趨勢科技 TrendLabs 報告

e趨勢季刊

NETSKY週週有變種，感染源難尋，IT 陷入天羅地網

文／陳清芳　趨勢科技亞太區行銷部主筆

2月病毒緊鑼密鼓的現身。NETSKY.B還在趨勢科技全球病毒即時監控中心（ Trend World Wide Virus Tracking Center）http://www.trendmicro.com/map/ 高居全球感染率第二名， 2月25日NETSKY.C 又擠上來搶風頭，在3月2日成爲 24 小時內感染率第一名的病毒，且感染23300部電腦，遙遙領先NETSKY.B的5753感染個案；接著 NetSky.D 又在3月1日偽裝 pif檔，展開最新攻勢，且與前兩隻變種一樣，被列入中度風險警報病毒。NetSky果真如其名，佈下天羅地網般的密集偷襲行動。
A君收到病毒信標題:hi! 內文：yours? 的信件，A 君回信問：Who?? B君還真的以為是朋友的來信， B君回答：我是 John 阿，記得嗎？結果突然冒出了原本不在信件來源名單中的 C DEF…回信警告別再亂發信：（以下是其中案例之一）

您是否也掉進 NetSky佈下的天羅地網嗎？快檢視自己是否有如下類似症狀：

追根究底：
NetSky病毒會自中毒者的e-mail通訊錄中，隨機找一個名單，冒充大量散發 e-mail 的始作俑者，如果這個被冒用的帳號剛好是一個往生者，那麼就會出現案例y“靈異” e-mail 。另外，如果發送的該帳號已經停止使用或不正確，便會收到系統通知。這個手法跟 Klez 求職信很雷同，當初還有人收到某個具有聲望的宗教團體寄的色情信呢！

IT ：「找不出感染源，簡直比跳蚤還難清除。」
1. 詭異的“ undeliverable “退件通知
怪像：” NetSky ”大量散發電子信件，除了佔據企業帶寬外，很多企業向趨勢科技反應，企業內員工收到大量的 “ undeliverable “的退件通知，但奇怪的是員工們明明沒有發信給退件者。
追根究底：” NetSky ”病毒會自中毒者的 e-maill通訊錄中，隨機找一個名單，冒充大量散發 e-mail 的始作俑者。一時之間，這些系統的自動回信功能，竟讓IT部門充當大量散發垃圾郵件的黑手，還自陷於混亂的陣仗中。且由於該病毒變種衆多，使得大多數的網管人員找不出頭緒，「簡直比跳蚤還難清除。」一位網管人員形容自己的處境。

2.“中毒通知 “不斷湧入信箱
怪像：另一個現像是，有一個企業向趨勢科技反映，他們不斷收到防毒軟體自動發出的中毒警訊，指出該公司寄出的信件帶有病毒。
追根究底：上述那些被冒充爲病毒信件發送者的 e-mail 信箱，若對方收件者公司正使用防毒軟體，這些被攔截到帶有病毒的信件，會自動回信給寄件者，於是被冒名頂替的寄件者也會收到大量的”中毒警訊”自動回函。例如：「你送給XX 的信件，帶有病毒。」而這些不斷湧進信箱的通知，當然會讓網管人員白忙一場，因爲你根本沒中毒。

3.主旨與附件包羅萬象：
怪像：由於該病毒沒有固定的主旨、內容與附件，許多企業並沒有發現異狀，直到 e-mail server被暴增的信件拖慢傳送速度，才發現原來已經中毒了。
追根究底：信件主旨大致分類爲
「好友問候型」，如hello 、Good morning、Re: hi、Re: unknown dear、 something for you 、 what's up? 、Yep、 Re: does it 、 you? 、I'm back!
「正式通知型」：如Re: important、 report、 Re: information
「情色同好」型：如sexual 、 sexy、 swimmingpool
「系統告知」型：如warning fake? 、notification denied! 、Delivery Failed。
而附件除了以壓縮方式外，其中的檔案更是包含.pif 、.com、.scr、.exe 等各種不同類型的檔案，頗有一網打盡的意圖。有些甚至有兩個副檔名，企圖以txt、.rtf 、.doc、.htm 等低中毒率檔案格式矇騙。

NetSky 常見問題FAQ：
問：我有防火牆和防毒軟體保護，為何還會發病毒信出去？
答：NetSky病毒會自中毒者的 e-mail通訊錄中，隨機找一個名單，冒充大量散發 e-mail 的始作俑者，所以那些信並不是你發的，你是被冤枉的。

問：NETSKY 爲何一直出現變種？有何需要注意的地方？
答：趨勢科技 TrendLads 表示：「短短半個月天之內，出現 4 種變種，我們推斷NETSKY始作俑者正持續地觀察災情，並加強火力。不排除會有更多變種出現。」而每一次變種便出現各種新的信件主題、內文的方式，不難揣摩病毒作者正試圖找出能讓受害者不假思索開啓 e-mail 的”社會工程學（Social engineering）”手法。

NetSky變種日期表：

問：與 Nimda 等網路病毒相較，NetSky 的複雜度如何？
答：其難度屬於中度。介於一般以病毒産生器（virus construction kit）寫的簡易病毒（如Anna K）和複雜度較高的網路病毒，如 Nimda 之間。
與 Nimda 不同的是，除了 e-mail 外，它還會通過文件共用軟體Kazaa傳播。NetSky 會將自己複製於Kazaa 使用者共用的資料夾內，當Kazaa 使用者搜尋特定的字眼與病毒文件相符時，該文件便會被下載在受害者硬碟。

問： NetSky 使用哪些漏洞？
答： NetSky 並沒有使用任何漏洞發動攻擊。

問： NetSky 沒有使用漏洞攻擊，爲何會散播如此快速？
答：使用者是幫兇！！雖然有點嚴厲，但卻是事實，因為使用者開啓感染病毒的 e-mail 附件是導致 NetSky 疫發不可收拾的主因。
在加上病毒撰寫者，刻意利用變種改變信件主題、附件，更讓使用者防不勝防。

問：爲何 NetSky病毒會主動刪除 MyDoom等惡名昭彰的病毒註冊登錄值？
答： NetSky 並不是第一次使用這種手法的病毒，幾乎每次重大的病毒爆發，都有類似的”假好心”病毒，如Blast, CodeRed。病毒撰寫者爲了讓自己的原創惡性程式順利執行不軌意圖，避免受到干擾，因此會將採取雷同手法的病毒其移除。

問：哪裏可以找到移除其他病毒的“假好心-Good worm”病毒資料？
答：趨勢科技網站有相關的"益蟲-Good worm"資訊如下：
反CodeRed 蠕蟲： "CodeGreen":
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_CODEGREEN.A

反 Lion 蠕蟲- "Cheese":
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ELF_CHEESE.A

問：我如何分辨“假好心-Good worm"是真的對我有幫助的掃毒程式，還是它骨子裏是一支特洛依木馬程式？
答：使用者可以檢查系統登錄值是否已經被修改，大部分的這類蠕蟲，都會修改系統登錄值，

問：趨勢科技産品線，如何終結NETSKY ？
答：Gateway 産品：InterScan VirusWall 和 IMSS 過濾感染 e-mail訊息
server 産品：ScanMail c過濾感染 e-mail訊息
Server和 Desktop：ServerProtect, Pc-cillin, Housecall 能偵測並清除感染檔案
SMB Suites 中小企業套裝組合：
Client/Server for SMB能偵測感染文件.
Client Server Messaging Suite for SMB能偵測並過濾感染 e-mail訊息

[ Top ]