【難封殺不死?惡意程式1分鐘可連線800個URL發動攻擊】
更新日期:2010/10/11 10:21 記者蘇湘雲/台北報導
網路駭客竊取個資的惡意程式為何防不勝防?
資安專家最新發現,惡意程式檔案利用一種網域名稱演算法產生網域(URL)名單,做為後續惡意檔案下載來源,每分鐘會產生800個不同URL為傳播途徑,即使部分遭封鎖,還有其他網域可取代。
專家說,資安廠商必須主動出擊才有可能減少風險。
趨勢科技提出警告,一個類似網域名單產生技巧的全新威脅已在網路上現身,名為 PE_LICAT.A的惡意程式檔案會利用一種網域名稱演算法來產生網域(URL)名單,以便從網際網路上的各種不同位置下載惡意檔案到電腦中執行。
LICAT會產生一個網域URL 名單來做為後續惡意檔案的下載來源,而網域名單的產生是透過一個亂數函式,根據每一台電腦系統目前的日期和時間 (UTC全球標準時間) 計算而來,並且每分鐘會產生800個不同的URL為傳播的途徑。
當感染電腦執行 LICAT 惡意檔案時,惡意程式碼就會隨機產生 800個網域URL名稱,接著,它會嘗試連線至網域名稱指定的URL,並下載及執行隱藏於 URL 中的惡意程式,如果下載或執行不成功,其就會針對其它URL繼續嘗試,直到滿 800 次為止。
此方法不僅能夠讓惡意程式持續不斷更新,而且,就算其中的一些URL遭到資安廠商封鎖,還有其他網域可以取代, 以提高感染機率。
趨勢科技資深技術顧問簡勝財表示,從 PE_LICAT.A 的程式碼來看,其下載含有惡意程式的檔案在執行之前會先經過檢查,已遭感染的電腦系統,在 PE_LICAT.A 每次執行時都有可能下載其它更多的惡意程式到系統內,除了造成電腦效能影響之外,最大的隱憂在於造成個人及企業資料外洩的風險。
專家指出,此波攻擊目前除在美國及歐州造成影響,並有向亞洲蔓延之情況發生。
網友可透過主動式截毒技術獲得適當的保護。
引用:http://tw.news.yahoo.com/article/url/d/a/101011/17/2eq2b.html |