讓反病毒程序見鬼去吧 新蠕蟲病毒BetaBot面世
使用多語言的社會工程技術來迷惑用戶
2013年3月初,一個名為“BetaBot”的蠕蟲病毒出現。與其眾多的功能相比,售價卻便宜得不到500美元。即便如此,它的大部分特征對于現在的蠕蟲病毒來說,都是相當標準的。比如,它具有不同的DOS攻擊方法、遠程連接能力、形式采集和其他信息竊取能力。其中,在某個地下論壇對一項特殊的特征所打出的廣告引起了我們的注意:“讓反病毒程序見鬼去吧”,后面跟隨著近30個據說全部可以被“BetaBot”禁用的安全程序。
它到底要做什么?
當BetaBot安裝到系統中以后,開始搜索一個其聲稱是已知的安全產品清單。當找到其中的一個已安裝的程序后,BetaBot就開始執行后面我們要提到的攻擊。它自己做好準備,通過除掉程序、禁用注冊表項、或僅僅是禁用自動更新的方式來攻擊安全程序。根據安全產品的類型,“BetaBot”還通過注入某些例程到那些通常允許通過防火墻的程序中,例如InternetExplorer,從而試圖繞過防火墻。
用戶訪問控制(UAC)-都是權限惹的禍
在現代的Windows操作系統中,用戶的權限被分成標準用戶(低)和管理員用戶(高)。與管理員不同,標準用戶不能修改系統的關鍵部分。如果用戶啟動某個程序,用戶的權限就會被程序記住。因此,程序也可以被分成高級權限和普通權限程序。默認情況下,只有普通權限的用戶才被允許執行每個程序,因為用戶僅擁有默認情況下的標準權限。按需訪問時,可以提高這些權限。
粗略地講,所有的程序可分為低權限和已授權的程序,而具有較低權限的程序無法對具有較高權限的程序進行修改,但已授權的程序卻可以修改自己和較低權限的程序。此外,權限也可以在程序間被傳承。因此,如果一個已授權的程序啟動另一程序,那么這第二個程序也得到了授權。
為防止惡意軟件對系統造成嚴重的傷害,從低到高提高權限是最關鍵的一步。是否提升正在運行的程序的權限由用戶決定,系統中的UAC對話會提示用戶,選擇“是”或“否”進行授權。用戶還可以得到一些額外的有關程序要求授權的信息。“BetaBot”針對這個界面,試圖通過利用社交工程的伎倆來迷惑用戶。
“BetaBot”的上位技巧
對于一些惡意軟件而言,使用低權限就足以進行破壞活動,因為這已然可以令攻擊者修改其他權限較低的程序,讓自己膠著在電腦中。然而,安全程序通常使用提升的權限運行,因為他們需要訪問系統中的所有資源,以提供最大的保護。使用提升的權限運行,可以保證安全軟件不會像操作權限較低的進程那樣被屏蔽掉。因此,為了攻擊安全軟件,“BetaBot”也需提升自己的權限。為了實現這一目標,它為用戶設計了兩個陷阱,用來說服用戶為自己提供更高的權限。
上位處理并不是由“BetaBot”直接執行的,而是通過微軟Windows的cmd.exe文件,它由命令行的參數觸發后,開始執行BetaBot。因此,系統會提示用戶提升Windows程序的權限,然后將權限傳承給BetaBot。通常情況下,用戶因疏忽大意而相信這樣的提示,因為這似乎是微軟Windows自己發出的提示,而這也恰恰是BetaBot希望的。
cmd.exe文件升級權限的提示截圖
但是,如果仔細觀察不難發現,我們可以跟蹤到cmd.exe文件會啟動BetaBOTexe文件。
UAC對話截圖擴展視圖
因此,用戶并不清楚,還以為他是在提升Windows可執行文件的權限,但實際上卻是危及了自己的系統。
讓人欣慰的是,如果彈出UAC對話框,許多用戶會對冒出來的對話框產生疑問。為了解決這個問題,BetaBot在要求提升權限之前提出了一個理由:如當前用戶的文檔文件夾中發現已損壞的文件夾和“嚴重的磁盤錯誤”等虛假消息,試圖嚇唬用戶相信重要的數據可能即將丟失。但BetaBot也提供了一個二選一的解決方案,兩個方案都承諾,可以恢復丟失的文件夾。但實際上,無論用戶選擇哪一項,都會觸發剛才所描述的UAC彈出對話框。
誘騙用戶的UAC對話框中的虛假消息截圖
一旦BetaBot的權限被提高,它就會像開頭提到的那樣,試圖攻擊各種安全軟件產品。
為了能夠誘騙世界各地的用戶,BetaBot能夠使用多達10幾種語言創建UAC對話框和虛假的錯誤消息。例如德語、英語、西班牙語、法語、荷蘭語。
教訓
惡意軟件經常使用恐嚇戰術,誘騙用戶提供系統訪問權限。但我們建議用戶:即使情況已相當緊急,哪怕即使是GDataFAKEAV發出系統遭受巨大的感染警告,用戶也應保持冷靜,并仔細驗證所提供的資料。在本文提到的BetaBot事件中,分析系統窗口所提供的細節就可以發現,cmd.exe文件實際上是用來執行另一個程序的。
如上所述,通常情況下,如果程序未被授權,UAC是用來提供程序權限的。但是仔細想想看,難道Windows還需要提升自己的程序權限,來修復硬盤上的錯誤?對了,絕對不會。
如何防止這種攻擊
在按下鼠標前,先仔細想想!認真閱讀系統發出的提示,不要輕率的點擊“是”或“確定”。在有疑問的情況下,請人幫助一下,或嘗試到網上搜索一下關于提示的更多信息。
使用具有惡意軟件掃描、防火墻、網頁和實時保護等綜合功能的,最新的安全解決方案是絕對必要的。能使您免受垃圾郵件困擾的垃圾郵件過濾器,也具有實際的意義。
安裝的操作系統、瀏覽器和組件以及安裝的安全解決方案應始終保持最新。應盡快關閉現有的安全漏洞并安裝程序更新。
