J漾諸事會社

ZDNet記者馬培治／台北報導
 
2007/12/28 19:21
 聖誕節剛過，2008新年馬上就要來臨，電腦病毒也跟著節日步伐，一個接一個報到。
資安業者表示，才在聖誕節曇花一現的MSN病蟲感染狀況漸漸退燒，緊接著出現的則是在2007不停變種、肆虐一整年的風暴蠕蟲(Storm Worm)的最新2008賀年版本。根據網路安全觀測網站大砲開講所搜集的最新風暴蠕蟲變種資訊，一批帶有惡意連結，內容則多半為英文新年祝賀詞的惡意郵件正在網路上散佈，若使用者點擊了郵件中的連結並下載執行偽裝成電子賀卡的惡意程式，即會感染風暴蠕蟲的最新變種，不但電腦會被開啟後門任由駭客遠端操控，還可能成為駭客殭屍電腦大軍的成員，變成駭客網路犯罪的工具或跳板，

值得注意的是，風暴蠕蟲的最新「賀年版」出現才一天，便已有新的變種。根據大砲開講網站統計，光是惡意郵件的主旨，就已有A fresh new year、New Year Postcard、Happy New Year to You!等十多種不同版本，而信件夾帶的惡意連結亦有變動，並非只有單一版本。

「風暴蠕蟲的特色就是變種又快又多，」IronPort技術顧問總監林育民表示，自今年初風暴蠕蟲出現開始，這個利用電子郵件夾帶惡意連結的病毒便一直出現不同變種，八月起還會搭配YouTube影片、新聞話題、熱門運動賽事等不同主題，甚至會針對不同收件對象發送不同內容的惡意信件，提高感染率，而為了躲避防毒軟體偵測，「夾帶的惡意連結或惡意程式也會一直變化，讓傳統特徵比對的過濾方式無用武之地，」林育民說。

至於出現短短三天便漸漸退燒的MSN聖誕節病蟲，被賽門鐵克及McAfee定義為今年六月一度肆虐的私密照片病蟲W32.Mubla的新變種，趨勢科技則表示該病蟲已出現了慶賀新年的版本。

這個透過MSN Messenger即時通訊軟體傳佈的病蟲，會向感染者的MSN聯絡人傳送名為Chirstmas-2007.zip等相似檔名的壓縮檔案，趨勢科技資深技術顧問戴燊表示，該檔案為一模擬成螢幕保護程式的惡意程式，除了會繼續透過MSN傳佈，還會開啟電腦後門供駭客遠端操控，且還含有下載器(downloader)，會繼續下載其他新的惡意程式。

根據PTT防毒板網友SDUM的分析，該MSN病蟲會自動連向位於韓國、美國及義大利等地的IP位置。

資安業者賽門鐵克、趨勢科技及IronPort等，皆表示有觀測到MSN聖誕節病蟲的散佈，但皆非大規模感染通報，而在PTT的防毒板，自12月25日該病毒出現起，便開始有感染的網友詢問解決之道。

至於賀年版風暴蠕蟲，資安業者表示由於剛開始出現，也僅有零星通報，但由於風暴蠕蟲變種快速，仍提醒用戶多加注意。

兩種採用傳統社交工程手法散播的病毒仍舊引發感染，資安業者表示，在變種快速及使用者大意的情況下，難免有漏網之魚。

賽門鐵克資深技術顧問王碩麒便說，MSN病蟲與風暴蠕蟲由於都需要下載並執行惡意程式才會感染，在確切執行資安政策，如禁止下載或執行特定檔案格式的企業內，感染機會相當低，但他提醒缺乏中央控管為資安把關的一般使用者，遇到網路連結、友人傳檔或陌生郵件，都要再次確認才去點擊、執行，避免上當。

林育民則表示，使用者應採用多層次的防護機制，例如在特徵比對的資安產品外，搭配信譽評等技術，同時避免已知與未知的資安威脅。