趨勢科技 TrendLabs 「10 月惡意程式分析報告」

病毒販售電腦控制權、出售私密資料

10月病毒總數成長 22％，木馬程式上升30%

趨勢科技 TrendLabs 最新出爐的「10 月惡意程式分析報告」指出：10月份總共發現了1,817 個惡性程式，比 9 月份共上升了 22％。其中近進一半是木馬程式，其次是蠕蟲與後門程式，而具有遙控受害人電腦能力的 bot 程式，佔蠕蟲比例的近 8成。趨勢科技觀察發現，有些駭客會將自己創作的惡意程式放入駭客論壇或線上會議所在地兜售，近來 bot 遙控程式有瞄準金融機構的跡象。惡意攻擊者會將自感染的機器竊取財物私密資料，販售獲利，或是販賣已遭 bot 遙控程式入侵的系統控制權。

趨勢科技在 9 月的分析報告中，即指出駭客或病毒作者已不再因攻擊顯著目標而滿足於聲名大噪的”虛名”，愈來愈多的案件指出，他們轉向追求更多的實質利益。10月這種跡象更加顯著，新偵測到的木馬程式佔所有惡性程式的近一半比例（47％），且總數較上個月多了將近 200 隻，上升 30％。與前述預測呼應的是，bot 遙控程式仍佔 10 月蠕蟲中壓倒性的比例。趨勢科技表示10月新偵測到的蠕蟲總數僅次於木馬，它們佔了近 30％的惡意程式比例，其中更有 75％ 屬於可以組成殭屍電腦、發動不法攻擊的 bot 遙控程式。趨勢科技表示：「bot 是robot 機器人的簡稱，顧名思義是一個可以像機器人一樣遠端控制的程式。bot 遙控程式通常也是後門程式的元件之一，它可讓不法使用者遠端取得系統控制權，另外，為了加強茲生繁衍能力， bot 也會入侵已知的漏洞。攻擊者只要向 bot 遙控程式發送指令，被控制的每一台電腦都會?攻擊者不停的尋找漏洞電腦，然後不斷地進行複製，讓這個漏洞電腦也成?機器人網路/殭屍網路的一部份。」10 月中有一家中國在地的防毒廠商首頁被”黑”，由駭客設計的頁面取代，該攻擊中國安全廠商的駭客在投案時說明犯罪動機，表明是因為自己寫的木馬程式被防毒軟體破解，無法販售得利，而展開報復行動。趨勢科技TrendLabs 資深安全顧問 Jamz Yaneza 憂心地說：「DoS 攻擊的案例將會有增無減，因為被 bot 遙控程式控制的殭屍電腦部隊仍然持續地對沒有防護措施的電腦發攻擊。我們不排除bot 程式入侵系統所組成的殭屍電腦部隊，有針對金融機構發動 DDoS (distributed denial of service)的可能性。」

趨勢科技的報告中亦指出以下幾個現象：

1. 10月 Sasser 的感染率明顯地下降了，也自趨勢科技十大病毒排行榜裡退席，這反應了大多數的機器都已經安裝了視窗 LSSAS 修正程式，使得靠漏洞攻擊的 Sasser 找不到目標。
2. NetSky 家族系列仍高佔十大病毒 6 個席次，其中NetSky.P 高居本月感染冠軍。自三月以來該病毒感染了全球超過 200 萬的用戶，超過 Sasser 感染總數的 3 倍之多。可見利用「社交工程」（social engineering）人性弱點啟動的病毒，生命力依舊強韌。
3. 十大病毒的第二名 PE_ZAFI.B，儘管在 6月PE_ZAFI.B感染率呈現下降的現象， PE_ZAFI.B 在現身後 5 個月仍為主要感染病毒列表中的常客，趨勢科技表示它難纏的主因，是藉著「社交工程」技巧（social engineering）引發驚人繁殖力，這點跟歷久不墜的 NetSky 很雷同。PE_ZAFI.B 藉著大量掃射的 Mail ，經過包裝的內容，誘使受害者點擊看似色情圖片、語音訊息或是電子賀卡的附件。另外它也使用 peer-to-peer 檔案交換網路，取個廣受歡迎程式的名字，將自己放入檔案共用資料夾內，等待受害者上鉤。
4. 沈寂了一陣子的MYDOOM和 BAGLE在 10 月再度復活。 MYDOOM新變種，在程式碼字串裡透露對於Sasser 作者受雇於某 IT 廠商表達他的看法;而 Bagle. ej光是在 1 0月就有15 個新變種，其中 Bagle_AU 與Bagle_AT 分別於 10月29日與10月30日再度啟動中度病毒警戒。趨勢科技表示：「同一隻病毒在不到24小時內釋出第二隻變種，的確不太尋常，有可能是病毒想測試哪一隻散播的能力比較強。」目前Bagle_AT 以美國、義大利、日本為主要感染區，中國與台灣地區也有零星災情;而Bagle_AU 則大部分居中在美國。
5. 微軟 10月 12 日發佈的 10 個安全公告，有 8 個利用遠端執行程式碼的漏洞，2個星期後， HKTL_MS04-032 即是入侵未安裝 MS04-032修正程式 藉以遠端執行惡性程式的病毒。

