ESET 最新防護資訊: 2009年5月 全球威脅流行趨勢 (最後更新: 20090729)

ESET David

此主題旨在為各位提供最新的電腦防護資訊.
例如: 現在流行甚麼病毒, 有甚麼新的技術能提高你的防護, 全球威脅資訊, 等等.

1. 中小企業網路安全常識系列 -企業不容忽視的第一道防線：防火牆
2. 利用Windows統安全漏洞作攻擊的蠕蟲 - Conficker

2008年惡意程式回顧
2009年威脅流行趨勢預測
2009年2月 全球威脅流行趨勢
2009年3月 全球威脅流行趨勢
2009年4月 全球威脅流行趨勢
2009年5月 全球威脅流行趨勢

[ 本帖最後由 ESET David 於 2009-7-29 16:19 編輯 ]

ESET David

中小企業網路安全常識系列 -企業不容忽視的第一道防線：防火牆
一般被稱為「防火牆」的Firewall，是指設置在不同網路之間（例如需要保護的內部網路和公共的互聯網之間）的一些軟體和硬體的系統組合。在功能上，防火牆可有效地監控內部網路和互聯網之間的任何活動，保證了內部網路的安全。它通過監測、限制、更改要通過防火牆的「數據封包」，儘量對外屏蔽要保密的有關內部網路資訊、結構和運行狀況，防止資訊洩露，以此來保護網路的安全。

防火牆的基本原理
如果IP位址是電腦的「往址」，一部電腦便可比喻成一棟大廈，連接埠就像這大廈的不同的入口，負責各種不同的業務，行人訪客，駕車的訪客和送貨的貨車各有不同入口。所有的連接埠都會按通訊協定，被賦與不同編號，防火牆的功能就像保安員，監視進出大廈的訪客，禁止可疑人或物通過。最簡單的防火牆型態是僅由單一的封包過濾器組成的，防火牆網路外部的使用者在透過路由器的封包過濾之後，才能接觸到網路內部的網際網路伺服器。這種配置下，防火牆管制工作一定要非常嚴格，只讓那些對擷取有嚴格限制的服務如電子郵件傳遞等進入內部的網路系統，而一些危險性較高的服務如遠端載入、檔案傳輸等阻檔在外。

防火牆的重要性
「有了防毒軟體為甚麼還要加裝防火牆？」這是許多個人電腦使用者的疑惑。其實，防毒軟體與防火牆是相輔相成的。試想像一個機場的入境大堂，防火牆便如同在電腦系統大門口站崗的海關人員，所有入境者，包括惡意程式想透過外部網路侵入內部系統，都要先經過防火牆的驗證，這也是防止駭客的基本防務；而防毒軟體便像是機場內，那個操作紅外線檢查體溫裝置的衛生檢疫人員，各司其職，構成二重的保護網，希望能夠有效防止駭客的惡意病毒程式，避免境內的電腦健康受到損傷。新型病毒為達到擴散的目的，也經常利用隱藏連線來感染系統，所以正確設定防火牆也能有效地阻止病毒的攻擊。

中小企業的通病
防火牆在網路安全部署策略上，通常都是第一道防線，同時客戶端也應安裝防火牆，構成雙重的防護。企業經常忽視的重大議題，便是沒有真正的所謂的「維護」，能上網之後就不管，出事時才會去理它，這是很常見的網路管理觀念。其次是很多防火牆規則(Policy)的建立，幾乎沒有整合資訊安全政策或網路政策。管理者可能根本不知道哪些Policy是不能開設的，令防火牆大開後門。最常見的就是應獨立、隔離網段，但防火牆卻有開後門做管理。很多防火牆管理者只著重管理「進入」的交通，卻疏於管理「流出」的交通。Policy設定過多、且異動頻繁，這些都是嚴重警號。更嚴重的問題是，中小企業根本不可能有專責人員管理，這時在客戶端安裝防火牆便是其中一個解決的辦法。

選擇合適的客戶端防火牆
中小企業要選擇合適的客戶端防火牆，第一條件當然是要可靠，其次便是要設定簡單，讓非技術人員也能明白及使用。以整合了防毒、反間諜程式、防垃圾郵件和個人防火牆的ESET Smart Security為例，其「互動過濾模式」在設定後，以後若有尚未建立規則的應用程式試圖對外做連線的動作時，ESET Smart Security就會彈出警告視窗，如果信任該應用程式的話就勾選「建立規則」然後按「允許」，不信任的話就按「拒絕」即可，當然用戶也可選擇進階模式自行設定規則。個人防火牆由於安裝在客戶電腦上，少不免會用到系統資源，因此選擇消耗較少資源的產品亦相當重要。ESET Smart Security 是一款消耗非常少的資源的產品，不會像其他品牌的「即時防護」功能會因為掃瞄檔案而拖慢系統，絕不會防礙用戶的日常工作。

ESET David

提提大家要經常保持Microsoft 更新，並使用防護性強的密碼。
MS08-067    http://www.microsoft.com/taiwan/ ... letin/MS08-067.mspx

Conficker 詳情
Conficker是第一隻利用Windows近期嚴重系統安全漏洞作攻擊的蠕蟲（MS08 - 067）。Conficker並不止會攻擊系統，更能偵破一些設定不當和過於簡單的密碼。除了能夠破解防護力弱的密碼，Conficker亦會利用 Windows的Autorun(自動執行)功能進行攻擊，對於這個設計漏洞，微軟在很久以前早該把它修復，但可惜微軟一直堅持，這只是一個正常的系統功能。致使所有製作數碼相框、MP3播放器、GPS系統和其他各類USB設備的公司，成為病毒自動傳染技術的間接兇手！

不難發現大部分的病毒感染者都是來自企業。因為家庭用戶大多允許Windows Update自行操作，這對於他們來說，是一個相當不錯的工具，但對於企業而言，結果則非常令人沮喪。因為這意味著，企業的執行人員沒有標準的安全防護管理。這是一個須要留心的重要訊息，企業的執行人員並不知道實際上該如何評估安全防護。「我們需要時間來測試」並不是一個忽略更新MS08 – 067更新檔的良好理由。

大家可以按此下載Win32/Conficker Worm清除工具掃描及移除受感染檔案。
解壓密碼：cleaner
更新日期 20090118

大家都可以使用ESET NOD32 AntiVirus 3.0。(自行升級安裝ESET NOD32 3.0版 http://www.eset.hk/html/182/909/ )　並更新病毒資料庫，再進行全系統掃描。

Conficker的故事仍未完結 http://www.eset.hk/html/309/1033/
清除Win32/Conficker Worm http://www.eset.hk/html/309/1026/

