP扫描方法。由于Web危险的蔓延,我们强烈建议在大中型网络中执行基于Web的扫描系统。此外,不仅要部署,而且还需要确认用户无法屏蔽系统。执行这个系统的最安全方法莫过于强制用户将所有Web请求都转发到扫描设备,否则就予以拒绝。在与恶件和间谍软件的斗争中,这一点至关重要,因为Web已经成为它们进入公司网络的首选突破口。

  不允许不需要的协议进入公司网络。最危险的协议就是P2P通讯协议和IRC (聊天)协议了。这两个协议正是Bot进入公司网络和对外通讯的利器,因此一定要使用公司防火墙将其禁用。

  在网络中部署漏洞扫描软件。保持操作系统随时更新可以最大程度的降低网络漏洞的影响,以及消除被蠕虫感染的危险。强烈建议给各种应用都打上最新补丁,包括办公室生产力软件以及用户使用的所有其他软件。

  严格限制网络用户的权限。核心级rootkit可以作为设备驱动程序执行,因此禁止用户装载和卸载设备驱动程序可以最大程度的阻止它们。Windows Vista已经提供了一项保护,可默认实现这一功能。其他恶件也需要使用管理员权限才能执行恶意代码。因此,对付流氓软件的一个好方法就是限制用户权限。通过剥夺普通用户的管理员权限即可实现这一点。

  部署公司防间谍软件扫描。随着间谍软件在公司中的日益流行,管理员需要部署特定软件才能够检测和组织它们。

  支持提高用户安全意识的活动。如今恶件使用的大多数攻击都试图去愚弄用户。这就是所谓的社会工程,需要特别注意使用,因为它是绝大多数感染所采用的方法。如果用户不去点击它的话,那么2006年发现的大多数恶件都无法对用户造成损害。通过教育用户,让他们了解恶件是如何通过愚弄他们而进入网络的,可以极大降低恶件的威胁。我们必须教会用户基本的安全手段以及了解如何应对典型攻击。这对于预防公司内部爆发还有很长一段路要走。向用户通告最新的威胁,让新用户了解公司的安全策略和建议都是非常关键的。