SASSER 找不到漏洞機器，攻擊減緩
NETSKY靠「人性弱點」攻城掠地
自 9 月 25到 10月 is日期間， 趨勢科技 TrendLabs 全球病毒即時監控中心WTC (World Virus Tracking Center)所追蹤的前 1 0 大病毒感染率較上個月下降約 20％，但某些特定的病毒尤其是WORM_NETSKY.P 反而感染率不降反升。

經過連續3 個月的稱霸，毒王 Sasser 似乎有減緩攻擊的跡象，趨勢科技 TrendLabs 表示：「這意味著大部分的機器都已經將LSASS 漏洞修補好了,以致於Sasser 找不到迫害目標。相反的，NETSKY的感染率本月成長 30％，接管了毒王位置。自三月以來該病毒感染了全球超過 200 萬的用戶，超過 Sasser 感染總數的 3 倍之多。

除了WORM_NETSKY.P 外,其他 4 個 NETSKY 變種也列入前十大病毒，佔十大病毒的感染率的近半數。如下圖所示，NetSky 的感染高峰在 4 月初，在持續下降數月後，10月 NetSky 反彈到了400,000 感染數目左右,將近於高峰期的1/5。

TrendLabs 表示，NetSky之所以持續繁衍，在於它充分地使用了一般人們克制不住開啟 email 附件的好奇心，多數人那怕是來路不明的發信者，還是難底一窺究竟的衝動。The major issue in NETSKY’s consistent prevalence is the fact that it rides on the seemingly irremediable human penchant for opening attachment in email messages even from unknown sources. 不同於 SASSER 藉由漏洞衍生， NetSky 可說是充分利用「人性弱點」大量滋生的蠕蟲。

木馬和 bot 遙控程式持續成長，惡性程式轉向”利”多
TrendLabs 在10月份共發現 1,817 個惡意程式， 相較於上個月成長 22% 。近幾個月來，趨勢科技偵測到愈來愈多的木馬程式，在每月偵測到的惡意程式中，高居主要感染形式。十月木馬程式較上個月上升 30％，而且高居所有惡性程式的 47％。若加上backdoor 後門程式，那麼木馬程式幾乎佔所有惡性程式比例中的 65％。

蠕蟲是僅次於木馬的病毒型態，它們佔了近 30％的惡意程式比例，其中 75％ 屬於可以組成殭屍電腦、發動不法攻擊的 bot 遙控程式。bot 遙控程式通常也是後門程式的元件之一，它可讓不法使用者遠端取得系統控制權，另外，為了加強茲生繁衍能力， Bot 也會入侵已知的漏洞。

