Sana安全公司对一种与具有高度躲避能力的内核级根工具包有关的窃取数据的特洛伊木马程序发出了警告。这种特洛伊木马程序在系统重新启动之后仍可以生存,并且不以单独的进程运行。这个恶意程序能够检测到一台计算机中以前使用过的口令,而不仅仅是那些在计算机被感染之后记录下来的口令。
这种特洛伊木马程序和根工具包仍然躲藏在操作系统任务管理器后面并且避开杀毒软件的检测。位于加州San Mateo的企业安全软件提供商Sana安全公司旗下Sana实验室的一个小组在调查新的“Alcra”蠕虫的时候发现了特洛伊木马程序。这家公司报告称,截止到本星期二下午,只有少数几家公司找到了发现这种蠕虫的方法。
Sana安全公司负责安全业务的经理Jeremy Pickett在电子邮件中称,这种根工具包有许多感染途径。不过,这种根工具包目前仅由恶意网站进行安装。安装这种根工具包的网站大多数是破解/盗版/偷窃软件网站。
由于发现率较低和在关闭之前这些受根工具包感染的网站仍然在线,自从上个星期四以来已经有将近4万个用户名和口令被偷窃。人们认为这种蠕虫是上个星期四开始传播的。40%的感染来自于社会网络网站。10%来自于旅游网站,9%来自于拍卖网站,8%来自于银行网站。其余的感染来自于各种各样的网站。
据Sana安全公司星期二发表的安全公告称,这种内核级根工具包被设计成为一种具有可怕功能的秘密的特洛伊木马。这家安全公司星期二早些时候还在网络博客中发布了警告。
“Alcra”蠕虫与各种网站取得联系,当人们访问网站时,就会下载这种根工具包和特洛伊木马。然后,这个恶意软件与一台没有保护的俄罗斯服务器进行联系,那台服务器充当窃取的用户名和口令库。Sana安全公司的Pickett表示,该公司还不确定这个代码编写得很糟糕的蠕虫是如何感染的。不过,这种蠕虫的感染方式很可能是通过电子邮件或者网络共享。
被感染的网站除了下载这个麻烦的根工具包之外,还试图下载间谍软件和广告软件。这个根工具包包含两部分:一个是名为“zopenssld.sys”的设备驱动程序,另一个是名为“zopenssl.dll”的动态链接库文件。这两个文件都打包在一个变体的UPX压缩文件中。这个程序似乎要把文件隐藏起来,而不管这些文件在什么地方。这些文件一般都在System32文件夹中。
这个安全公告称,由于“zopenssl.dll”把自己注册为一个名为“Winlogon.exe”的文件并且不作为一个进行运行,大多数用户永远不会发现这个文件。这个恶意程序甚至在以安全模式启动计算机之后仍然可以生存。
只要用户浏览一个需要身份识别的网站,这个跟工具包和特洛伊木马程序就与那台俄罗斯的服务器联系。这家安全公司指出,那台外国的服务器没有加密,因此,任何人都可以看到窃取的信息。记录的文件包括银行账户号码、电子邮件登录信息、保险信息、航班登录信息和存储在浏览器中的口令。
Pickett表示,避开这种威胁的最佳方法是分层次的安全措施,实际上没有一家主要的杀毒软件公司能够对这种威胁做出足够快的反应。这类威胁真正显示了基于非病毒签名的、基于行为的安全软件的需求。当然,还包括不要浏览非法的网站。
其它减轻这种威胁的方法包括下载一个积极的能够实时监测和删除恶意软件的桌面解决方案。对Sana安全公司感兴趣的用户可以下载一个能够删除这种恶意软件的可试用30天的最新的客户端解决方案。
Sana安全公司表示,它已经同有关当局取得了联系,联系的单位包括联邦调查局、用户受到感染的那些公司和托管这个被要求关闭的收藏网站的一家没有提到名字的公司。