传奇人物阿拉法特于11月11日在法国巴黎附近的贝尔西军医院逝世,他的真正死因正引起多方揣测。趋势科技全球防病毒研发暨技术支持中心 --TrendLabs于日前侦测到一个以"Latest News about Arafat!!(阿拉法特的最新消息!!)"为信件主题的病毒 "Worm_Golten.A",该病毒在内文里叙述" Hello guys!Latest news about Arafat!Unimaginable!!!!! "(嗨伙计们,最新的阿拉法特新闻!太不可思议了!)并分别附上两个.EMF格式附件,其中ARAFAT_1.EMF 文件名附件内果真含有阿拉法特葬礼图片(如图),这是病毒利用障眼法,让受害者没有防备心地开启第二个附件,一旦开启了ARAFAT_2.EMF 附件,病毒则会利用 Windows XP 的 Metafile 漏洞,钻入系统。趋势科技表示,目前Worm_Golten.A在亚洲大量散播,中国内地,台湾、香港地区和韩国、日本都有感染报告。趋势科技表示该病毒还会利用文件分享自我繁殖,有极高的散播风险,值得密切注意。
该病毒虽然以电子邮件当诱饵,但它并没有利用电子邮件作为大量自动散播的工具,而是远程攻击者以手动方式发邮件给锁定的对象,并附上含有病毒的附件,该病毒附件采用微软于 10月12日公告的Graphics Rendering Engine安全漏洞(MS04-032) Security Update for Microsoft Windows (840987),一旦受害者开启信件所附的.EMF 文件,病毒即会复制到受害者系统中。这有可能是攻击者想通过用新漏洞来示范展示新的攻击战略。趋势科技表示Graphics Rendering Engine 漏洞,存在于绘制 .WMF 和 .EMF 影像文件的程序代码,可能会让攻击者从远程执行程序。只要是系统有这个漏洞,任何绘制这类影像的应用程序都可能会受到攻击。一旦攻击成功,攻击者就可以利用这个漏洞完全掌控系统。
除了漏洞机器会成为Worm_Golten.A下手的对象外,文件共享与密码设定不牢靠的机器,也是受害高危险群。趋势科技 TrendLabs 表示,该病毒会自远程安装不法程序,修改注册机码,以便让使用者每次开机时,自动激活该病毒,并搜寻分享资料夹的系统,借机"下毒"。另外,如果密码设定跟病毒密码清单所假设的相符合,那么病毒可取得系统控制权,远程任意存取文件。Worm_Golten.A的密码清单含有 34个可能的使用者名称与密码清单。包含:!@#$、!@#$%、000000、111、111111 、12 、123 、123456 1234567 、12345678 、54321、654321、888888、88888888 、admin 、pass 、passwd 、password ….等等常被猜中的密码组合。而这份密码清单,与2003年3月在亚洲大量蔓延的WORM_DELODER.A很类似,可见黑客看准了多数人设定密码草率的通病。
信息安全专家表示,破解密码成为黑客入侵企业网络的快捷方式,部分破解密码软件宣称可每秒完成 800 万次测试组合。网络上公开的密码破解程序,宣称可在一小时内破解7000次左右密码,根据一份约20 年前的研究报告指出,有三分之一的密码可在五分钟内被破解。但值得参考的是,若使用 8 个字符的密码,以当时最强大的计算机,得花 66 年才能破解。时至今日,相信破解的时间不需要耗费一甲子这么久,但趋势科技表示8 个字符的密码仍然是比较安全的,使用者最好大小写混用,且不要用常见的单字,因为密码字典的单字库可远远超过 20万个字,其中包含你常使用的人名、地名等等。
趋势科技表示,病毒跟着新闻事件争取曝光率是惯用的手法之一,比如美国大选期间,佯称候选人 Kerry竞选募款邮件骗取支持者捐款;911事件的伊斯兰病毒,要求你为「世界和平投下神圣的一票」等等。使用者的自保守则,除了定期安装补丁程序、更新防毒软件、关闭文件共享、严谨设定密码外,不要让自己的好奇心惹祸上身也是值得自我检讨的。(T101)
|
