企業Web應注意的十大惡意攻擊軟件
惡意攻擊軟件從來都是威脅互聯網安全的一大黑手,不論是利用漏洞還是其他的攻擊方式。惡意攻擊軟件一直是企業及個人用戶、安全專家們所針對的網絡威脅。借助于IronPort SenderBase,思科估計搜索引擎查詢導致了74%的web惡意軟件感染。幸運的是,其中的三分之二并沒有產生漏洞利用代碼或者已經被阻止。但這意味著35%的web漏洞利用仍在瀏覽器中肆虐,在這里這些惡意代碼試圖破壞文件,竊取信息,傳播自己,或等待進一步的指示。
瀏覽器的釣魚過濾器、反惡意軟件引擎及最新的補丁可以在對付到達桌面的惡意軟件的戰斗中扮演重要的角色。但是,為了發現單位目前尚未防備的惡意軟件和未打補丁的漏洞,讓我們來看看當今最流行的web惡意軟件工程是如何運行的。
惡意攻擊軟件第十位:思科的報告中占據最后一位的是Backdoor.TDSSConf.A。這個木馬屬于內核模式rootkit的TDSS家族,TDSS文件是由另外一種木馬Alureon所產生的。一旦安裝,TDSS就可以隱藏相關的文件和鍵值,并且使用rootkit策略來禁用反病毒程序。從電腦中清除 TDSS相當困難:使用最新的反惡意軟件工具來阻止文件的產生也許是更好的辦法。
惡意攻擊軟件第九位:Mal/Iframe-F可謂"寶刀不老"。許多變種都使用了這種流行的技術:把一個不可見的HTML〈iframe〉標記插入到其它的合法網頁中,從而秘密地將瀏覽者重定向到其它網站。隱藏的 iframe可能會逃過人類的肉眼,但是web內容掃描器卻可以找到它,web URL過濾器可以阻止到達黑名單中的站點的重定向。
惡意攻擊軟件第八位:與Iframe-F相媲美的是JS.Redirector.BD,這種特洛伊木馬也可以將用戶指引到一個用戶并不打算訪問的網站。如同 JS.Redirector家族的其它成員一樣,這種木馬使用模糊技術試圖逃避黑名單過濾器的檢查,如采用動態生成的目標URL等。
惡意攻擊軟件第七位:Backdoor.Win32.Alureon是動態的具有多面性的特洛伊木馬,它的目的是為了從受害人的web活動中獲取收入。它的每一個實例中的惡意軟件組件都不相同,但Alureon卻能夠修改DNS設置,劫持搜索結果,顯示惡意廣告,截獲機密數據,任意下載文件,并且可以破壞磁盤驅動。思科的威脅報告表明,Alureon已被用于在受感染的計算機上生成TDSS。
惡意攻擊軟件第六位:Worm.Win32.VBNA.b可以將其自身植入到用戶的"Documents and Settings"文件夾中,并向注冊表中添加一個Run(運行)鍵值。然后,VBNA能夠自啟動,并將其自身通過可寫入的文件夾傳播到鄰近的電腦中。 VBNA還會顯示一個虛假的病毒感染警告,目的是為了欺騙用戶去購買虛假的反惡意軟件(通常只是另外一個惡意軟件)。這種能夠侵害不明真相的用戶的伎倆有上升趨勢。
惡意攻擊軟件第五位:JS.Redirector.AT是特洛伊木馬家族中的另外一個成員,它可以將用戶重定向到其它的網站。這些網站一般是色情網站、釣魚網站,并且可以向受害人的電腦上安裝惡意軟件。抵制這些特洛伊木馬的方法之一就是禁用JavaScript的執行。為了安全起見,用戶最好還要在Acrobat Reader中阻止隱藏在PDF文檔中的JavaScript。
惡意攻擊軟件第四位:Mal/GIFIframe-A可謂前面所談到的Iframe-F的兄弟。它使用iframe標記,但是這個惡意軟件家族利用的iframe是一種特殊的標記,這種標記被注入到用流行的 GIF和JPG圖形格式編碼的文件中。在某個用戶訪問一個受感染的網站或試圖加載圖形時,受感染的iframe就會被處理,執行攻擊者所提供的代碼。
惡意攻擊軟件第三位:鍵盤記錄木馬PSW.Win32.Infostealer.bnkb占據惡意軟件3%的份額,并且它有大量的變種木馬,主要針對大量的機構及其客戶。其主要目標就是捕獲用戶的擊鍵,掃描特定的web業務,并竊取與網絡銀行相關的用戶名、口令、賬戶等。
惡意攻擊軟件第二位:JS.Redirector.cq是JS.Redirector的新變種。如同其它家族成員一樣,這種特洛伊木馬使用惡意的JavaCript 來對用戶進行重定向。然后,用戶會發現自己位于一個網站上,要求其掃描病毒,并下載虛假的反病毒代碼,不管用戶單擊了窗口中的任何位置,這種下載都被強制執行。但是合法網站是怎么感染上JS.Redirector這種木馬的?思科的報告稱,其最常用的一種手段是SQL注入攻擊。
惡意攻擊軟件第一位:臭名昭著的Exploit.JS.Gumblar占據著2010年所有惡意軟件中5%的份額。Gumblar是一個可以在受害人系統上產生加密文件的下載器。Gumblar在無需用戶同意的情況下就運行可執行代碼,將JavaScript注入到HTML頁面中,由web服務器返回或由用戶的瀏覽器顯示出來。這種被注入的JavaScript通常包含著一種很模糊的漏洞利用;早期的腳本可以從gumblar.cn下載更多的惡意軟件,該木馬由此得名。
上面這個列表的目的并不是為了告訴你要掃描哪些惡意軟件,而是要提醒你要不斷地更新桌面上、服務器上、網關上所安裝的反惡意防御系統。你應當使用這個清單及類似的其它清單,來對付針對web服務器和用戶的各種惡意威脅。
【編輯推薦】
