堅持上工的Windows XP ,讓DOWNAD 登上第二季垃圾毒王寶座

DOWNAD (亦稱為 Conficker) 仍舊是讓大型企業與中小企業受害最深的三大惡意程式之一。這是因為仍有不少企業還在使用容易遭此威脅攻擊的 Windows XP 系統。

Windows XP

此威脅可透過惡意 URL、垃圾郵件及可卸除式裝置散布,並感染整個網路。它專門攻擊 MS08-067 伺服器服務漏洞,可執行任意程式碼。此外,DOWNAD 還內建專門產生網域名稱的演算法,可隨機產生 URL,然後連接至產生的 URL 來下載檔案到系統上。

趨勢科技監控垃圾郵件情勢的期間,我們發現第二季當中有 40% 的惡意程式相關垃圾郵件都是由感染 DOWNAD 蠕蟲的電腦所散發。一些在附件當中散布 FAREITMYTOBLOVGATE 惡意檔案的垃圾郵件行動,都是由感染 DOWNAD 的電腦所為。   FAREIT 是一個專門竊取資訊的惡意程式家族,會下載 ZBOT 程式。至於 MYTOB 則是一個專門透過垃圾郵件附件來自我散布的老式蠕蟲家族。

 表一:專門散發垃圾郵件的惡意程式

根據這項資料,CUTWAIL (Pushdo) Botnet傀儡殭屍網路」以及 Gameover ZeuS (GoZ) 為另兩個惡意程式相關垃圾郵件的最大來源。有趣的是,CUTWAIL 先前是用來下載 GoZ 惡意程式。而現在,UPATRE 卻是利用具備點對點 (P2P) 通訊功能的 GoZ 惡意程式或 ZBOT 變種。

在過去幾個星期當中,我們已通報過多起濫用 Dropbox 連結來散布惡意程式的垃圾郵件行動,如:NECURS 和 UPATRE。此外,我們還發現了一個偽裝成語音訊息的垃圾郵件,內含 Cryptolocker 勒索軟體 Ransomware變種。我們最新發現的是一個利用 CUBBY 檔案儲存服務連結的垃圾郵件行動, 這次挾帶的是一個銀行木馬程式,也就是趨勢科技偵測到的 TSPY_BANKER.WSTA。網路犯罪者和駭客之所以濫用這些檔案儲存平台,或許是為了掩護其惡意行動,並且避免在系統和網路上被發現。

採用惡意程式附件檔案的垃圾郵件仍不斷成長,含有惡意檔案連結的垃圾郵件也是同樣情況。利用檔案代管服務來散布惡意程式似乎已成為網路犯罪者喜愛的一項感染途徑,最可能的原因是這類 URL 看起來很正常,因此更有機會躲過垃圾郵件過濾軟體的偵測,所以成效更好。

儘管前述垃圾郵件活動大多是經由知名的 GoZ 惡意程式所散布,但值得注意的是約有 175 個 IP 其實與 DOWNAD 蠕蟲有所關聯。這些 IP 使用了各種連接埠,並且是經由 DOWNAD 的 DGA 功能所隨機產生。目前仍有為數不少的電腦還感染著這項威脅,因而被用於散發垃圾郵件,進一步增加感染系統的數量。此外,由於 Microsoft 今年已終止支援 Windows XP 系統,我們預料仍在使用此系統的電腦將感染類似 DOWNAD 的威脅。

趨勢科技能保護使用者免於此威脅的危害,因為其趨勢科技主動式雲端截毒服務  Smart Protection Network已能偵測此威脅相關的惡意檔案、垃圾郵件並封鎖所有相關的 IP 位址。此外,我們亦建議使用者升級其 Windows 作業系統,並且在開啟電子郵件之前務必小心,即使是來自看似正常的來源也不要掉以輕心。

◎原文來源:DOWNAD 登上 2014 年第二季惡意程式垃圾郵件來源榜首 (DOWNAD Tops Malware Spam Source in Q2 2014)