會刪除檔案的PE_ZAFI.B 連續 5個月蟬聯亞軍
去年 7 月 PE_ZAFI.B 挾著破壞檔案的攻擊力，一出現就登上趨勢科技全球病毒即時監控中心WTC (World Virus Tracking Center)的最高感染率，遙遙領先榜上 NETSKY 系列的六隻變種病毒，自此都未曾至十大病毒排行榜的第二名席次中下滑。儘管在 6月PE_ZAFI.B感染率呈現下降的現象， PE_ZAFI.B 在現身後 5 個月仍為主要感染病毒列表中的常客，趨勢科技表示它難纏的主因，是藉著社交工程技巧（social engineering）引發驚人繁殖力，這點跟歷久不墜的 NetSky 很雷同。

相較於9月， PE_ZAFI.B 感染率下降了 35％，也僅佔 6 月感染數量的 30％，不過它的破壞力卻是不容小覷的。PE_ZAFI.B 會覆寫任一檔案夾中的 .EXE 檔案，並且將病毒程式複製入該檔案夾，且檔名與被刪除的檔名一模一樣。正在運作的程序，若含有 “regedit” “msconfig” 和 “task”也將被立即刪除。

趨勢科技表示它難纏的主因，是藉著社交工程技巧（social engineering）引發驚人繁殖力，這點跟歷久不墜的 NetSky 和 BAGLE 很雷同。PE_ZAFI.B 藉著大量掃射的 Mail ，經過包裝的內容，誘使受害者點擊看似色情圖片：jennifer the wild girl xxx07.jpg.pif、語音訊息：www.ecard.com.funny.picture.index.nude.php356.pif或是電子賀卡：link.flashcard.de.viewcard34.php.2672aB.pif的附件。另外它也使用 peer-to-peer 檔案交換網路，取個廣受歡迎程式的名字：winamp 7.0 full_install.exe 、Total Commander 7.0 full_install.exe ，將自己放入檔案共用資料夾內，等待受害者上鉤。

MYDOOM 和 BAGLE 再度復甦,謹防病毒爆發
10月 MYDOOM 和 BAGLE 釋出的新變種：WORM_BAGLE.AU 和 WORM_MYDOOM.AA.，造成了新聞焦點。MYDOOM 曾在今年初造成病毒爆發，WORM_MYDOOM.AA在病毒碼中留下的字串，讓其聲名大噪：

Lucky's Av's ;P~. Sasser author gets IT security job and we will work with Mydoom , P2P worms and exploit codes .Also we will attack f-secure,symantec,trendmicro,mcafee , etc. The 11th of march is the skynet day lol . When the beagle and mydoom loose, we wanna stop our activity <== so Where is the Skynet now? lol.

除了威脅防毒軟體公司外，其字串中也對仍在等待審判的 Sasser 和 NetSky 作者Sven Jaschan獲得德國一家名為SecurePoint 公司雇用為實習生，發表意見。

總共啟動過1 3個中度風險警戒的BAGLE，是本年度啟動最多病毒爆發事件的病毒，10月更追加滋生 15 個新變種。最近的一次 Bagle 啟動的病毒爆發是在8月 31 日由WORM_BAGLE.AI 導致的。過去 10 個月中有 6 個月 Bagle 至少引發一次病毒警戒。10月底 Bagle_AU 與Bagle_AT 分別再度啟動中度病毒警戒，使得本年度的病毒爆發次數累計至第28個。

微軟公佈漏洞後，兩週後惡意程式隨即攻之
微軟 10月 12 日發佈的 10 個安全公告，有 8 個利用遠端執行程式碼的漏洞，2個星期後， HKTL_MS04-032 即是入侵未安裝 MS04-032修正程式藉以遠端執行惡性程式的病毒。Graphics Rendering Engine 漏洞存在於繪製 .WMF 和 .EMF 影像檔案的程式碼，可能會讓攻擊者從遠端執行程式。只要是系統有這個漏洞，任何繪製這類影像的應用程式都可能會受到攻擊。一旦攻擊成功，攻擊者就可以透過這個漏洞完全掌控系統。

HKTL_MS04-032 是一個控管端的駭客程式，它藉由蒐集 EMF 檔案來入侵Graphics Rendering Engine 漏洞，它在微軟公佈漏洞的 10 天后現身。無論在資料夾裡預覽小圖或是手動開啟該圖片，該病毒都會入侵。