作者:Francis Saguiguit (趋势科技威胁分析师)
就在不久前,我的一位同事Menard Oseña在参加 RSA 大会之后撰写了一篇文章,讨论企业在使用社交媒体以及处理企业信息时,务必建立良好的安全意识。此外,在该文当中,他特别强调企业应该通过正确的用户认知、信息安全政策以及信息安全技术来确保自己免于内部与外部的威胁。
本文将进一步说明,这项原则不仅适用于社交媒体的运用,而是整个企业运算基础架构皆适用。
WORM_FLASHY.VRX:三合一恶意软件
最近,我们在一些企业网络中发现了一种非常有意思感染情况,这是一种结合多种恶意软件并且「意外地」衍生出一种合体恶意软件的案例。
我们在同一个网络上发现了一只蠕虫与二个文件感染程序,分别是:WORM_FLASHY.AA、PE_CHIR.B 与 PE_VIRUX.AA,然而由于这些恶意软件会互相结合,因而让感染情况更加严重,使得网络运作不稳定。以下详细说明这类感染的发生经过:
· 首先,WORM_FLASHY.AA先感染某台计算机,将自己复制到系统文件夹、共享磁盘驱动器以及可卸除式磁盘。
· 接着, PE_CHIR.B感染同一台计算机,它会检查该计算机上的WORM_FLASHY.AA蠕虫是否有自己的感染标记。如果没有,PE_CHIR.B就会感染该WORM_FLASHY.AA蠕虫,然后留下感染标记。
· 接着,PE_VIRUX.AA又感染这台计算机,并且检查其WORM_FLASHY.AA蠕虫是否有自己的感染标记。如果没有,同样也会感染WORM_FLASHY.AA。
· 最后,当WORM_FLASHY.AA再次执行时,它所散播的复本已不再是原始的版本,而是已感染了PE_CHIR.B和PE_VIRUX.AA的合体版本。这个新的版本就是趋势科技所侦测到的WORM_FLASHY.VRX。
这项攻击当中最重要的关键是WORM_FLASHY.AA。此蠕虫在设计时即具备一些弹性让其复制散播的部分可以修改,而不是只散播最原始的版本。因此,当WORM_FLASHY.AA被 PE_CHIR.B 和PE_VIRUX.AA感染时,它后续散播的恶意软件会变成WORM_FLASHY.VRX,也就是三者的合体。
WORM_FLASHY.VRX的恶意行为非常多样,因为它同时包含了三种恶意软件的散播、感染与其他行为:
预防永远胜于治疗
虽然上述攻击看似复杂,但预防方法却相当简单,只要遵循一些计算机与网络设定的最佳实务原则即可:
· 设定计算机停用移动存储装置的自动播放功能
· 将共享磁盘驱动器与共享文件夹的权限设定为「只读」
· 让计算机随时更新最新的安全补丁
· 拦截可执行的电子邮件附文件
· 监控网络是否有可疑的联机或活动
· 确保所有计算机都安装信息安全软件,并且务必启动实时扫瞄功能
正如我同事Menard所说,不论是社交网络或计算机网络,企业越疏于防范,歹徒就越容易得逞。