ESET David

● 假防病毒和反間諜程式的數量和複雜性在增加。
● 線上遊戲密碼盜取者通過獲取受害者的遊戲帳戶，盜取資產，如虛擬寶物和貨幣，並重新出售這些資產，從而獲得大量財富。
● 為了在受害者電腦中建立常駐的程式，Windows自動運行工具經過了大多數惡意程式家族的開發。
● 惡意程式利用通常被認為是“安全”的惡意PDF檔來傳播。
● 作業系統及程式發展的缺陷導致漏洞，讓應用程式或作業系統容易受到攻擊。
● 微軟的MS08-067的安全問題導致Confiker和Gimmiv惡意程式的傳播。
● 風暴蠕蟲(Storm Worm)及僵屍網絡(Botnet)的減少。駭客正從從大型僵屍網絡轉移到小型網絡，這往往更容易隱蔽，更容易操控3。
● 在瀏覽器和用於分散惡意程式的流覽器的外掛程式中，由下載和流覽的眾多缺陷所驅動。
● 繼續使用惡意程式冒充轉碼器。他們往往通過受害者需要觀看某種形式的數位內容，引誘他們相信該程式是合法的程式，以便說服他們執行惡意程式。同時還把使用的感染媒體檔傳播，一個突出的例子就是假冒正常播放影片的GetCodec4
● 繼續使用加殼技術（Themida等）和混淆器（obfuscators）以逃避防毒軟件的檢測，特別是通過常規的資料庫(Signature database)掃描5。


惡意程式  (由大至少百份比排列)
(包括: 病毒/木馬/間諜程式/蠕蟲/廣告程式)        偵測數目        百份比
Win32/PSW.OnLineGames                    37070676        10.78%
INF/Autorun           28507689           8.30%  
WMA/TrojanDownloader.GetCodec.Gen        10904289                3.18%  
Win32/Toolbar.MyWebSearch             8921028          2.60%
Win32/Pacex.Gen                 8620971           2.51%
Win32/Agent             7760329           2.25%
Win32/Adware.Virtumonde         4588952         1.34%
Win32/Genetik           3828021          1.11%
Win32/Qhost             3717897          1.08%
Win32/Statik            3244414         0.94%

[ 本帖最後由 ESET David 於 2009-2-21 11:31 編輯 ]

ESET David

1.更多欺詐事件發生
譬如欺騙一般使用者去購買和使用假冒的防毒軟件來清除病毒，但其實它們的真身是病毒。（以防毒軟件面目出現的一種流行病毒）  

2.含惡意代碼的欺詐性廣告增長
病毒作者付錢賣廣告，而廣告平台服務商未必會檢查廣告內容本身有沒有病毒。

3.瀏覽器攻擊及移動設備的威脅會更多
瀏覽器的攻擊是最常見的襲擊途徑，另外概念攻擊（Proof-of-Concept）和手機瀏覽器也成為新目標，我們預期針對iPhone和Google的Android手機開發的瀏覽器攻擊會相繼出現（WebKit-based browsers）。

4.針對其他操作系統平台（主要指OS X和Linux系統）的威脅會增加
針對其他操作平台的攻擊變得越來越流行了。（良好的安全使用防護習慣總是被新操作平台的推出所影響）。

5.惡意程式作者會加強隱藏技術的使用，拖長偵測時間
那種大量傳播惡意程式的日子已經不再，如今目標已變成利用惡意程式謀取最大利益。

6.在不同格式的檔案中，使用逃避偵測技術的惡意程式數量會增加
攻擊者可能把惡意代碼加入到一些看似是正常的文件檔案欺騙使用者（如PDF、javascript和媒體檔案）。

7.更多的社會工程學攻擊，更複雜的混合應用
這是常常屢試不爽的攻擊「技術」：攻擊意識最薄弱的環節，雖然你不會低估應用程式、操作系統、網絡軟件的弱點和零日攻擊，但是很多攻擊還是會通過最簡單的手法從受害者手上打開缺口。

8.更多的黑客會因為利益而行動
如今的惡意程式已經跟早年為炫耀智商高超或技術高深的狂熱分子毫無關係了，所有的一切都跟經濟利益掛鉤。賺錢就是惡意代碼的目的。

9.能自動識別虛擬環境的惡意程式
當惡意程式發現所活動的環境其實是一個虛擬環境的時候，它們就會立即停止搜索軟件漏洞。惡意程式還可能增加殭屍網絡的利用，結合虛擬技術在被攻擊機器上隱藏動作：於核心層面運作的Rootkit也會讓偵測難度提高。

ESET NOD32祝你有一個快樂和開心的2009年。

ESET David

2009年2月 全球威脅流行趨勢

零時差攻擊及針對性的惡意程式
我們今年已經看到了一些使用資料檔案運載惡意程式的實例。在大多數情況下，惡意程式會利用應用程式的安全漏洞進行感染。其中一個Excel木馬程式、X97M/TrojanDropper.Agent.NAI便是利用了一個微軟最近公佈的漏洞(http://www.microsoft.com /technet/security/advisory/968272.mspx)
Microsoft在2009年2月24日發表的安全通報（968272）:「微軟Office Excel中的漏洞可能會允許遠端代碼執行」，並在2009年2月25日更新。這漏洞會影響較微軟Office 2000、2004、2008(Mac版) 、Excel檢視器和Mac的XML檔案
格式轉換器等。

該漏洞嚴重影響到個人電腦。當有問題的Excel文件開啟後，後門木馬程式Win32/Agent.NVV會允許遠程攻擊者存取我控制電腦。微軟應承儘快提供修正檔
以減低有關漏洞帶來的風險。

相信許多人會記起十多年前，使用文件閱讀程式讀取MSOffice文件是很安全的，因為當時不會執行Macros。但不幸地，我們不是指Macros，而是文件閱讀程式本身也有漏洞。該漏洞允許特製的Excel文件存取無效物件，使攻擊者可以執行任意代碼。在這種情況下，有害代碼可以嵌入到試算表格中，然後執行文件成一個服務並開始運行。

David Harley和Juraj Malcho提供和建議的一些資料:
1.)http://www.scmagazineuk.com/Vuln ... jan/article/127998/
2.)http://www.journalism.co.uk/66/articles/533643.php
3.)http://www.eset.eu/press-excel-exploit-cyber-attack
4.)http://www.eset.com/threat-center/blog/?p=631
5.)http://www.eset.com/threatcenter/blog/?p=614

我們在2月27日的v.3895更新中，標示該漏洞威脅的名稱為
X97M/Exploit.CVE-2009-0238.Gen。
正如我們最新談論到的Adobe漏洞（詳見:
http://www.eset.com/threat-center/blog/?p=593）這是一個針對性的攻擊，雖然它的特性可能會改變，但就目前的情況來看，短期內它都應該不會轉變成廣泛攻擊的類型。但如果其中一個人感染了該病毒，就可能會影響多人，包括受針對區域內外的電腦。

很明顯，我們不應該隨便開啟Excel文件，就算是可信賴的來源。（針對性的攻擊的其中一個特點，就是攻擊者會使惡意程式看起來像是來自可靠的來源。）所以，千萬不要隨便地開啟任何檔案...微軟建議使用它提供的Microsoft Office Isolated Conversion Environment(MOICE)，它可以安裝在
Office 2003或2007。

