|
【2005年6月7日,台北訊】以獨家ASIC晶片加速技術引領整合式威脅管理 (UTM; Unified Threat Management) 市場的Fortinet,發佈五月份網路威脅趨勢報告。統計5月1日至26日的偵測資料顯示,大量郵寄與木馬程式的數量減少,但新偵測到的自動程式(Bots)比例再次增加。此外,MyTob再次現身出現超過30種不同的變種,同時在五月首次出現與政治相關的大量郵寄程式-Sober.Q。
相較於四月,五月Fortinet的偵測結果顯示病毒的散佈減少20%。新偵測到的惡意程式中,有33%是木馬程式(Trojans;包括後門程式),另有33%為網路蠕蟲,大量郵寄蠕蟲則有2%。Bots則是再次創下新發現病毒比例的新高,約41%。
四月以來新網路威脅的演變趨勢 五月的統計顯示所偵測到的Trojans數量再次減少3% (三至四月的觀察為減少20%),使得五月偵測到的Trojans總比例回到二月前的程度。新的大量郵寄蠕蟲則僅下降2%,來到年初以來的新底。不過已知Bots的新變種(例如RBot、SdBot、AgoBot等)則在過去兩個月持續不斷的出現,佔了五月新發現的網路威脅比例達41%,相較於四月再次增加了6%。
值得注意的是,這些網路威脅的散佈程式卻與其數量成反比。也就是說,儘管大量郵寄蠕蟲僅佔新發現網路威脅的2%(相較於Bots,它們很少有變種),但它們的散佈程度卻是最嚴重的,約佔全球惡意程式實際影響回報的90%。這主要是由於木馬程式和Bots通常只會濫發訊息出去,但本身不會擴散,不像蠕蟲很快就擴散出去,爆發讓網路管理者頭痛的問題。
五月主要的網路威脅
MyTob再現 除了Sober.P引發的嚴重威脅之外,五月明顯的是MyTob再次出現。超過30種不同的變種在本月擴散,包括五月26日現身的MyTob.DV。與之前種類同樣的是,它們都有自感染主機取得郵寄名單,藉由SMTP大量郵寄擴散的能力,而且毫無意外的是它們都具有高階的Bot功能,能輕易地將感染主機變成一部寄生主機 (Zombie),然後連接至主控的IRC伺服器並接受命令。IRC伺服器則和數月前是相同的。
Fortinet大中華區技術總監黃志輔指出,「這凸顯了為何只靠防火牆無法封鎖這個主控伺服器,並加以徹底根絕此威脅的問題。答案很簡單:因為它不斷在移動。這是一個惡意程式設計者利用網路基本功能-DNS服務的實例,因為儘管伺服器的名稱永遠一樣,但對應這個名稱的實際IP位址卻經常變換。不管是新的還是舊的寄生主機只需透過DNS服務來查詢,就能找到主控者目前的位址。大量變種的出現很可能是設計者的策略,目前在於降低防毒軟體對它繁衍產生的衝擊。因為當一個新的變種出現,防毒業者便需要建立一個新的偵測病毒碼,這便讓惡意程式有了一個無限擴散的可能。」
Sober.Q-第一個牽扯政治的大量郵寄程式 Sober.Q在5月14-15日的周末出現,它可能是近來最奇特的大量郵寄程式。它不會試著去感染系統,反而寄發大量的政治宣傳郵件,某些則內含或指向納粹有關的內容。它顯著散佈的原因是經由Sober.P被下載和安裝,換言之就是由Sober.P所傳播。這顯示了大量郵寄程式有一個非常有效的潛在應用,它們不僅僅可以建立許多有利可圖的Bots網路 (Botnets),同時成為大量文宣的傳播媒介。Sober.Q在5月26日時似乎已停止它的活動,再次進入它的休眠期。
黃志輔說,「永遠確保擁有最新的病毒防護,更新作業系統而且不要隨便點擊附件。本月的威脅報告展現了整合安全解決方案的優勢,例如Fortinet FortiGate™等防毒防火牆產品。因為防毒軟體也許能保護網路避免大量郵寄程式Sober.P的威脅,但除非同時擁有防濫發郵件(anti-spam)的解決方案,否則還是無法扺擋來自Sober.Q的spam郵件;或是遭受新型態的網路蠕蟲藉由已知的弱點來擴散,除非擁有額外的入侵預防系統 。」
更多最新的網路威脅訊息,請瀏覽http://www.fortinet.com/FortiGuardCenter/av.html
- 新聞稿有效日期,至2005/07/08為止
聯絡人 :李冠青
聯絡電話:02-25011715
電子郵件:connie_lee@prassion.com.tw
 上一篇:UPMOST DVB250 數位電視隨身機
 下一篇:UL邀美專家舉辦研討會 帶您深入探討安規工程新趨勢
|
