作者:趋势科技
前不久韩国政府与重要机关在内的四十多个 .kr域名的网站分别遭到分布式拒绝服务 (Distributed Denial of Service,简称 DDoS) 攻击。这项攻击仅局限于韩国,而且和 2009 年发生的 DDoS 攻击事件很像。
此次攻击为一个恶意软件所为,上述网站因而暂时关闭了一段时间。根据报导,黑客至少入侵了四个南韩当地的点对点 (P2P) 文件分享网络,并且在某些分享的文件内植入了恶意代码,让使用者在不知情的状况下安装了恶意文件。
TROJ_QDDOS.A 的 DDoS 攻击造成轻微影响
趋势科技已取得并分析了上述恶意软件的样本 (并且命名为 TROJ_QDDOS.A)。根据分析,感染 TROJ_QDDOS.A 的计算机会成为僵尸网络/傀儡网络 Botnet的成员。TROJ_QDDOS.A 会先获取感染计算机上的下列信息:
l 目前登入的使用者名称
l 计算机名称
l 恶意软件路径和文件名
l 父处理程序的路径和文件名
接着,TROJ_QDDOS.A 会联机至某些 IP 地址,并且将上述信息传送出去。而远程服务器则将某个 .DLL 档案下载至感染计算机。接着,这个 .DLL 档案再植入更多的 DLL 组件,这些组件将负责执行 DDoS 攻击、覆写硬盘的主启动扇区 (MBR),并且在某些情况下删除一些档案。
DDoS 攻击:每当 TROJ_QDDOS.A 执行时,它还会在计算机上植入好几个 DAT 档案,其中一个档案是一份加密过的攻击目标网站列表。TROJ_QDDOS.A 在攻击某个网站时,会大量传送随机产生的数据至该网站的 UDP 端口 80。只要传送的数据量够多,目标网站就会因此瘫痪而无法使用。
所幸,韩国政府早已做好准备,足以应付这类攻击。整体上,这次事件所造成的损害非常轻微,因为韩国政府早已在 DDoS 和僵尸网络/傀儡网络 Botnet攻击预防方面已投注巨额成本。
仅管如此,TROJ_QDDOS.A 还是有二项值得注意的破坏行为。
Bot程序清除的重要性
TROJ_QDDOS.A 会覆写硬盘主启动扇区 (MBR)。这会让感染的计算机无法加载操作系统,变得完全不能使用。
TROJ_QDDOS.A 会删除档案。它所删除的档案包括:.doc、.docx、.eml、.ppt 等类型档案。但是在删除档案之前,它会先修改档案,让档案变得无法使用。
最后这两项行为会在系统时间比它在某个档案 (%System%/noise03.dat) 当中所指定的时间还早时启动,或是该档案不存在时也会启动。
上述的破坏行为正好提醒使用者定期备份文件的重要性,此外,信息安全软件也应随时保持更新。
此外,TROJ_QDDOS.A 还会修改系统的 HOSTS 档案,不让使用者连上防毒相关的网站。同时,它也会将系统快取内与它本身有关的 URL 记录清除,以防自己暴露行踪。
解决方案与行动
趋势科技目前已经能够封锁上述的恶意 IP 地址,并且能侦测所有相关的恶意档案。OfficeScan 只要搭配 7.877.00 版的病毒特征就能侦测并删除 TROJ_QDDOS.A 木马程序。此外,企业也可以透过 Total Discovery Appliance 搭配 NCCP 1.10487.00 与 NCIP 1.10527.00 的病毒特征来获得保护。
随着一般大众在工作和生活上越来越仰赖全球信息网络,趋势科技建议各国都应将网络安全视为国防安全的必要一环。大型企业、ISP 及政府机关应通力合作,共同防止 Bot 网络横行,并且预先侦查僵尸网络/傀儡网络 Botnet活动。