Adobe已經承諾提供更新檔修正漏洞，Adobe Reader和Acrobat將可以在
3月10日更新：在此期間，使用者和管理員都應該關閉這些產品的JavaScript在（詳見http://www.eset.com/threat- center/blog/?p=593和http://www.eset.com/threatcenter/blog/?p=579。Adobe已經提供了Flash的修正檔
http://www.adobe.com/support/security/bulletins/apsb09-01.html：Randy Abrams亦曾經論述過這問題http://www.internetnews.com/security/article.php/3807431。

網絡釣魚（1）
我們馬來西亞的合作夥提醒我們注意一個頗有創意的網絡釣魚。它針對馬來亞銀行（http://www.maybank2u.com）它是馬來西亞最大的金融集團，並提供最大的網上銀行服務。這詐騙比我們常看到的精巧很多。它就像普通的網絡釣魚，沒有任何個性化的內容，題目是「主題：親愛的
帳戶持有人」然後稱呼你為「親愛的maybank2u帳戶持有人」然後使用聳人聽聞的策略「您需要與我們聯繫，以保護自己免受欺詐。」

受害人須要執行一個有別平常欺詐的步驟。它並不是指示你「按一下這裡取得更詳細的訊息」，它需要受害者執行一些中間步驟。它要求受害者合法地登錄 maybank2u網站取得交易授權碼（Transaction Authorization Code），這使它看起來像是一個官方指示步驟。然後他們會指示你開啟一個附在電子郵件的文件和誘騙你填寫用戶名、密碼和授權碼。這是一個不錯的誤導方法。利用徹底的驗證和實際的網站，引誘使用者執行JavaScript代碼，再經由一個中國網站把你的資料傳送到陌生人手中。

網絡釣魚（2）
使用Mac亦不會輕鬆地逃過網絡釣魚。 AppleInsider網站報導了一個關於MobileMe的網絡釣魚攻擊
(http://www.appleinsider.com/arti ... cam_targets_mobilem
e_users.html)。在這種情況下，垃圾郵件偽造來自Apple的標題。但當中有一個疑點，（不似Apple真正連絡MobileMe帳戶的郵件）沒有個人化資料（沒有用戶名和加密的信用卡號碼）。此外，Apple並不會的郵件不會要求用戶點擊連接，這連結當然只是為了誘騙受害人到訪假冒的 Apple網站。

比起馬來亞的個案，這個網絡釣魚的設計沒有那麼太精密，但有趣的是，它針對的使用者大多認為，因為他們使用Mac而不會發生有關問題。這告訴了我們(1.）犯罪份子沒有放棄Mac的非法收入來源(2.）即使不能製作惡意程式到Mac （絕對不是:我們看到數量正在逐步增加），它仍然是有安全威脅的存在，目標可以是使用者用，而不是操作系統。如果犯罪份子想詐騙，他們不會在乎你使用什麼系統！

惡意程式排行榜  (由大至少百份比排列)
(包括: 病毒/木馬/間諜程式/蠕蟲/廣告程式)        百份比
Win32/Psw.OnLineGames                    7.33%
INF/Autorun          6.44%  
Win32/Conficker.AA        5.38%  
Win32/Agent            3.67%
Win32/Conficker.A                 2.1%
Win32/TrojanDownloader.Swizzor.NBF           2.07%
WMA/TrojanDownloader.GetCodec.Gen         1.67%
Win32/Adware.TencentAd          1.6%
Win32/Toolbar.MywebSearch     1.47%
Win32/Adware.Virtumonde      1.13%

原文請閱: http://www.eset.hk/html/309/1099/

ESET David

2009年3月 全球威脅趨勢



ESET的ThreatSense.Net® 提供一個可靠的惡意程式報告，仔細地分析最新的網絡威脅。最新的報告顯示，惡意程式. Win32/Conficker再次成為最大的網絡威脅，它被偵測的百分比約佔病毒偵測總數的8.90%。在以下的報告中，我們會更詳細地分析和說明ThreatSense.Net®所偵測出來的十大威脅（包括上月排名和病毒偵測比率）:
1. Win32/Conficker
上月排名：3
佔病毒偵測總數：8.90%

Win32/Conficker會通過微軟Windows操作系統未修補的漏洞來繁殖網絡蠕蟲。該蠕蟲利用Windows的RPC子系統漏洞傳播，攻擊者可遠程控制及攻擊受感染的電腦。
Win32/Conficker會通過Svchost進程加載DLL。這威脅會連接網絡預先設定的伺服器或下載其他惡意程式組件。

對使用者來說，這代表什麼意思？
雖然ESET對於Conficker有 好的偵測能力，但為了避免其他威脅利用這個系統漏洞，請確保你系統已安裝了10月底由微軟發佈的相關系統更新檔。關於該漏洞的詳細資料，請參考http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx
有關的分析資料可參考:http://mtc.sri.com/conficker
2. Win32/Psw.OnLineGames
上月排名：1
佔病毒偵測總數：8.54%
這是一種具Rootkit功能並可以記下鍵盤輸入紀錄的木馬程式，它會收集網上遊戲者的登入身份和資料，發送到入侵者的電腦。

對使用者來說，這代表什麼意思？
多月來，這個威脅和INF/Autorun在首兩位不停交替著。
MMORPG(大型線上角色扮演遊戲，像天堂、魔獸世界和Second Life）應該留意該惡意程式的威脅範圍，這對玩家來說是非常重要的。因為當中牽涉的，不只是單單的滋擾、惡作劇或一些毫無意義的假病毒攻擊，更有一些網絡釣魚或欺詐都會導致玩家在現實世界的經濟損失。

關於這威脅，ESET的惡意程式研究小組在上年底的全球威脅報告中，有更詳盡的闡述，請參考http://www.eset.com/threatcenter ... tGlobalThreatReport
3. INF/Autorun
上月排名：2
佔病毒偵測總數：7.19%
這類型的威脅是指使用批次檔Autorun.inf來感染檔案的惡意程式。這個批次檔
包含了外置儲存裝置(例如USB手指和外置硬碟)的自動執行資訊。惡意程式會經由外置儲存裝置在電腦上自動執行並不斷地傳播到其他電腦或置裝置上。ESET 防護軟件會使用啟發式掃描偵測出這些曾被更改的autorun.inf檔案替用家防護入侵。

對使用者來說，這代表什麼意思？
外置儲存裝置的使用非常普及，惡意程式製造者意識到這一點，並加以利用，所以這一類的威脅常高據頭兩位位置。
Windows預設了自動執行在外置儲存裝置的Autorun.inf檔案。有許多類型的惡意程式會把自己複製到外置儲存裝置，雖然這可能不是惡意程式的首要傳播方法，但惡意程式編程者亦會加入這個後備方法。
Randy Abrams寫過有關這問題的網誌（http://www.eset.com/threat-center/blog/?p=94）去教導使用者關閉這個預設功能會遠勝於單單倚靠防毒軟件偵測它出來。你亦可以參考他提供的其他建議http://www.eset.com/threat-center/blog/?p=548。
4. Win32/Agent

