机器狗利用Flash漏洞瞄准虚拟化服务器

来源：赛迪网作者：木淼鑫出处：巧巧读书 2008-07-01 进入讨论组

近日，机器狗病毒家族又展开了新一轮的攻势，这次的新目标是Adobe Flash Player的零日漏洞，一旦中毒，有可能导致目前流行的虚拟化服务器蓝屏崩溃，进而导致虚拟化业务中断。

在去年9月和今年3月，机器狗病毒以穿透还原卡技术在网上掀起大波澜，一时间网友谈”狗”色变。

据趋势科技中国网络安全监测实验室李建淼透露，新一轮机器狗病毒变种除了利用原有的RealPlay等漏洞外，还利用了近日刚发现的Adobe Flash Player的零日漏洞。黑客先构造一个恶意的Flash动画或广告，将其链接在挂马或恶意网站上。当用户浏览该网页时，该恶意Flash就会攻击用户网页浏览器中Flash Player加载的漏洞。一旦攻击成功恶意代码就会拿到系统控制权，开门放”狗”，从Internet指定位置下载机器狗新变种。

就像登陆舰艇一样，机器狗病毒一经成功登陆，多达几十个的负载病毒群就会通过Internet浩浩荡荡的来到受害者机器。面对这种混合攻击，即使是技术用户通常也会惊慌失措和束手无策。由于病毒群变种是实时更新的，显然即使使用所谓的打狗棒专杀也很难彻底清楚干净。

机器狗新变种危害

此外，趋势科技安全专家指出：

(1)由于机器狗病毒修改了系统内核，会导致虚拟机意外蓝屏崩溃，这可能会威胁到目前对目前按流行的虚拟化应用业务。

(2) 新变种采用了新的穿透还原软件的技术，病毒会重置系统内核中SSDT系统服务描述符表中的内核API地址，来破坏还原软件的工作机理，导致还原软件工作失效。因此通过还原软件来进行系统修复的方法将成为徒劳。

(3) 该病毒修改动作还会导致某些着名防毒厂商的防病毒和HIPS中的主动防御功能失效。另外机器狗病毒还会在内存中搜索众多杀毒软件进程，并将强行终止。由此可见受到机器狗感染后，修复将是个漫长的征途。

趋势科技安全专家建议，类似机器狗这种趁用户浏览恶意网页时利用浏览器或其他第三方组件漏洞渗透到客户系统，通过HTTP从网络下载一大群木马并实时发布新变种，主动从Internet更新的Web威胁，最好的防护是部署网关级别的Web防护设备或带Web防护的杀毒软件并及时打上补丁。这样就可以在渗透开始时进行及时遏制，防止机器狗病毒及其木马群的到来。

据悉，趋势科技已将Web信誉评估服务（Web Reputation Services－WRS）加入企业端软件OfficeScan 8.0和IWSA等产品中，分别针对终端和网关处进行防护，防止使用者存取内含恶意程序的相关网站。新加入的WRS功能可依据由网域分析所获得的网址可信度，为网站指定“信誉等级”。WRS二十四小时运作，不断扫描各个网页分数，随时更新，加上全球超过一百五十台的在线服务器，因此评等的准确率高达98%。WRS会随时更新防护库，若遭恶意程序入侵的网站已修复，评等分数也会立即恢复，不会影响到使用者浏览正常网页。一旦遇到机器狗病毒，WRS功能将在趋势科技云计算全球在线服务器群上自动完成，最大限度保护您的网络、节约成本。