1月第2周安全回顾 电子产品存在恶意软件 垃圾信息威胁高

本文同时发表在： [url]http://netsecurity.51cto.com/art/200801/64143.htm[/url]

 

本周（080107至080113）安全方面值得关注的新闻集中在恶意软件、反垃圾邮件和代码安全方面。

恶意软件：感染主引导扇区的新类型Rootkit出现；消费类电子产品存在恶意软件感染隐患；关注指数：高

新闻1：周三，来自TheRegister.co.uk的消息，来自安全厂商VeriSign iDefense实验室的研究人员说，一种隐蔽性更强的Rootkit程序正在互联网上流行，这种Rootkit感染用户硬盘驱动器的主引导扇区（MBR），并在Windows内核启动之前抢先加载，因此市面上现有的大部分反病毒软件都无法检测这种Rootkit的存在。该Rootkit程序现在主要通过Web浏览传播，并利用Windows的漏洞种植在用户的系统内，在2007年12月初至今年初的一个月时间里，反病毒厂商一共检测到大概5000个与该Rootkit有关的感染案例。

笔者观点：感染硬盘主引导扇区的病毒最早流行于MS-DOS年代，当时出现了Brain、Stoned、Tequila等一系列著名的MBR病毒。但在用户所用的操作系统普遍升级到Windows NT及其系列系统（Windows 2000/XP/2003）之后，因为用户程序已经不能直接操作诸如读写硬盘这样底层的系统功能，必须通过调用系统API才能进行文件操作，因此Win32下的病毒逐渐衰老，在恶意软件领域的地位也逐渐被蠕虫、特洛伊木马等所取代。但在2005年底安全厂商eEye的研究人员在2005年Black Hat大会上发布了如何在Windows NT平台下操作硬盘的主引导扇区的演示程序之后，用户程序只能通过操作系统读写文件的这个安全措施便宣告失效，但当时因为稳定性和兼容性的原因，安全业界普遍不认为会出现隐藏在主引导扇区的恶意软件。但这次iDefense实验室安全人员所发现的Rootkit软件样本，就使用了主引导扇区感染技术，显示主引导扇区感染技术已经为恶意软件作者所使用，并已经发展到相当成熟的地步，而大部分反病毒厂商的产品无法检测该恶意软件也说明反病毒厂商需要更新自己做产品的思维和技术。笔者认为，因为感染主引导扇区技术在隐蔽性的先天优势，未来使用这种技术的恶意软件会进一步增加，此外，因为感染主引导扇区与操作系统类型并无关系，还将有可能出现跨系统（同时可感染Windows及*nix）的恶意软件，如何防御这种类型的恶意软件的侵袭，是安全行业需要解决的问题。

新闻2：周三，来自SecurityFocus的消息，互联网安全组织ISC称，上个月接到数个用户关于数码相框（动态显示照片的小型数码设备）携带恶意软件的报告。报告中所涉及的数码相框都来自相同的厂商和销售链，用户在使用时这些数码相框上所携带的恶意软件会尝试感染用户的系统。
笔者观点：随着价格下降及厂商的推广，各种带有存储功能的数码产品大量进入市场。如果在数码产品进入市场前的生产渠道或销售过程中被恶意软件感染，就会对用户系统造成难以估量的损失，也会对所属厂商的声誉造成严重影响。前年Apple有一批iPod在发售时发现被恶意软件感染，最终Apple及销售商只能对受影响的消费者进行赔偿。笔者认为，销量放大必然会导致新售出的数码产品感染恶意软件可能性的增加，数码产品生产厂商应该对产品的生产、测试和销售过程进行规范，防止出现恶意软件感染事件；用户在购买和使用数码产品的时候也应该当心数码产品上可能存在的恶意软件。

 

反垃圾邮件：垃圾信息威胁免费在线文件共享服务；关注指数：高
新闻：周四，来自Techweb的消息，来自安全厂商Mcafee Avert实验室的研究人员称，发现Microsoft的免费在线文件共享服务SkyDrive Beta和其他免费服务正在遭受垃圾信息的威胁，这些垃圾信息的发送者向这些免费在线文件共享服务上传了成千上万的包含有恶意网站地址的文件，如果用户不小心点击或下载了这些文件，将有可能会被重定向到各种恶意网站去。

笔者观点：最近几年垃圾邮件的攻击手法一直处于快速的发展中，从最开始的在垃圾邮件中使用多种文件类型作为附件，到使用自动信息发送机器人来填充Blog等Web 2.0站点的留言信息，到现在Mcafee所发现的在免费在线文件共享服务上的包含垃圾信息的文件。由于免费的在线文件共享服务没有一般Web 2.0站点所具有的关键词过滤或黑名单功能，因此垃圾信息利用这类免费服务进行扩散只是时间问题。此外，免费在线免费文件共享服务还有可能成为垃圾信息发送者散布各种恶意软件的渠道， 还往往和电子邮件、即时通讯等手段结合使用。笔者建议，用户在使用这类免费服务时应保持警惕，不要为垃圾信息的文件名或文件描述所诱惑，更不要随意打开不熟悉来源的共享文件，以防感染恶意软件造成损失。

代码安全：开源软件代码中隐含许多安全漏洞；关注指数：高
新闻：周二，来自Techweb的消息，根据美国国土安全部所发起一个旨在检查开源软件产品的代码安全性项目的结果，许多如Samba、PHP、Perl和Amanda这样的著名开源软件的代码中隐含了许多安全漏洞，据不完全统计漏洞数量甚至达到每1000行代码便隐含一个安全漏洞的地步。
笔者观点：由于开源软件产品的免费和使用成本低廉，许多属于政府部门、教育及商业领域的用户都纷纷抛弃原来使用的封闭源代码商业软件，而改投开源软件门下。这次美国国土安全部进行的著名开源产品代码安全性检查，与其说是发现开源软件的诸多问题，更不如说是通过政府行为的方式，给开源软件的发展和推广铺平道路。尽管在这个检查初期可能许多开源软件产品会检查出许多问题，但封闭源代码的商业产品就不见得代码质量会好很多，而且这些开源产品经过修正并为美国政府所接受之后，开源产品的安全性会更广为用户所认知，国内是否也会进行类似的带有政府背景的开源产品代码审核行动，国内的开源厂商如何进行应对？