上月排名：4
佔病毒偵測總數：3.22%
ESET NOD32以Win32/Agent來識別這個惡意代碼偵測。它會竊取受感染電腦中的使用者的個人資料。
為達此目的，惡意程式會把自己複製到電腦的暫存檔案位置，並根據本身檔案或過去曾經在其他系統隨機建立的相似檔案，新增機碼到登錄檔，使惡意程式每次在電腦啟動時自動執行。

對使用者來說，這代表什麼意思？
建立隨機檔名是惡意程式隱藏自己的其中一種方法，並已沿用許多年。雖然檔名
是可以幫助偵測惡意程式，但我們絕不應依賴此作為辨別威脅的首要識別機制，尤其是當一些防護程式的廣告標榜「我們是唯一可以偵測nastytrojan.dll檔名威脅的防毒產品。」時，使用者應特別留意。

5. WMA/TrojanDownloader.GetCodec

上月排名：7
佔病毒偵測總數：1.45%
Win32/GetCodec.A是一種會修改媒體檔案的惡意程式。這種惡意程式會轉換電腦中的所有音效檔案成WMA格式，並在檔案中新增一個標頭 (header)，要求使用者到指定網址下載一個新的解碼器去讀取該媒體檔案。WMA/TrojanDownloader.GetCodec.Gen會下載相關病毒Wimad.N感染GetCodec變種、如Win32/GetCodec.A。

對使用者來說，這代表什麼意思？
惡意程式假冒成一種新的視頻編解碼器，是許多惡意程式製作者和發佈者所喜歡使用的技倆。正如Wimad，受害者因為相信那是一些有用或有趣的程式，而被騙執行惡意代碼。雖然沒有簡單或者統一的測試去證實是否真的有一個新的編解碼器或者只是某種木馬程式，但我們仍鼓勵你儘量小心，並對任何不請自來的工具下載邀請，持有懷疑態度。即使該工具來自一個可信任的網站，亦需儘可能了解和驗證它的真偽。(可參考:http://www.eset.com /threatcenter/blog/?p=170)

6. INF/Conficker
上月排名：15
佔病毒偵測總數：1.34%
INF/Conficker與INF/Autorun具有密切的關係：它是一種傳播Conficker蠕蟲最新變種的autorun.inf檔案。這再一次帶出停用Autorun功能的必要：詳情請參閱上文的INF/Autorun部份。　
7. Win32/Toolbar.MywebSearch

上月排名：9
佔病毒偵測總數：1.30%
這是一個可能具有潛在風險並不受用家歡迎的應用程式(Potentially Unwanted Application)。在這種情況下，它是一個包括搜索功能的工具列，它會引導使用者通過MyWebSearch.com 搜尋資料。

對使用者來說，這代表什麼意思？
這種特殊的滋擾已名列十大名單多個月了。
惡意程式防護公司都不願意把PUA(Potentially Unwanted Application)正式列為惡意程式，PUA(Potentially Unwanted Application)通常不在掃描器的預設掃描設定中，因為有些廣告軟件和間諜程式可被視為合法的，尤其是如果它在終端用戶許可協議中提到（就算只是很小的字）自己的程式行為。
8. Win32/Qhost
上月排名：16
佔病毒偵測總數：1.19%

這種威脅會將自己複製到Windows的%system32%資料夾裏，然後利用其指令及控制伺服器與DNS溝通。Win32/Qhost可透過電郵傳播，並將受感染電腦的控制權交給攻擊者。這木馬群組透過更改受害電腦裏的檔案以更改其與特殊domains之間的通訊。
對使用者來說，這代表什麼意思？
這是一個透過更改受攻擊電腦的DNS設定以改變domain名稱與IP地址之間配對的例子。使該電腦不能連接到安全的網頁進行更新，甚或是連接時不動聲色地移花接木到惡意的網站。Qhost通常會使用這手法以執行”中間人”(man-in-the-middle)的銀行攻擊。

9. Win32/Autorun.KS
上月排名：17
佔病毒偵測總數：1.07%

凡利用Autorun.inf檔案傳播的威脅皆會被標籤著”Autorun”的字眼。當插入外置儲存裝置的時候，Autorun.inf便會自動執行該裝置上的程式。ESET網站將會在短期內發佈有關的介紹。它對使用者帶來的意思與INF/Autorun大致相同。

10. Win32/TrojanDownloader.Swizzor.NBF

上月排名：6
佔病毒偵測總數：1.03%

惡意程式Win32/TrojanDownloader.Swizzor常被發現於受感染的電腦上，用以下載和安裝其它惡意程式組件。

Swizzor惡意程式會安裝多個廣告程式到受感染電腦。有些Swizzor變種不會感染俄羅斯語言的系統，你可參考:http://www.eset.com/threat-center/blog/?p=415
對使用者來說，這代表什麼意思？
正如我們先前多次討論，我們很難有一條清晰的界線去劃分惡意程式和其他有害的程式，如廣告程式和惡意程式都經常使用作廣告用途。無論病毒製作者的目的是商業利益、意識形態、惡作劇或惡意攻擊，他們大多以金錢為首要出發點。

有些病毒會避免感染某些國家的電腦，Pierre-Marc Bureau解釋:它們希望藉此逃過這些國家邊境內的法律懲罰。就像最早版本的Conficker便使用不同的技術，以避免感染烏克蘭的電腦。這些蛛絲馬跡有可能提示我們攻擊者的國籍。


最新情報
Conficker
Conficker在三月份非常活躍。最新偵測的變種，被ESET Antivirus標籤為W32/Conficker.X及被部份行家稱為Conficker.C，在4月1 日推出了新的更新機制。初步估計，有過百萬的電腦受害﹝被利用作botnet，即它們的傀儡﹞。
ThreatSense.net威脅監察系統驚人的發現，有3.88%的ESET用戶曾受到Conficker變種的攻擊，並成為重感的高危一族。難以估計攻擊者4月1 日的時候會對它們的「手下」發放甚麼指示，又或者會帶來甚麼程度的影響。ESET會繼續利用精密的監測系統監察情況，並與研究團體等方面保持聯繫。
想知及多有關Conficker的資訊，可參閱www.eset.com/threat-center/blog 。ESET會繼續為大家提供有趣的進展，如Honeynet Project等研發的掃描漏洞工具。ESET最新公佈的清除工具http://www.eset.eu/buxus/generate_page.php?page_id=22675 以及詳盡的分析http://mtc.sri.com/conficker 。
恐嚇及勒索性軟體
最早期的Conficker變種已有一個更新機制，但其矚目程度較4月1日推出的版本遜色不少。Conficker.A主要會下載一個名為loadav.exe的檔案。這明顯是一個虛假保安軟件，但卻未被人發現，因為它所在的伺服器從未在線。
在過往的數月裡氾濫著許多虛假的AV活動，包括有優化搜尋器錯誤地引導搜查有關Conficker資訊的人到具有虛假AV的網站。
另一個討厭的攻擊是關於Vundo﹝Virtumonde﹞木馬及恐嚇程式。它們會破壞用戶的資料檔，然後強迫受害者付款以復完損壞。相信是透過加入fpfstb.dll的木馬檔案﹝Xrupter﹞到系統目錄﹝%sysdir%﹞裡，然後建立及更改當中的登錄檔。
Xrupter會加密「我的文件」裡的檔案，當中包括一些含有重要個人資料或商業資料的文件：Word，Powerpoint及Excel文件，JPGs﹝相片及其它類型的圖片﹞，PDF等。然後受害人會收到以下類似的訊息：
「Window偵測到以下檔案以被損壞。為防止情況惡化，請按「修復」鍵。」
「請註冊FileFix 專業版2009修被復已損壞檔案。按這裡開啓立即購買網站。」
其後FileFix會解壓部份受影響的檔案，用戶可以再次開啓﹝但足以成為將來惡意攻擊的途徑﹞。而這個網站會被封鎖掉，受害者便不能再前去這個網站。
幸好，有一些免費的解壓程式可以解決到這個問題。
勒索性軟體並不陌生，但一旦加入虛假保安軟件及文件更改元素的話，就難放防範了。相信將來會見到更多類似的事件發生。更多資訊可參閱：…….

