基于独家ASIC芯片加速技术,引领统一威胁管理(Unified Threat Management)领域的开拓者和市场领导者Fortinet(飞塔)公司,日前公布其FortiGate安全管理工具在2006年六月截获的病毒威胁排名,大部分的病毒排名都在意料中(如Netsky.P,Grew.A以及臭名昭著的BetterInternet adware)但还是有两种新发现的病毒挤入前十排名:W32/BagleZip.GL@mm和W32/BagleZip.FY@mm,尤其后者来势汹汹,似乎是针对防病毒探测有备而来的,应格外谨慎关注。
依据Fortinet公司六月份的统计数字,FortiGate截获的前十位病毒威胁排名依次为:依次为:W32/Netsky.P@mm(10 %),HTML/Iframe_CID!exploit(9 %),W32/Bagle.DY@mm(8 %),W32/Grew.A!worm(7 %),Adware/BetterInternet(5 %),HTML/BankFraud.E!phish(4 %),W32/BagleZip.GL@mm(3 %),W32/BagleZip.FY@mm(2 %),W32/MyTob.fam@mm(2 %),Adware/ZangoSA(2 %)。
隐藏在zip文件背后中的Bagles病毒
Fortinet威胁响应小组从六月中旬开始已经多次做过关于新的Bagle病毒要爆发的报道(包括Bagle.FY, GL and GM病毒)。通常病毒爆发会发生在月初,然而,有趣的是此次Bagles病毒的习性稍微有些不同。EMEA应急响应智囊团负责人Guillaume Lovet指出:新出现的Bagles病毒是以一种密码保护的zip文件方式出现在用户的邮箱中,这样通过防病毒邮件网关方式时,可以有效的防止文件自动解压缩。密码保护恶意文件的原理是:除非加密文件能够被破解(该情况并不适用于zip标准加密文件),否则防病毒扫描器探测不到(也扫描不到)加密文件的内部。
此外,Lovet还谈到,密码是保存在消息体内的一个附加图片中;这主要是以防万一防病毒公司的探测器通过分析消息体,自动的定向提取密码。这样密码虽然被保护了,但是却同样容易自动被破解。另外,zip文档不仅包含恶意软件本身,还包括一个由随机代码组成的dll文件,因此该zip文档不同于其他恶意软件复制的例子。实际上,这完全取决于病毒有效的多态性,此外实现起来几乎毫不费力:不同于以前的病毒复制,只是在dll文件中填充随机垃圾代码,并将最终改变生成的加密文档。这样有了不同于寻常蠕虫病毒的加密机制,该随机产生的dll文件只要调用一下zip库就很容易生成实现了。
这可以看成是寄生虫病毒的多态性,因为病毒主要利用了“主机”的资源来实现多态性的复制,而并非利用其自身的多态性加密机制。这样使用图形文件为加密的关键,而没有藏在恶意软件本身,病毒制造者可能会认为他们已经成功地瓦解了防病毒公司的防范。但事实并非如此,原因是zip加密技术的某些特征,使得扫描器能够不破坏加密技术本身而识破这之间的混乱。一句话,防病毒公司却始终保持着自身的优势。
Fortinet病毒研究员也谈到:若给出了加密zip文件的密码,那么计算机用户想要打开附带密码保护的zip文件的可能性将会高于一般的zip文件。此外,随着邮件群发式病毒的发展趋势,在未来的一段时间内,该系列病毒将会出现新的变数,值得留意。