研究人員發現新型“無文件”惡意軟件

研究人員日前發現了一種極其罕見，也可能是獨一無二的“無文件”惡意軟件，該惡意軟件不需要在受感染電腦的硬盤上存儲任何文件，完全在內存中運行。 這一最新發現是由Kaspersky實驗室完成的，該實驗室收到了一種惡意軟件攻擊一個常用Java漏洞(CVE-2011-3544)的報告，這些攻擊 報告來自俄羅斯的一些網站，但似乎沒有像傳統特洛伊攻擊那樣留下任何文件痕跡。

實際上，這次攻擊是從一個嵌入受感染網站的iFrame上運行Javascript，然后將加密的.dll負載直接注入Javaw.exe進程。

這個非常尋常的惡意軟件的目的看起來是雙重的：首先是讓Windows的用戶賬號控制(UAC)失效，其次是像一個“pathfinder”一樣設置一個可用命令操控的僵尸，通過它接收指令去控制服務器，期間還包括要在受感染的電腦上安裝Lurk數據盜竊木馬。

這次攻擊的不足之處是，用戶只需要重啟電腦就可以將其從內存中清除，只是這一過程有可能還會受到新的感染。但是反過來說，正是由于這種不足，所以它 也極難被發現。它在目標PC上不會存儲文件，首先是不會更改任何文件。如果被攻擊目標沒有打補丁，那么安全軟件很不容易探測到它。

使用Java也讓這個病毒可以跨平臺運行，可以攻擊PC、Mac和Linux電腦，雖然目前記錄到的特洛伊攻擊只能在Windows電腦上運行。

Kaspersky還提醒我們說，這個新型惡意軟件會讓我們想起十年前非常有名的紅色代碼和Slammer病毒，這些病毒的構造都很簡單，但傳播速度卻非常之快，因為它們都是利用緩沖區溢出來攻擊特定微軟程序的，同樣不需要文件傳播。

“根據我們對Lurk用來跟命令服務器進行通信的協議的分析，我們已可以確定，在過去數月時間內，這些服務器已經處理了來自多達30萬臺受感染電腦的請求，”Kaspersky研究人員Sergey Golovanov說。

文/網界網