基於獨家ASIC芯片加速技術,引領統一威脅管理(Unified Threat Management)領域的開拓者和市場領導者Fortinet(飛塔)公司,日前公布其FortiGate安全管理工具在2006年六月截獲的病毒威脅排名,大部分的病毒排名都在意料中(如Netsky.P,Grew.A以及臭名昭著的BetterInternet adware)但還是有兩種新發現的病毒擠入前十排名:W32/BagleZip.GL@mm和W32/BagleZip.FY@mm,尤其後者來勢洶洶,似乎是針對防病毒探測有備而來的,應格外謹慎關注。
依據Fortinet公司六月份的統計數字,5自學網,FortiGate截獲的前十位病毒威脅排名依次為:依次為:W32/Netsky.P@mm(10 %),HTML/Iframe_CID!exploit(9 %),W32/Bagle.DY@mm(8 %),W32/Grew.A!worm(7 %),Adware/BetterInternet(5 %),HTML/BankFraud.E!phish(4 %),W32/BagleZip.GL@mm(3 %),W32/BagleZip.FY@mm(2 %),W32/MyTob.fam@mm(2 %),Adware/ZangoSA(2 %)。
隱藏在zip文件背後中的Bagles病毒
Fortinet威脅響應小組從六月中旬開始已經多次做過關於新的Bagle病毒要爆發的報道(包括Bagle.FY, GL and GM病毒)。通常病毒爆發會發生在月初,然而,有趣的是此次Bagles病毒的習性稍微有些不同。EMEA應急響應智囊團負責人Guillaume Lovet指出:新出現的Bagles病毒是以一種密碼保護的zip文件方式出現在用戶的郵箱中,這樣通過防病毒郵件網關方式時,可以有效的防止文件自動解壓縮。密碼保護惡意文件的原理是:除非加密文件能夠被破解(該情況並不適用於zip標准加密文件),否則防病毒掃描器探測不到(也掃描不到)加密文件的內部。
此外,Lovet還談到,密碼是保存在消息體內的一個附加圖片中;這主要是以防萬一防病毒公司的探測器通過分析消息體,自動的定向提取密碼。這樣密碼雖然被保護了,但是卻同樣容易自動被破解。另外,zip文檔不僅包含惡意軟件本身,還包括一個由隨機代碼組成的dll文件,因此該zip文檔不同於其他惡意軟件復制的例子。實際上,這完全取決於病毒有效的多態性,此外實現起來幾乎毫不費力:不同於以前的病毒復制,只是在dll文件中填充隨機垃圾代碼,並將最終改變生成的加密文檔。這樣有了不同於尋常蠕蟲病毒的加密機制,該隨機產生的dll文件只要調用一下zip庫就很容易生成實現了。
這可以看成是寄生蟲病毒的多態性,5自學網,因為病毒主要利用了“主機”的資源來實現多態性的復制,而並非利用其自身的多態性加密機制。這樣使用圖形文件為加密的關鍵,而沒有藏在惡意軟件本身,病毒制造者可能會認為他們已經成功地瓦解了防病毒公司的防范。但事實並非如此,原因是zip加密技術的某些特征,使得掃描器能夠不破壞加密技術本身而識破這之間的混亂。一句話,防病毒公司卻始終保持著自身的優勢。
Fortinet病毒研究員也談到:若給出了加密zip文件的密碼,那麼計算機用戶想要打開附帶密碼保護的zip文件的可能性將會高於一般的zip文件。此外,隨著郵件群發式病毒的發展趨勢,在未來的一段時間內,該系列病毒將會出現新的變數,值得留意。