恶意软件“合体”考验员工安全意识

作者：Francis Saguiguit (趋势科技威胁分析师)

就在不久前，我的一位同事Menard Oseña在参加 RSA 大会之后撰写了一篇文章，讨论企业在使用社交媒体以及处理企业信息时，务必建立良好的安全意识。此外，在该文当中，他特别强调企业应该通过正确的用户认知、信息安全政策以及信息安全技术来确保自己免于内部与外部的威胁。

本文将进一步说明，这项原则不仅适用于社交媒体的运用，而是整个企业运算基础架构皆适用。

WORM_FLASHY.VRX：三合一恶意软件

最近，我们在一些企业网络中发现了一种非常有意思感染情况，这是一种结合多种恶意软件并且「意外地」衍生出一种合体恶意软件的案例。

我们在同一个网络上发现了一只蠕虫与二个文件感染程序，分别是：WORM_FLASHY.AA、PE_CHIR.B 与 PE_VIRUX.AA，然而由于这些恶意软件会互相结合，因而让感染情况更加严重，使得网络运作不稳定。以下详细说明这类感染的发生经过：

· 首先，WORM_FLASHY.AA先感染某台计算机，将自己复制到系统文件夹、共享磁盘驱动器以及可卸除式磁盘。

· 接着， PE_CHIR.B感染同一台计算机，它会检查该计算机上的WORM_FLASHY.AA蠕虫是否有自己的感染标记。如果没有，PE_CHIR.B就会感染该WORM_FLASHY.AA蠕虫，然后留下感染标记。

· 接着，PE_VIRUX.AA又感染这台计算机，并且检查其WORM_FLASHY.AA蠕虫是否有自己的感染标记。如果没有，同样也会感染WORM_FLASHY.AA。

· 最后，当WORM_FLASHY.AA再次执行时，它所散播的复本已不再是原始的版本，而是已感染了PE_CHIR.B和PE_VIRUX.AA的合体版本。这个新的版本就是趋势科技所侦测到的WORM_FLASHY.VRX。

这项攻击当中最重要的关键是WORM_FLASHY.AA。此蠕虫在设计时即具备一些弹性让其复制散播的部分可以修改，而不是只散播最原始的版本。因此，当WORM_FLASHY.AA被 PE_CHIR.B 和PE_VIRUX.AA感染时，它后续散播的恶意软件会变成WORM_FLASHY.VRX，也就是三者的合体。

WORM_FLASHY.VRX的恶意行为非常多样，因为它同时包含了三种恶意软件的散播、感染与其他行为：

预防永远胜于治疗

虽然上述攻击看似复杂，但预防方法却相当简单，只要遵循一些计算机与网络设定的最佳实务原则即可：

· 设定计算机停用移动存储装置的自动播放功能

· 将共享磁盘驱动器与共享文件夹的权限设定为「只读」

· 让计算机随时更新最新的安全补丁

· 拦截可执行的电子邮件附文件

· 监控网络是否有可疑的联机或活动

· 确保所有计算机都安装信息安全软件，并且务必启动实时扫瞄功能

正如我同事Menard所说，不论是社交网络或计算机网络，企业越疏于防范，歹徒就越容易得逞。