抓到所有的壞人,而不會抓到好人:防止誤判,防毒軟體該做些什麼?

回到惡意軟體還沒有那麼猖獗的時候,防毒軟體很大程度上是依賴病毒特徵碼的更新去偵測惡意程式。在那時,這樣的效果非常好,而誤報問題也非常少見的,除非是因為作業流程出錯而導致錯的病毒碼被發布出去。

抓到所有的壞人,而不會抓到好人:防止誤判,防毒軟體該做些什麼?
抓到所有的壞人,而不會抓到好人:防止誤判,防毒軟體該做些什麼?

最近幾年,因為地下經濟蓬勃的發展,我們看到惡意軟體以倍數地增長,功能也變得更加複雜。可能是因為網路犯罪份子會資助複雜惡意軟體的開發。先進的偵測躲避技術還有隱匿活動的能力也是今日惡意軟體的特徵,讓它更難以被偵測和追踪。

面對這些狀況,大多數防毒軟體廠商會不斷地創新,引進新方法來偵測更多惡意軟體,特別是在惡意軟體尚未擴散之前。大多數都是利用啟發式偵測來幫助防毒軟體分析判斷是否為病毒。但是這種做法是把兩面刃:有助於提高偵測率,也容易導致誤報。

誤報真的可能會造成傷害

誤報,也就是假陽性,就是當正常或乾淨的檔案被防毒軟體誤判為惡意或中毒的檔案。

在某些時候,誤報只是會很擾人,因為會在使用者螢幕上跳出警告訊息。但在其他狀況下,誤報是會極具破壞性的,尤其是當因為誤判而刪除系統檔案的時候(可以在這裡這裡找到一些例子)。如果這發生在企業環境中,對業務的影響可能會非常昂貴,在處理誤判問題以及回復的過程中,生產力也受到了影響。 繼續閱讀

「嘿!有人張貼關於你的壞話」小心這個Twitter網路釣魚騙局

作者:Vic Hargrave

有個利用Twitter私密訊息(Direct Messages)的Twitter網路釣魚(Phishing)騙局正在四處散播。訊息內文是「 “Hey somebody is posting really bad rumors about you.” 嘿!有人張貼關於你的壞話」,並且包含一個短網址連結,點擊後會帶你到一個假 Twitter 網頁,網頁很類似Twitter的登錄頁面,並試圖騙取你的Twitter登錄憑證。但除了這個頁面並沒有典型Twitter背景外,也請注意到他們的網址(如紅色圈圈所示)是twtter,看起來像是「twitter」,但是少了一個「i」

短網址是Twitter的主要安全弱點之一。他們可以讓包含網址的推文更容易符合140個字元的限制,卻也掩蓋了原來的網址,讓你無法分辨這網址是否是假的。

採取下列預防措施以避免被騙局所愚弄:

  1. 如果你連上了一個像這樣的網頁,不要輸入你的Twitter登錄憑證。
  2. 檢查你從短網址所連上的網址,確認他們的網址不是那些看來正常卻缺字的公司名稱,像是 twtter、facbook等等。
  3. 檢查你不小心瀏覽到的網頁,確認它們屬於所代表的公司。
  4. 使用來自PC-cillin 雲端版的瀏覽器工具列。這個工具會對Twitter內的網址加以評分,以分辨短網址所指向的是合法或惡意的網站。
  5. 小心這類經由Twitter私人訊息所發送的騙局,確認你在點擊這些訊息內連結時有按照提示1 – 3。

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁上按讚:http://www.facebook.com/trendmicrotaiwan

 

@原文出處:Watch Out For This Twitter Phishing Scam

趨勢科技PC-cillin 雲端版 獨家【Facebook隱私權監測】,手機‬、平板、電腦全方衛!即刻免費下載

 

免費下載 防毒軟體 PC-cillin 試用版下載

 

◎ 歡迎加入趨勢科技社群網站

 

會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)

 替你的VMware環境解除「危機」

 在8月21日,有許多媒體報導一種會攻擊VMware虛擬機器的新病毒或惡意軟體。「Crisis」(又稱為Morcut)是在七月下旬就開始散播的新惡意軟體家族,曾經被許多防毒廠商所報導過,包括趨勢科技,主要是會感染Mac OSX機器。而安全研究人員最近發現,有些新的Crisis變種也會感染VMware虛擬機器和Windows Mobile系統。

