研究人員日前發(fā)現(xiàn)了一種極其罕見�����,也可能是獨一無二的“無文件”惡意軟件����,該惡意軟件不需要在受感染電腦的硬盤上存儲任何文件�����,完全在內(nèi)存中運行�。這一最新發(fā)現(xiàn)是由Kaspersky實驗室完成的,該實驗室收到了一種惡意軟件攻擊一個常用Java漏洞(CVE-2011-3544)的報告�,這些攻擊報告來自俄羅斯的一些網(wǎng)站�����,但似乎沒有像傳統(tǒng)特洛伊攻擊那樣留下任何文件痕跡��。
實際上����,這次攻擊是從一個嵌入受感染網(wǎng)站的iFrame上運行Javascript���,然后將加密的.dll負載直接注入Javaw.exe進程����。
這個非常尋常的惡意軟件的目的看起來是雙重的:首先是讓Windows的用戶賬號控制(UAC)失效�,其次是像一個“pathfinder”一樣設置一個可用命令操控的僵尸,通過它接收指令去控制服務器����,期間還包括要在受感染的電腦上安裝Lurk數(shù)據(jù)盜竊木馬。
這次攻擊的不足之處是��,用戶只需要重啟電腦就可以將其從內(nèi)存中清除���,只是這一過程有可能還會受到新的感染��。但是反過來說�,正是由于這種不足����,所以它也極難被發(fā)現(xiàn)。它在目標PC上不會存儲文件���,首先是不會更改任何文件���。如果被攻擊目標沒有打補丁,那么安全軟件很不容易探測到它���。
使用Java也讓這個病毒可以跨平臺運行�,可以攻擊PC�����、Mac和Linux電腦�����,雖然目前記錄到的特洛伊攻擊只能在Windows電腦上運行���。
Kaspersky還提醒我們說���,這個新型惡意軟件會讓我們想起十年前非常有名的紅色代碼和Slammer病毒��,這些病毒的構(gòu)造都很簡單���,但傳播速度卻非常之快,因為它們都是利用緩沖區(qū)溢出來攻擊特定微軟程序的�,同樣不需要文件傳播。
“根據(jù)我們對Lurk用來跟命令服務器進行通信的協(xié)議的分析�,我們已可以確定,在過去數(shù)月時間內(nèi)���,這些服務器已經(jīng)處理了來自多達30萬臺受感染電腦的請求����,”Kaspersky研究人員Sergey Golovanov說��。
文/網(wǎng)界網(wǎng)
400 186 1886
