在过去的两年里,安全专家和软件供应商落后于所谓的蠕虫病毒的威胁,但新的证据表明袭击仍然是危险的,如果不是更多的话,这比以往任何时候都一样危险。
虽然过去几年里,那些旨在破坏IT基础设施的大规模邮件蠕虫病毒——如著名的MyDoom、Sobig和Slammer攻击——几乎都消失了,据研究人员称,旨在将金融动机恶意软件加载到终端用户电脑上的小规模病毒爆发——比如最近的风暴蠕虫——将继续威胁互联网。
安全专家的共识是,随着企业和消费者改进了他们的桌面安全工具和计算习惯,恶意软件作者更难吸引同样数量的蠕虫用户。市场观察人士观察到,这种趋势使攻击者不再创造自我传播的威胁,而是进一步发展为出于金融动机的犯罪软件。
然而风暴蠕虫的继续传播和修改,首先在1月中旬浮出水面。2007年,可以说明在未来几年内可能造成困境的攻击的新兴品种。
2月27日,安全软件制造商的工人安全计算释放了一个新兴的风暴蠕虫变种的细节,该蠕虫为攻击提供了一个基于Web的社会工程组件,为攻击更传统的电子邮件和IM递送模型。
根据安全一样默不作声,新版本的风暴蠕虫坐落在被感染的计算机,并等待用户留言到邮箱系统或在线公告牌网站,然后添加一个链接到这些通信发送人点击恶意网页的URL。
坐在风暴生成的网站上的威胁包括攻击本身的变体,以及一系列旨在窃取敏感个人或财务信息的克里摩尔计划。
Dmitri Alperovitch(Secure)的首席研究科学家Dmitri Alperovitch表示,风暴等风暴等风暴的病毒反映了攻击者利用历史悠久的蠕虫平台来传递的方式。
“我们没有折扣来自有针对性的金融攻击的威胁,但是那些倾向于需要大量的工作来推迟,因为攻击者必须在组织或用户中进行核查,并对每个目标进行很大努力,”Alperovitch说过。“对那些袭击的回报可能更大,但这些类型的蠕虫如风暴的新变种可以很快地支付自己;很少有疑问,我们会看到更多的方式以这种方式设计。”
除了使用蠕虫病毒传播尖端恶意软件外,Storm变种还采用了一些通常与新攻击相关联的其他特征。安全研究员称,威胁代码本身正在快速改变,以避免被反病毒系统检测到,并使用不断变化的url和IP地址列表来提供有效载荷,在雷达下飞行。
他说,暴风雨的迅速变化的风暴蠕虫概况将使传统的安全产品难以跟上这种威胁。
Alperovitch说:“有了这种不断变形的新技术和许多新的变体,我无法想象基于签名的技术将如何应对这类事情——人们确实需要基于行为的工具来阻止它们。”“我们还没有看到过去那种大规模邮寄、大规模瞄准的蠕虫病毒,与其中一些相比,Storm并没有大规模瞄准,但它的网络组件将使它传播得更快,所以我们必须密切关注它。”
防病毒软件制造商同意单独的传统签名的工具不足以阻止新品种的蠕虫,但他们表示,可以使用这些产品的组合和基于行为的系统的组合来挫败攻击。
基于Cupertino,加利福诺的AV市场领导者赛门铁克官员表示,根据其传播依赖于社会工程方法与自动化传播,他们将风暴视为多于蠕虫。据赛门铁克安全响应团队董事戴夫科尔表示,无论如何,用户都应该依赖深入的安全策略来保护自己免受任何一种形式的攻击。
“今天的主要威胁不是昔日的蠕虫,而是真正的特洛伊木马攻击是设计师正在使用真正复杂的社会工程来欺骗人们下载,”科尔说。“古典蠕虫仍在那里,我们仍然看到了一吨,但现实是因为那里的防守,他们没有感染很多人;这些新的是一个更大的威胁。”
虽然IDSES等行为的工具可以代表对当今迅速变化的蠕虫威胁的最有效的防御形式,但是用户仍应使用基于签名的防病毒应用程序来保护任何潜入这些过滤器的任何透视的东西。赛门铁克研究员。
位于圣地亚哥的Websense公司负责安全研究的副总裁丹·哈伯德(Dan Hubbard)说,就像其他种类的恶意软件一样,蠕虫将越来越多地与不同类型的攻击结合在一起,以帮助增加其影响范围和破坏力。
根据专家的说法,他说蠕虫很快就会再次成为领先的病毒格式,但他们将留在恶意软件艺术家的调色板上,又在创建最新工作时作为另一种选择。
“在宏观层面上,只有电子邮件蠕虫变得越来越频繁,但它们与其他攻击结合使用的使用是更复杂的,并且可能会继续出现,”Hubbard说。“自动化将用于提供比以往更快的速度的新变体,并且它们将是自我更新和自我修改;这是我们以人们被感染的各种方式看到的整体增加的一部分。“
这个故事,“研究人员:蠕虫不是地下的蠕虫”最初发表于InfoWorld. 。