 

下面是個實用的指南,能夠提供你在面對這類不明疑懼(FUD)事件時所該知道的資訊,以及在短期與長期階段所該做的事情。

 

先來複習一下,今日的虛擬化主要是透過兩種類型的虛擬主機管理程式(Hypervisor)佈署:

 

  • 第一類的虛擬主機管理程式部署 – 最明顯的例子是VMware ESX、Citrix XenSource等。可以將這類產品想成是替代一般主機作業系統(像Windows或Linux),直接在實體機器的硬體上執行。這種軟體就像是作業系統,可以直接控制硬體。管理程式再來同時執行多個虛擬機器。幾乎所有資料中心都是部署這類虛擬化產品。這類軟體並不會被這隻惡意軟體所攻擊。我也不知道實際上有那種在外流通的惡意軟體可以感染第一類虛擬主機管理程式。
  • 第二類的虛擬主機管理程式部署 – 例如VMware Workstation、VMware Player等,這類的虛擬主機管理程式是安裝在個標準的作業系統上(像Windows或Linux),再來執行多個虛擬機器。而這第二種類型是惡意軟體所會感染的。首先,主機作業系統先受到感染。可能是一次已知的Windows或Mac OS攻擊(所以要先偵測作業系統,然後安裝對應的可執行檔)。接著它會尋找VMDK檔案,並且利用虛擬主機工具(VMplayer)來感染虛擬機器。而這類型的感染是可以利用更新的防毒軟體來加以阻擋的。

 

即使這個受感染的虛擬機器被移動並執行在第一類虛擬主機管理程式(假設性的討論),它也會被限制在虛擬機器裡面,因為端點安全程式會防止虛擬機器間的網路流量以及I/O流量。

 

那麼,有什麼大不了的?

虛擬機器就跟實體機器一樣,沒有修補漏洞一樣會讓惡意軟體感染作業系統或是應用程式,或是會被針對使用者的社交工程攻擊成功。有兩件事讓「Crisis」顯得既新且獨特:

 

  • 首先,這惡意軟體會明確的尋找虛擬機器的存在,並試圖加以感染
  • 第二,它會透過底層基礎架構來感染虛擬機器,也就是透過修改vmdk檔案,而不是透過傳統手段,如遠端網路、網頁存取或檔案分享來進入虛擬機器。

 

除了這些有趣的特性之外,我們不認為這惡意軟體有立即性的威脅。在真實世界裡的發病率非常低(小於100個案例),所以它看來不會出現大規模的擴散,或有能力去迅速的散播。話雖如此,如果擔心的話,你還是應該採取一些預防措施:

 

  • 防護你的虛擬機器 – 你珍貴的應用程式和資料是所有攻擊的最終目標,「Crisis」只是讓目標更加明確。要確認在實體機器和虛擬主機上有防毒軟體或其他層次的保護以確保安全,例如趨勢科技Deep Security趨勢科技OfficeScan
  • 限制對VMDK檔案的存取 – 雖然「Crisis」只針對一般主機上的虛擬主機管理程式,而非資料中心。但根本的問題是,任何可存取vmdk檔案的人都可以對你的虛擬桌面或虛擬機器(包括vSphere或View)做出不好的事情。

 

 

@原文參考:Averting a ‘Crisis’ for your VMware environment作者:Warren Wu(資料中心事業群產品協理)

 

Morcut/Crisis(危機)病毒小檔案

Morcut/Crisis(危機)病毒會感染VMWare虛擬機器並且可以在多個系統平臺上運行傳播。Morcut/Crisis(危機)有以下兩點與普通病毒不同:

1、目標明確,它會搜索是否有虛擬機器存在並嘗試感染。

2、通過基礎架構對虛擬機器進行感染。例如通過修改.vmdk檔而不是通過傳統手段如遠端控制或檔共用的方法來入侵虛擬機器。

該病毒通過直接修改在HOST物理伺服器上的VMDK檔對虛擬機器進行感染。也就是說,如果某台HOST物理伺服器(Windows/MAC OS)感染了該病毒,且機器上安裝了VMWARE的工具(WORKSTATION、vSphere、View)等,則該機器有許可權訪問的虛擬機器,都有被感染的風險。感染病毒後,該虛擬機器會有資訊洩漏的風險同時被植入後門

