隱藏在zip文件背後的Bagles病毒

基於獨家ASIC芯片加速技術，引領統一威脅管理（Unified Threat Management）領域的開拓者和市場領導者Fortinet（飛塔）公司，日前公布其FortiGate安全管理工具在2006年六月截獲的病毒威脅排名，大部分的病毒排名都在意料中（如Netsky.P，Grew.A以及臭名昭著的BetterInternet adware）但還是有兩種新發現的病毒擠入前十排名：W32/BagleZip.GL@mm和W32/BagleZip.FY@mm，尤其後者來勢洶洶，似乎是針對防病毒探測有備而來的，應格外謹慎關注。

依據Fortinet公司六月份的統計數字，5自學網，FortiGate截獲的前十位病毒威脅排名依次為：依次為：W32/Netsky.P@mm（10 %），HTML/Iframe_CID！exploit（9 %），W32/Bagle.DY@mm（8 %），W32/Grew.A！worm（7 %），Adware/BetterInternet（5 %），HTML/BankFraud.E！phish（4 %），W32/BagleZip.GL@mm（3 %），W32/BagleZip.FY@mm（2 %），W32/MyTob.fam@mm（2 %），Adware/ZangoSA（2 %）。

隱藏在zip文件背後中的Bagles病毒

Fortinet威脅響應小組從六月中旬開始已經多次做過關於新的Bagle病毒要爆發的報道（包括Bagle.FY， GL and GM病毒）。通常病毒爆發會發生在月初，然而，有趣的是此次Bagles病毒的習性稍微有些不同。EMEA應急響應智囊團負責人Guillaume Lovet指出：新出現的Bagles病毒是以一種密碼保護的zip文件方式出現在用戶的郵箱中，這樣通過防病毒郵件網關方式時，可以有效的防止文件自動解壓縮。密碼保護惡意文件的原理是：除非加密文件能夠被破解（該情況並不適用於zip標准加密文件），否則防病毒掃描器探測不到（也掃描不到）加密文件的內部。

此外，Lovet還談到，密碼是保存在消息體內的一個附加圖片中；這主要是以防萬一防病毒公司的探測器通過分析消息體，自動的定向提取密碼。這樣密碼雖然被保護了，但是卻同樣容易自動被破解。另外，zip文檔不僅包含惡意軟件本身，還包括一個由隨機代碼組成的dll文件，因此該zip文檔不同於其他惡意軟件復制的例子。實際上，這完全取決於病毒有效的多態性，此外實現起來幾乎毫不費力：不同於以前的病毒復制，只是在dll文件中填充隨機垃圾代碼，並將最終改變生成的加密文檔。這樣有了不同於尋常蠕蟲病毒的加密機制，該隨機產生的dll文件只要調用一下zip庫就很容易生成實現了。

這可以看成是寄生蟲病毒的多態性，5自學網，因為病毒主要利用了“主機”的資源來實現多態性的復制，而並非利用其自身的多態性加密機制。這樣使用圖形文件為加密的關鍵，而沒有藏在惡意軟件本身，病毒制造者可能會認為他們已經成功地瓦解了防病毒公司的防范。但事實並非如此，原因是zip加密技術的某些特征，使得掃描器能夠不破壞加密技術本身而識破這之間的混亂。一句話，防病毒公司卻始終保持著自身的優勢。

Fortinet病毒研究員也談到：若給出了加密zip文件的密碼，那麼計算機用戶想要打開附帶密碼保護的zip文件的可能性將會高於一般的zip文件。此外，隨著郵件群發式病毒的發展趨勢，在未來的一段時間內，該系列病毒將會出現新的變數，值得留意。