安全在线7月2日报道 近日,机器狗病毒家族又展开了新一轮的攻势,这次的新目标是Adobe Flash Player的零日漏洞,一旦中毒,有可能导致目前流行的虚拟化服务器蓝屏崩溃,进而导致虚拟化业务中断。在去年9月和今年3月,机器狗病毒以穿透还原卡技术在网上掀起大波澜,一时间网友谈"狗"色变。
据趋势科技透露,新一轮机器狗病毒变种除了利用原有的RealPlay等漏洞外,还利用了近日刚发现的Adobe Flash Player的零日漏洞。黑客先构造一个恶意的Flash动画或广告,将其链接在挂马或恶意网站上。当用户浏览该网页时,该恶意Flash就会攻击用户网页浏览器中Flash Player加载的漏洞。一旦攻击成功恶意代码就会成功拿到系统控制权,开门放"狗",从internet指定位置下载机器狗新变种。
就像登陆舰艇一样,机器狗病毒一经成功登陆,多达几十个的负载病毒群就会通过internet浩浩荡荡的来到受害者机器。面对这种混合攻击,即使是技术用户通常也会惊慌失措和束手无策。由于病毒群变种是实时更新的,显然即使使用所谓的打狗棒专杀也很难彻底清楚干净。
此外,安全专家指出:
1)由于机器狗病毒修改了系统内核,会导致虚拟机意外蓝屏崩溃,这可能会威胁到目前对目前按流行的虚拟化应用业务。
2) 新变种采用了新的的穿透还原软件的技术,病毒会重置系统内核中SSDT系统服务描述符表中的内核API的地址,来破坏还原软件的工作机理,导致还原软件工作失效。因此通过还原软件来进行系统修复的方法将成为徒劳。
3) 该病毒修改动作还会导致某些著名防毒厂商的防病毒和HIPS中的主动防御功能失效。另外机器狗病毒还会在内存中搜索众多杀毒软件的进程,并将强行终止。由此可见受到机器狗的感染后,修复将是个漫长的征途。
安全专家建议,类似机器狗这种趁用户浏览恶意网页时利用浏览器或其第三方组件漏洞渗透到客户系统,又通过HTTP从网络下载一大群木马并实时发布新变种和主动从internet更新的Web威胁,最好的防护是部署网关级别的Web防护设备或带Web防护的杀毒软件并及时打上补丁。这样就可以在渗透开始时进行及时遏制,防止机器狗病毒及其木马群的到来。