該病毒對虛擬機器的傳播是依賴VMWARE提供的功能,不存在對漏洞的利用,所以一個被感染的VM並不會將病毒傳播到其他VM上。(但可能由於HOST物理伺服器感染,所以其他VM也會被感染)

該病毒的主要惡意行為為竊取資訊和後門,不管是在VM中還是在HOST物理伺服器中,病毒的行為都是一樣的。

 

惡意行為

最初,它是利用一個惡意的Java applet(被檢測為JAVA_MORCUT.A*)來抵達電腦。這個Java applet中包含的代碼會檢測目的電腦運行的是什麼作業系統。

在Mac系統上, Java applet會釋放並且運行OSX_MORCUT.A,該病毒的惡意行為與大多數Windows平臺上的後門程式類似。OSX_MORUCT.A具有最不尋常的行為是能夠打開系統麥克風,可能是為了進行資訊盜竊。

在Windows系統上,這個Java applet會釋放WORM_MORCUT.A。接著釋放其它若干檔,其中之一被檢測為WORM_MORCUT.A;另一些元件檔被檢測為RTKT_MORCUT.A**。它的主要功能是通過USB和虛擬機器進行傳播。它可以搜尋系統上的VMware虛擬磁片並且將自身的病毒副本釋放到虛擬機器中。Windows版本的MORCUT和Mac版本一樣,也能夠錄製音訊。

 

技術細節

被檢測為JAVA_MORCUT.A的JAVA applet會下載一個壓縮包,包含兩個檔:運行在MAC系統上的後門程式OSX_MORCUT.A和運行在Windows系統上的蠕蟲病毒(檢測為WORM_MORCUT.A)。接著,該檔會釋放以下組件檔:

 

Ÿ   IZsROY7X.-MP (32位DLL)定義為WORM_MORCUT.A

Ÿ   t2HBeaM5.OUk (64位DLL)定義為WORM_MORCUT.A

Ÿ   eiYNz1gd.Cfp

Ÿ   WeP1xpBU.wA (32位元驅動程式)檢測為RTKT_MORCUT.A

Ÿ   6EaqyFfo.zIK (64位元驅動程式)檢測為RTKT_MORCUT.A

Ÿ   lUnsA3Ci.Bz7 (32位DLL)非惡意文件

 

根據趨勢科技的初步分析,WORM_MORCUT.A具有透過USB設備和VMware虛擬磁片傳播的能力。它使用的驅動程式元件RTKT_MORCUT.A掛載到虛擬磁片上。雖然該病毒具有較強的傳播能力,但是我們沒有發現大量感染WORM_MORCUT.A和TROJ_MORCUT.A的情況。

 

注意

該病毒在感染過程中並不會利用漏洞。此外,只有VMWare的虛擬機器會受到該病毒的威脅,其他虛擬機器平臺不受影響。此外,幾乎所有的虛擬機器部署的資料中心不會受到影響。

 

解決方案

限制VMDK訪問 “危機”只針對主機的虛擬機器管理程式,而不是資料中心,它會使任何可以訪問.vmdk檔的程式在您的虛擬磁片或虛擬機器上執行惡意行為,其中包括vSphere或View。

保護您的虛擬機器 任何攻擊的最終目標是您有價值的應用程式和資料,“危機”的目標更為明確。確定是否安裝反病毒軟體和其他方面的安全產品來保護您伺服器和桌面的安全,如趨勢科技Deep Security趨勢科技OfficeScan

◎ 歡迎加入趨勢科技社群網站

Android裝置上的七種惡意軟體類型與排行

 

短短一個月內,Android上的惡意軟體數量就翻了一倍,從一萬變到兩萬。快速成長的Android威脅已經是個值得關注的焦點了。

 趨勢科技曾經預測Android惡意軟體將會在今年此時來到一萬一千個,當時這個看來不可思議的數字也輕易的惹來嘲笑。但事實證明,當年這看來過高的預測,離我們現在所實際看到的兩萬五千個Android惡意軟體數量都還有一段距離。