CanSecWest
CanSecWes年度研討會將於3月18至20號舉行。來自世界各地的系統安全研究人員都會參與這個活動。研討會的議題會集中於入侵技術的介紹和研究。今年其中一個最有趣的環節，是Sergio Alvarez將和我們一起探討手提設備的入侵、如iPhone和Android。硬件方面，Andrea Barisani和Daniel Bianco將會示範使用鐳射麥克風和頻率分析竊取鍵盤輸入紀錄。Dino Dai Zovi和
Charlie Miller將介紹新技術來搜尋和攻擊OS X操作系統的漏洞。另一個值得留意的地方，是Wei Zhao將會講述中國地下黑客集團的演變和運作模式。

CanSecWest舉辦的Pwn2Own比賽，亦吸引了很多傳媒的注目。其中兩位研究人員聲稱，他們可以入侵已完全更新的操作系統。Charlie Miller能夠控制MacBook;另一位使用假名的研究員「Nils」能夠穿透過Internet Explorer 8進入Windows, Firefox進入Linux和Safari進入OS X。

想知道更多的研討會資料，可以在這裡找到:
http://cansecwest.com/
Pwn2own比賽資料：
http://dvlabs.tippingpoint.com/blog/2009/02/25/pwn2own-2009

ESET David

2009年4月 全球威脅趨勢



根據ESET ThreatSense.Net的分析 ，本月最多的是 Win32/Conficker的威脅，幾乎佔8.70 %.
其他最普遍的威脅會在下文詳細地說明，包括它們之前在十大所佔的位置，和他們與其他病毒比較的相對百分比 。

   1. Win32/Conficker

上月排名：1
佔病毒偵測總數：8.70%

Win32/Conficker會通過微軟Windows操作系統未修補的漏洞來繁殖網絡蠕蟲。該蠕蟲利用Windows的RPC子系統漏洞傳播，攻擊者可遠程控制及攻擊受感染的電腦。
Win32/Conficker會通過Svchost進程加載DLL。這威脅會連接網絡預先設定的伺服器或下載其他惡意程式組件。

對使用者來說，這代表什麼意思？
雖然ESET對於Conficker有好的偵測能力，但為了避免其他威脅利用這個系統漏洞，請確保你系統已安裝了10月底由微軟發佈的相關系統更新檔。關於該漏洞的詳細資料，請參考 http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx
有關的分析資料可參考:http://mtc.sri.com/conficker

   2. INF/Autorun

上月排名：3
佔病毒偵測總數：8.55%
這類型的威脅是指使用批次檔Autorun.inf來感染檔案的惡意程式。這個批次檔
包含了外置儲存裝置(例如USB手指和外置硬碟)的自動執行資訊。惡意程式會經由外置儲存裝置在電腦上自動執行並不斷地傳播到其他電腦或置裝置上。ESET 防護軟件會使用啟發式掃描偵測出這些曾被更改的autorun.inf檔案替用家防護入侵。

對使用者來說，這代表什麼意思？
外置儲存裝置的使用非常普及，惡意程式製造者意識到這一點，並加以利用，所以這一類的威脅常高據頭兩位位置。
Windows預設了自動執行在外置儲存裝置的Autorun.inf檔案。有許多類型的惡意程式會把自己複製到外置儲存裝置，雖然這可能不是惡意程式的首要傳播方法，但惡意程式編程者亦會加入這個後備方法。
Randy Abrams寫過有關這問題的網誌（http://www.eset.com/threat-center/blog/?p=94）去教導使用者關閉這個預設功能會遠勝於單單倚靠防毒軟件偵測它出來。你亦可以參考他提供的其他建議http://www.eset.com/threat-center/blog/?p=548。

   3. Win32/Psw.OnLineGames

上月排名：2
佔病毒偵測總數：7.01%
這是一種具Rootkit功能並可以記下鍵盤輸入紀錄的木馬程式，它會收集網上遊戲者的登入身份和資料，發送到入侵者的電腦。

對使用者來說，這代表什麼意思？
多月來，這個威脅和INF/Autorun在首兩位不停交替著。
MMORPG(大型線上角色扮演遊戲，像天堂、魔獸世界和Second Life）應該留意該惡意程式的威脅範圍，這對玩家來說是非常重要的。因為當中牽涉的，不只是單單的滋擾、惡作劇或一些毫無意義的假病毒攻擊，更有一些網絡釣魚或欺詐都會導致玩家在現實世界的經濟損失。

關於這威脅，ESET的惡意程式研究小組在上年底的全球威脅報告中，有更詳盡的闡述，請參考http://www.eset.com/threatcenter ... tGlobalThreatReport

   4. Win32/Agent

上月排名：4
佔病毒偵測總數：3.22%
ESET NOD32以Win32/Agent來識別這個惡意代碼偵測。它會竊取受感染電腦中的使用者的個人資料。
為達此目的，惡意程式會把自己複製到電腦的暫存檔案位置，並根據本身檔案或過去曾經在其他系統隨機建立的相似檔案，新增機碼到登錄檔，使惡意程式每次在電腦啟動時自動執行。

對使用者來說，這代表什麼意思？
建立隨機檔名是惡意程式隱藏自己的其中一種方法，並已沿用許多年。雖然檔名
是可以幫助偵測惡意程式，但我們絕不應依賴此作為辨別威脅的首要識別機制，尤其是當一些防護程式的廣告標榜「我們是唯一可以偵測nastytrojan.dll檔名威脅的防毒產品。」時，使用者應特別留意。

   5. Win32/TrojanDownloader

上月排名：6
佔病毒偵測總數：1.03%
惡意程式Win32/TrojanDownloader常被發現於受感染的電腦上，用以下載和安裝其它惡意程式組件。
對使用者來說，這代表什麼意思？
正如我們先前多次討論，我們很難有一條清晰的界線去劃分惡意程式和其他有害的程式，如廣告程式和惡意程式都經常使用作廣告用途。無論病毒製作者的目的是商業利益、意識形態、惡作劇或惡意攻擊，他們大多以金錢為首要出發點。
有些病毒會避免感染某些國家的電腦，Pierre-Marc Bureau解釋:它們希望藉此逃過這些國家邊境內的法律懲罰。就像最早版本的Conficker便使用不同的技術，以避免感染烏克蘭的電腦。這些蛛絲馬跡有可能提示我們攻擊者的國籍。

