驚現首個針對安卓系統的網銀木馬

近日，卡巴斯基實驗室發布三月網絡威脅報告，報告中總結了熱點網絡威脅事件和惡意程序，其中一款獨特的無文件僵尸程序和首個針對安卓系統的網銀木馬引人注目。

獨特的無文件僵尸程序

卡巴斯基實驗室的安全專家檢測到一種特殊的惡意攻擊，這種惡意攻擊使用的惡意軟件不會在受感染系統上創建任何文件?？ò退够鶎嶒炇医涍^調查發現，一些俄羅斯新聞網站在頁面上使用的AdFox標題系統會感染訪問用戶，而網站并不知情。當用戶載入相關頁面時，瀏覽器會偷偷將用戶重定向到一個包含Java漏洞利用程序的惡意網站。卡巴斯基實驗室首席安全專家Alexander Gostev解釋說：“近幾年來，我們首次遇到這種罕見的 “無文件”惡意軟件。該惡意軟件只會在受感染計算機的RAM（內存）中進行操作，使得反病毒解決方案很難將其檢測出來。雖然這次發現的攻擊事件僅僅針對俄羅斯用戶，但是利用同樣的漏洞利用程序和無文件僵尸程序，很容易就可以對世界其他地區的用戶發動攻擊。因為該惡意程序同樣可以利用類似的廣告或標題網絡在其他國家進行傳播。”

Duqu木馬仍在行動

卡巴斯基實驗室對Duqu木馬的調查已經進入第六個月，2012年3月項目取得了新進展——該惡意軟件所使用的架構代碼已被確認。這次發現得到了眾多國際IT社區的幫助。期間，收到了幾百條建議和假設。最終確認，Duqu架構是采用C語言編寫，并使用MSVC 2008以“/ O1”和“Ob1”選項編譯。同時，Duqu木馬的編寫者并沒有停止開發新的惡意軟件組件。今年3月，卡巴斯基實驗室發現一種最新的驅動，同之前Duqu早期使用的驅動幾乎相同。之前使用的驅動分別于2010年12月3日和2011年10月17日創建，而最新的驅動創建日期是2012年3月23日。看來，Duqu木馬的編寫者在休整4個月后，又開始進行惡意軟件的開發工作了。

打擊網絡犯罪

卡巴斯基實驗室攜手CrowdStrike Intelligence Team、Dell SecureWorks 和Honeynet Project，進行了一次大規模清剿行動，成功關閉了第二個Hlux/Kelihos僵尸網絡。安全研究人員將該僵尸網絡命名為Kelihos B，因為該僵尸網絡是采用之前的僵尸程序A的變種組建的。安全人員在僵尸網絡中引入了一個sinhole路由器，從僵尸網絡運營者手中接手了這些被感染計算機的控制權，從而停止其繼續進行操作。

Google瀏覽器用戶同樣需要增強安全警惕！3月初，卡巴斯基實驗室的安全專家發現了另一款針對Google Chrome的惡意擴展。這次，其攻擊目標是巴西的Facebook用戶。而且，網絡罪犯完全可以利用相同的攻擊手段，對其他國家和地區的用戶發起攻擊。惡意擴展會通過Facebook鏈接進行傳播，并且偽裝成合法的應用鏈接。如果用戶選擇安裝這一惡意應用，會被重定向到Google Chrome的官方在線商店。該惡意軟件會偽裝成“Adobe Flash Player”。惡意擴展被安裝到計算機上后，會獲取受害用戶的Facebook賬號權限。Google得知這一情況后，刪除了該惡意擴展。但是，網絡罪犯已經創建了類似的惡意擴展，并且同樣將其放在了Google Chrome 在線商店中。

Mac OS威脅

Mac OS系統上出現了前所未有的惡意軟件行為。其中最值得關注的攻擊案例中，網絡黑客會發送大量垃圾郵件。這些垃圾郵件包含Java漏洞利用程序鏈接，能夠在用戶計算機上安裝惡意程序。如果用戶使用的是Mac OS計算機，則安裝Backdoor.OSX.Lasyr.a后門程序。如果使用的是Windows計算機，則安裝Trojan.Win32.Inject.djgs木馬。漏洞利用程序會將惡意程序Backdoor.OSX.MaControl.a安裝到Mac OS X計算機上。同樣是在3月，Backdoor.OSX.Imuler惡意程序的新變種被檢測到。這些惡意程序會偽裝成安全的擴展名文件，從而便于傳播。3月份的攻擊中，網絡罪犯發送了大量垃圾郵件，其中包含偽裝成色情圖片的惡意文件。這些文件的擴展名為.JPG。此外，3月份，網絡罪犯首次利用Twitter充當惡意程序的命令控制服務器。為了傳播惡意程序，網絡罪犯使用了200，000多個被攻陷的WordPress博客。

移動惡意威脅

移動威脅又新添了一種全新的針對安卓系統的網銀木馬。之前，已經有木馬能夠竊取移動交易授權碼（mTAN），這種碼是銀行通過短信發送給客戶手機的驗證碼。3月中旬，一款最新的惡意軟件被發現。該惡意軟件不僅能夠竊取包含mTAN的短信信息，還能夠竊取用戶在線銀行的登錄信息（登錄名和密碼）。而卡巴斯基近期剛剛發布的安卓版卡巴斯基手機安全軟件，將幫助用戶攔截該木馬，并保護手機用戶免受各種威脅。