 趨勢科技也曾經報導過網路犯罪份子用來誘騙使用者下載惡意行動軟體的各種手段。官方Android軟體商店 – Google Play變成有毒應用程式的平台。假SkypeInstagram、憤怒鳥上太空Farm Frenzy和其他假知名應用程式被用來發送簡訊到加值服務,讓使用者產生多餘的費用。使用者好奇的天性也讓間諜應用程式(像是Spy ToolSpy Phone Pro+)利用來賺錢。設計複雜的BotPanda會隱藏自己的行為,打開被破解過的裝置加以遠端存取。

 我們列出本季Android裝置上的七種惡意軟體類型。幾乎有一半的數量是加值服務濫用軟體,會替使用者訂閱他們並不想要的服務。廣告軟體,最近變多了,因為它們會不停地派送偽裝成緊急通知的廣告,排名第二。資料竊取軟體、惡意下載軟體、惡意破解軟體(rooter)、點擊詐騙軟體還有間諜工具跟在其後。這些行動軟體會帶來個人和金融資料被竊的危險。

ANDROID前十名被偵測到的惡意軟體家族

 Android惡意軟體隨著Android市佔率的上升而一起成長。然而,趨勢科技發現只有五分之一的Android裝置有裝安全軟體。使用者必須要了解攻擊者如何利用應用程式來竊取資料,才能避免落入他們的陷阱之中。Google他們也會利用一些功能來維護Android環境的安全,像是Bouncer服務或自動掃描、沙箱技術、權限系統和遠端惡意軟體移除。

2012年Q1出現了5,000個新的Android惡意行動軟體。而到了2012年Q2,一個月就發現了10,000個新的惡意行動軟體!

繼續閱讀

Cirsis/MORCUT 惡意軟體掛載虛擬機器

作者:Christopher Daniel So(趨勢科技威脅反應工程師)

趨勢科技之前接獲警報,出現了會在VMware虛擬機器內散播的Crisis/MORCUT惡意軟體。我們在之前關於Crisis/MORCUT的文章中說明了這是一個專門針對Mac OSX系統的後門程式。而現在,我們手上有可以在Windows內執行的Crisis/MORCUT樣本,有趣的是,它會去掛載虛擬硬碟。它透過檢查VMware設定檔來找到主機上所安裝的所有虛擬機器位置。

目前尚未能確認這個變種病毒是如何進入系統的。但似乎是從下載一個惡意Java Applet(偵測為JAVA_AGENT.NTW)開始。Java Applet內包含兩個檔案:mac – 後門程式OSX_MORCUT.A和win – 被偵測為WORM_MORCUT.A的蠕蟲程式。檔案win可以在Windows作業系統上執行。然後這個檔案會產生以下元件檔案:

IZsROY7X.-MP – (32位元DLL)現在被偵測為WORM_MORCUT.A

  • t2HBeaM5.OUk – (64位元DLL)現在被偵測為WORM_MORCUT.A
  • eiYNz1gd.Cfp
  • WeP1xpBU.wA – (32位元驅動程式)現在被偵測為TROJ_MORCUT.A
  • 6EaqyFfo.zIK – (64位元驅動程式)現在被偵測為TROJ_MORCUT.A
  • lUnsA3Ci.Bz7 – (32位元DLL)非惡意檔案

 

根據趨勢科技的初步分析,WORM_MORCUT.A可以經由USB裝置和VMware虛擬硬碟來散播。它利用驅動程式元件 – TROJ_MORCUT.A來掛載虛擬硬碟。雖然這樣的能力讓它看來可以更積極的散播,但是在這文章撰寫時,我們還沒有看到太多WORM_MORCUT.A和TROJ_MORCUT.A的感染案例。

 

正如之前在我們的雲端安全部落格文章中所提到的: 會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut),我們的初步分析顯示這個Crisis/MORCUT變種可能會影響第二型的虛擬機器管理程式部署。由趨勢科技 Deep Security趨勢科技OfficeScan所提供的防護可以確保趨勢科技的客戶不受Crisis/MORCUT惡意軟體所威脅。

繼續閱讀