   6. INF/Conficker

上月排名：6
佔病毒偵測總數：1.52%
INF/Conficker與INF/Autorun具有密切的關係：它是一種傳播Conficker蠕蟲最新變種的autorun.inf檔案。這再一次帶出停用Autorun功能的必要：詳情請參閱上文的INF/Autorun部份。

   7. WMA/TrojanDownloader.GetCodec

上月排名：5
佔病毒偵測總數：1.38%
Win32/GetCodec.A是一種會修改媒體檔案的惡意程式。這種惡意程式會轉換電腦中的所有音效檔案成WMA格式，並在檔案中新增一個標頭 (header)，要求使用者到指定網址下載一個新的解碼器去讀取該媒體檔案。WMA/TrojanDownloader.GetCodec.Gen會下載相關病毒Wimad.N感染GetCodec變種、如Win32/GetCodec.A。

對使用者來說，這代表什麼意思？
惡意程式假冒成一種新的視頻編解碼器，是許多惡意程式製作者和發佈者所喜歡使用的技倆。正如Wimad，受害者因為相信那是一些有用或有趣的程式，而被騙執行惡意代碼。雖然沒有簡單或者統一的測試去證實是否真的有一個新的編解碼器或者只是某種木馬程式，但我們仍鼓勵你儘量小心，並對任何不請自來的工具下載邀請，持有懷疑態度。即使該工具來自一個可信任的網站，亦需儘可能了解和驗證它的真偽。(可參考:http://www.eset.com /threatcenter/blog/?p=170)

   8. Win32/Qhost

上月排名：8
佔病毒偵測總數：1.23%
這種威脅會將自己複製到Windows的%system32%資料夾裏，然後利用其指令及控制伺服器與DNS溝通。Win32/Qhost可透過電郵傳播，並將受感染電腦的控制權交給攻擊者。這木馬群組透過更改受害電腦裏的檔案以更改其與特殊domains之間的通訊。
對使用者來說，這代表什麼意思？
這是一個透過更改受攻擊電腦的DNS設定以改變domain名稱與IP地址之間配對的例子。使該電腦不能連接到安全的網頁進行更新，甚或是連接時不動聲色地移花接木到惡意的網站。Qhost通常會使用這手法以執行”中間人”(man-in-the-middle)的銀行攻擊。

   9. Win32/Toolbar.MywebSearch

上月排名：7
佔病毒偵測總數：1.14%
這是一個可能具有潛在風險並不受用家歡迎的應用程式(Potentially Unwanted Application)。在這種情況下，它是一個包括搜索功能的工具列，它會引導使用者通過MyWebSearch.com 搜尋資料。

對使用者來說，這代表什麼意思？
這種特殊的滋擾已名列十大名單多個月了。
惡意程式防護公司都不願意把PUA(Potentially Unwanted Application)正式列為惡意程式，PUA(Potentially Unwanted Application)通常不在掃描器的預設掃描設定中，因為有些廣告軟件和間諜程式可被視為合法的，尤其是如果它在終端用戶許可協議中提到（就算只是很小的字）自己的程式行為。

  10. Win32/Autorun

上月排名：9
佔病毒偵測總數：0.79%
凡利用Autorun.inf檔案傳播的威脅皆會被標籤著”Autorun”的字眼。當插入外置儲存裝置的時候，Autorun.inf便會自動執行該裝置上的程式。ESET網站將會在短期內發佈有關的介紹。它對使用者帶來的意思與INF/Autorun大致相同。

最新情報
Conficker衝突
在3月底和4月初最引人注目的防毒新聞都是圍繞著Conficker殭屍。
在3月結束的數週之前，有推測認為，互聯網會在Conficker 4月1日更新時崩潰。
防毒產業，包括我們的長駐博客，試圖把事件平息下來，並說，最可能發生的將是Conficker將會啟動起來，開始表現得更像一個殭屍網絡，這亦是事實的發展。
幾天後，一個新聞網站在俄羅斯受到沉重DDoS （分佈式拒絕服務）攻擊。他們把事件歸咎於Conficker ：但是，我們能夠確定，該事件是由另一個殭屍程式引起。
然而，另一個版本的Conficker突然出現-我們曾經提過: http://www.eset.com/threat-center/blog/?p=961
有趣的是，我們一直被指責過分引起恐慌。哈，討好所有人真的很難。
- Conficker是一個真正的危險，但還有許多威脅可以引起相同的災難的
- Conficker的作者們應該不會用它來破壞整個網絡，因為根本無利可圖

超級殭屍網絡(Superbotnet)的回歸
與此同時， Finjan公司在RSA宣布，它們發現新的大型殭屍網絡，由一百九十萬部殭屍電腦組成。他們誤以為主因是 另一個版本的 Win32/Hexzone (http://www.eset.com/threatcenter/blog/?p=995)，並混淆了很多人(http://www.theregister.co.uk/2009/04/22/superbotnet_server/)。
但我們已經發現，並沒有看到過這隻病毒有這樣數量的爆發。事實上，它似乎是在尋找一些正在下載
其他惡意軟件的大型殭屍網絡，包括Hexzone 。不幸的是，要求收集進一步信息的計劃還沒有引起太大的反應，
顯然是由於執法機構所施加的壓力。
http://www.eset.com/threat-center/blog/?p=1011
http://www.eset.com/threat-center/blog/?p=1006
http://www.eset.com/threat-center/blog/?p=1001
http://www.eset.com/threat-center/blog/?p=995

蘋果電腦也中毒
4月份也出了一種新穎的項目。
Virus Bulletin的Mario Ballano Barcena 和 Alfredo Pesoli 發表了一篇文章，題為"The New iBotnet" (http://www.eset.com/threat-center/blog/?p=922) 。
它描述兩個關於木馬OSX.Iservice的變種，它們是翻版的 iWork '09 和 Photoshop CS4，在BT網絡上散播。

它們有一些有趣的技術功能，如使用授權服務API去誘騙受害人授權安裝。
但是，大多數人的關注點是這是第一個出現在Mac網絡的DDoS殭屍網絡。
從Mac社區來的回應比平常為少，但仍然有類似'我不聽!我不聽!'的內容.
Randy Abrams 和 David Harley 也在 http://www.eset.com/threat-center/blog/?p=988 和
http://www.eset.com/threat-center/blog/?p=991作出了評論。
David Harley說，這可能不是太大的殭屍網絡，但它是一個潛在的大危機。

其實有許多事情， Mac用戶需要了解：
- 木馬在現今世界中其實有如病毒般危險：惡意軟件也是危險之一，因為它不複製。
-這是一個謬論: 所有的Windows都是因為零日攻擊而淪陷。
-我們沒有證據表明Mac用戶比Windows用戶更容易抵抗惡意攻擊。
-在當今金錢為首的世界，針對Mac用戶群的惡意軟件正變得更有吸引力。

