卡巴斯基实验室2007年上半年的追踪恶意网站及恶意软件(通过网站传播)报告中显示,近几年,恶意软件传播方法已经发生了变化,从固定的介质(硬盘)转向邮件传播(如声名狼藉的爱虫邮件)以及直接的网络攻击(如红色代码)。如今恶意软件最新的发展是通过万维网传播。
基于网页的恶意软件快速增长有很多因素,其中一个原因是由于在2003到2006年发现了微软IE存在大量漏洞。另外一个原因是由于大多数反病毒引擎和访问网页的方式在理念和设计上不兼容,因为大多数反病毒引擎需要拷贝整个文件来检测是否感染病毒,这就会在扫描类似网页流文件时发生问题。当然,此问题可通过代理层方案解决,先高速下载流量,下载完毕后便会将其传至反病毒引擎,然而,这种方式也不是很普及。
基于网页的恶意软件快速增长的另外一个因素或许是因为企图阻止电子邮件中的可执行格式附件。早在2003年和2004年,大多数恶意软件通过电子邮件传播(如.EXE/.SCR/.PIF文件等),许多系统管理员决定完全禁止电子邮件中的可执行格式文件,这样做的直接结果就是恶意软件作者开始使用压缩文件传播-如ZIP文件。早在2006年,包含漏洞的微软Office文件也是恶意软件传播的载体。
恶意软件作者想到了一个简单的方法来解决这个问题:他们放弃电子邮件来发送恶意软件主程序,而开始发送包含恶意程序的网站链接地址。因为邮件网关仅过滤邮件正文,不可能检测在邮件中是否链接恶意网站,利用这种手段可以达到目的。
上面列举的因素是恶意软件传播的方式,诱惑用户打开包含恶意软件的web服务器,或者手动执行恶意软件(社会工程学),或者利用用户网页浏览器漏洞达到攻击目的。
传播方法
包含在网站中的恶意软件感染用户计算机主要有两种方法:
第一种方法利用社会工程学攻击,例如,攻击者发送一封包含网页链接的邮件,声称该链接网站很有趣,以下为此类电子邮件实例:
图1. 内含有恶意软件链接的电子邮件
在上面的邮件中,YouTube链接是一个假冒网站,当打开该网页时将显示“无法找到该视频”,影片的HREF链接却指向另一个IP地址的网站,当用户访问时显示以下内容:
图2. 包含恶意软件的假冒网站
“点击这里”链接将指向名为“video.exe”的可执行文件,其为Zhelatin的一个变种,也称为风暴蠕虫。
恶意软件传播的第二种方法是通过网页浏览器漏洞感染系统,以下是这种方式的例子:
图3. 包含漏洞的网页源代码,目的攻击Mozilla Firefox
上面的图片显示了网页中的一部分,该网页包含已加密网页浏览器漏洞。大多数包含网页浏览器漏洞的站点会使用一些模糊化技术,其目的是避免基本的可以通过扫描TCP/IP流的 IDS检测,这些扫描的类型是已知的,也相当于简单基于代码的反病毒系统,该漏洞代码一旦被解密,将进行分析:
图4. 解密攻击程序部分画面(Trojan-Downloader.JS.Agent.ep)
既然如此,恶意代码试图加载具有很长名称的“.WMV”文件,这是Windows Media Player插件 EMBED溢出漏洞(在微软Windows 安全公告MS06-006-说明“Windows Media Player 插件由于其处理格式错误的 EMBED 元素而存在一个远程执行代码漏洞(911564))。现今浏览器回将此类要求传送到Windows Media Player,一旦检测到漏洞,将导致系统崩溃。有趣的是,即使系统已经更新到网页浏览器的最新版本,如果Windows Media Player有漏洞,系统仍然可以被感染。
如以上所述,恶意程序有两种主要的方法通过网络入侵受害者计算机:通过利用社会工程学或者网页浏览器漏洞。不过您也无需感到惊讶,因为在大多数情况下,恶意程序作者依靠这两种方法结合来提高入侵成功率。
上面提到的例子Zhelatin就是利用了这两种技术的结合,传播该蠕虫的后台程序似乎使用PHP语言编写,恶意网页在给用户前要做很多事情。最重要的是,它要检查浏览器User-Agent标识符,假如该标识符不常见,如苹果操作系统中的Safari或Linux中的Lynx,将使用社会工程学技术发布网页。假如浏览器标识符看起来属于Internet Explorer,如“Mozilla/4.0”(和MSIE 6.0; Windows NT 5.1相兼容),它将发布包含特殊IE攻击程序的网页,在Firefox中也是如此。