ESET David

2009年5月 全球威脅趨勢

根據ESET ThreatSense.Net的分析 ，本月最多的是INF/Autorun的威脅，幾乎佔10.90 %.
其他最普遍的威脅會在下文詳細地說明，包括它們之前在十大所佔的位置，和他們與其他病毒比較的相對百分比 。

1.     INF/Autorun
上月排名：2
佔病毒偵測總數：10.90%
這類型的威脅是指使用批次檔Autorun.inf來感染檔案的惡意程式。這個批次檔包含了外置儲存裝置(例如USB手指和外置硬碟)的自動執行資訊。惡意程式會經由外置儲存裝置在電腦上自動執行並不斷地傳播到其他電腦或置裝置上。ESET 防護軟件會使用啟發式掃描偵測出這些曾被更改的autorun.inf檔案替用家防護入侵。
對使用者來說，這代表什麼意思？
外置儲存裝置的使用非常普及，惡意程式製造者意識到這一點，並加以利用，所以這一類的威脅常高據頭兩位位置。Windows預設了自動執行在外置儲存裝置的Autorun.inf檔案。有許多類型的惡意程式會把自己複製到外置儲存裝置，雖然這可能不是惡意程式的首要傳播方法，但惡意程式編程者亦會加入這個後備方法。
Randy Abrams寫過有關這問題的網誌（http://www.eset.com/threat-center/blog/?p=94）去教導使用者關閉這個預設功能會遠勝於單單倚靠防毒軟件偵測它出來。你亦可以參考他提供的其他建議http://www.eset.com/threat-center/blog/?p=548。
2.     Win32/Conficker
上月排名：1
佔病毒偵測總數：9.98%
Win32/Conficker會通過微軟Windows操作系統未修補的漏洞來繁殖網絡蠕蟲。該蠕蟲利用Windows的RPC子系統漏洞傳播，攻擊者可遠程控制及攻擊受感染的電腦。
Win32/Conficker會通過Svchost進程加載DLL。這威脅會連接網絡預先設定的伺服器或下載其他惡意程式組件。
對使用者來說，這代表什麼意思？
雖然ESET對於Conficker有 好的偵測能力，但為了避免其他威脅利用這個系統漏洞，請確保你系統已安裝了10月底由微軟發佈的相關系統更新檔。關於該漏洞的詳細資料，請參考http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx
有關的分析資料可參考:http://mtc.sri.com/conficker
3.     Win32/Psw.OnLineGames
上月排名：3
佔病毒偵測總數：6.01%

這是一種具Rootkit功能並可以記下鍵盤輸入紀錄的木馬程式，它會收集網上遊戲者的登入身份和資料，發送到入侵者的電腦。
對使用者來說，這代表什麼意思？
多月來，這個威脅和INF/Autorun在首兩位不停交替著。
MMORPG(大型線上角色扮演遊戲，像天堂、魔獸世界和SecondLife）應該留意該惡意程式的威脅範圍，這對玩家來說是非常重要的。因為當中牽涉的，不只是單單的滋擾、惡作劇或一些毫無意義的假病毒攻擊，更有一些網絡釣魚或欺詐都會導致玩家在現實世界的經濟損失。
關於這威脅，ESET的惡意程式研究小組在上年底的全球威脅報告中，有更詳盡的闡述，請參考http://www.eset.com/threatcenter/threat_trends/EsetGlobalThreatReport
4.     Win32/Agent
上月排名：4
佔病毒偵測總數：2.88%

ESET NOD32以Win32/Agent來識別這個惡意代碼偵測。它會竊取受感染電腦中的使用者的個人資料。
為達此目的，惡意程式會把自己複製到電腦的暫存檔案位置，並根據本身檔案或過去曾經在其他系統隨機建立的相似檔案，新增機碼到登錄檔，使惡意程式每次在電腦啟動時自動執行。
對使用者來說，這代表什麼意思？
建立隨機檔名是惡意程式隱藏自己的其中一種方法，並已沿用許多年。雖然檔名
是可以幫助偵測惡意程式，但我們絕不應依賴此作為辨別威脅的首要識別機制，尤其是當一些防護程式的廣告標榜「我們是唯一可以偵測nastytrojan.dll檔名威脅的防毒產品。」時，使用者應特別留意。
5.     INF/Conficker
上月排名：6
佔病毒偵測總數：1.80%

INF/Conficker與INF/Autorun具有密切的關係：它是一種傳播Conficker蠕蟲最新變種的autorun.inf檔案。這再一次帶出停用Autorun功能的必要：詳情請參閱上文的INF/Autorun部份。
6.     Win32/Toolbar.MywebSearch
上月排名：9
佔病毒偵測總數：1.30%

這是一個可能具有潛在風險並不受用家歡迎的應用程式(Potentially Unwanted Application)。在這種情況下，它是一個包括搜索功能的工具列，它會引導使用者通過MyWebSearch.com 搜尋資料。
對使用者來說，這代表什麼意思？
這種特殊的滋擾已名列十大名單多個月了。
惡意程式防護公司都不願意把PUA(Potentially UnwantedApplication)正式列為惡意程式，PUA(Potentially UnwantedApplication)通常不在掃描器的預設掃描設定中，因為有些廣告軟件和間諜程式可被視為合法的，尤其是如果它在終端用戶許可協議中提到（就算只是很小的字）自己的程式行為。
7.     WMA/TrojanDownloader.GetCodec
上月排名：7
佔病毒偵測總數：1.28%

Win32/GetCodec.A是一種會修改媒體檔案的惡意程式。這種惡意程式會轉換電腦中的所有音效檔案成WMA格式，並在檔案中新增一個標頭 (header)，要求使用者到指定網址下載一個新的解碼器去讀取該媒體檔案。WMA/TrojanDownloader.GetCodec.Gen會下載相關病毒Wimad.N感染GetCodec變種、如Win32/GetCodec.A。
對使用者來說，這代表什麼意思？
惡意程式假冒成一種新的視頻編解碼器，是許多惡意程式製作者和發佈者所喜歡使用的技倆。正如Wimad，受害者因為相信那是一些有用或有趣的程式，而被騙執行惡意代碼。雖然沒有簡單或者統一的測試去證實是否真的有一個新的編解碼器或者只是某種木馬程式，但我們仍鼓勵你儘量小心，並對任何不請自來的工具下載邀請，持有懷疑態度。即使該工具來自一個可信任的網站，亦需儘可能了解和驗證它的真偽。(可參考:http://www.eset.com /threatcenter/blog/?p=170)
8.     Win32/Qhost
上月排名：8
佔病毒偵測總數：1.05%

這種威脅會將自己複製到Windows的%system32%資料夾裏，然後利用其指令及控制伺服器與DNS溝通。Win32/Qhost可透過電郵傳播，並將受感染電腦的控制權交給攻擊者。這木馬群組透過更改受害電腦裏的檔案以更改其與特殊domains之間的通訊。
對使用者來說，這代表什麼意思？
這是一個透過更改受攻擊電腦的DNS設定以改變domain名稱與IP地址之間配對的例子。使該電腦不能連接到安全的網頁進行更新，甚或是連接時不動聲色地移花接木到惡意的網站。Qhost通常會使用這手法以執行”中間人”(man-in-the-middle)的銀行攻擊。
9.     Win32/Pacex.Gen
上月排名：16
佔病毒偵測總數：0.98%
Pacex.Gen是使用容易今人混淆的外殼包裹著多種的惡意程式檔案。名稱上的Gen指“Generic”，即通用的意思。可見它擁有種類繁多的已知變種，並可憑相似的病毒特徵來偵測出未知的變種來。
對使用者來說，這代表什麼意思？
這威脅最常被利用於盜取密碼的木馬程式裏，因此偷取網上遊戲密碼的PSW.OnlineGames威脅被歸納為Pacex的一種。由於這兩威脅之間難免存在著重疊的區域，所以估計真實的PSW.OnlineGames威脅數字應會較早前所提及的平均數字更為嚇人。幸好的是，在各前瞻性偵測機制的努力底下，這威脅的爆發暫時得以控制：正如早前的會議報告所說，主動偵測惡意程式較準確地判斷出它更為重要。(“The name of the Dose”:Pierre-Marc Bureau 及 David Harley, 第十八屆Virus Bulletin國際會議程序(2008))
10.   Win32/Autorun
上月排名：10
佔病毒偵測總數：0.86%

凡利用Autorun.inf檔案傳播的威脅皆會被標籤著”Autorun”的字眼。當插入外置儲存裝置的時候，Autorun.inf便會自動執行該裝置上的程式。ESET網站將會在短期內發佈有關的介紹。它對使用者帶來的意思與INF/Autorun大致相同。
最新情報
一個又一個的Patch Tuesday
經過了幾個月來的PatchTuesday，Microsoft終於對PowerPoint的保安問題作出回應。國際間碟式的攻擊在早幾年前是相當常見的，但幸好是次攻擊並非屬於集體性的，且沒有威脅著政府及軍事等重要部門，所以Microsoft明顯對近日Excel 及PowerPoint的漏洞並不太過著急。至於Mac至今仍未有任何公佈。
舊式的macro病毒已經消失了好一段時間，隨之而來的文件性威脅(document-bornethreat)卻仍然非常活躍，當中包括零日攻擊，或被加入可執行的或惡意的連結等等。當中PDF文件更是一個經常被攻擊的對象(這更曾經多次成為CARO工作坊的討論問題)。幸好的是，Adobe終於對部份對AdobeReader及Acrobat有影響的漏洞提供保安更新。並打算推行一季一更新的政策，希望藉此能對意外事件提供充足的溝通時間從而增加收補漏洞的速度。雖然筆者並不確定這計劃的推行成效會怎樣，但至少Adobe能表示出它的努力和誠意。但如果它們只會對Threat-Center 網誌所提到的威脅作回應的話，恐怕我們在未來要把所有細微的問題也放上網誌才行。

春季會議

過去的一個月可以說是研究組的一個非常繁忙的日子。在四月末期(五月初)的時間到了美國出席Infosec會議。當天David Harley為我們從商業角度分析了反惡意程式測試的好與壞(詳情請看http://www.eset.com/threat-center/blog/ )。在隨後的數星期裏，Pierre-Marc Bureau及來自斯洛伐克的Juraj Malcho在布達佩斯行的CARO工作坊裏，就MS08-067漏洞發表了一個演說。這漏洞由多種惡意軟體所發掘出來，特別是 Win32/Conficker。其他議題包括Microsoft及Adobe 的漏洞，更有趣的是”in-the-cloud”技術所帶來的漏洞。

CARO(the Computer Antivirus Research Organization)的惡意程式研究已進行了20年。近年一年一度所舉辦的工作坊更吸引了不少行內的研究團體參與。至於在2008年才正式成立的 AMTSO(the Antivirus-Malware Testing Standards Organization)，雖然並沒有CARO的長久歷史，卻有著驚人的測試成果。由於這兩個組織的聯繫緊密，所以參與CARO工作坊的人大多會同樣出席在AMTSO的工作坊上。

與其說這些工作坊是個演說式的分享會，不如說是個協作坊。在工作坊期間，有效地認可了”in-the-cloud”及”樣本驗證”(validating samples)這兩篇論文。它們是無法想像的有趣及重要的。

例如，使用”in-the-cloud”這技術測試產品需要長時間的維持或中斷電腦對外的連繫，這有機會帶來極為嚴重的影響。長時間的對外連繫會增加惡意軟件外洩的機會，從而提高外界電腦的風險；而長時間的封閉連繫雖然是啟發式偵測上的重要一環，但卻存在著許多技術上的難題有待解決。

此外，組織成員更通過了”要求及處理覆核評估分析”的處理文件。即無論公司或個人均可向AMTSO要求一份測試或覆核的專業分析，能有效地對覆核作出評估http://www.amtso.org/uploads/AMT ... L_31_Oct_2008-1.pdf 。這可以鼓勵測試公司做到最好，但卻有可能成為保安公司決絕覆核的藉口。

身為ESET Malware Intelligence主任同時又兼任覆核分析委員會成員的David Harley則表示：「如果委員會對每一份覆核都作分析的話，將會是非一般的繁忙……在本人的立場，好希望測試者能自動自覺地依照AMTSO所提供的方案做事，並不是向天祈求避開AMTSO的覆核。”」

現時所有AMTSO 所提供的文件均可在http://www.amtso.org/documents.html 找到。Virus Bulletin的讀者可以在http://www.virusbtn.com 閱讀來自David Harley對六月CARO 及AMTSO工作坊的回顧。

David及Randy在柏林的EICAR上攜手演說David的”履行反惡意程式測試的來龍去脈 ”(Execution Context in Anti-Malware Testing)：這是AMTSO及EICAR之間的一個罕有的合作機會，是拉緊兩者合作距離的重要一步。詳情可瀏覽http://www.eicar.org 。

另外，Randy出席了在拉斯維加斯的Interop，Pierre-Marc出席了在克拉科夫的會議，而David則出席了在美國的Channel Expo。

捍衛我們的電子世界

在聖地牙歌，ESET被贊助推行一個” 捍衛我們電子世界”(Securing Our eCity)的行動。部份研究組的成員更投入了許多時間及心力。要知更多有關資料可以瀏覽http://www.securingourecity.org 及http://www.securingourecity.org/news.php 以得到最新消息。

ESET的Technical Education主任Randy Adrams認為” Securing Our eCity”是一個由ESET、大眾及私人機構共同提供的一個預防網路詐騙的教育運動。這可以提供免費的保安課程，教導應如何避免自己成為網路詐騙的受害者。在五月末期及六月初的時候，將會推出少量免費的網路詐騙講座。”希望能把” Securing Our eCity”這運動傳揚開去。
想知到更多關於研究組的資料及其動向，請到http://www.eset.com/threat-center/blog/ 。

[ 本帖最後由 ESET David 於 2009-7-29 16:16 編輯 ]