「無實體檔案」僵屍程式大肆感染新聞網站

黑客為了偷取到用家的資料，可謂招數盡出，剛剛收到 Kaspersky 的報告，報告中便提及一種獨特的惡意軟件，該惡意軟件可利用互聯網新聞標題廣告作為跳板而發動攻擊。而且這款最新的惡意軟件不會在受感染電腦上創建任何檔案，令用戶防不勝防。

這類攻擊利用了一些知名俄羅斯新聞網站的站內廣告漏洞。安全專家警告，這類攻擊很可能在其他國家同樣出現。在報告之中亦提及一些俄羅斯媒體網站在頁面上使用了 AdFfox 廣告系統。使用者訪問這些頁面時，就可能被惡意軟件所感染。當使用者用瀏覽器訪問這些頁面並下載新聞廣告時，會被重新定向到包含 Java 漏洞程式的惡意網址。但是同標準的強制下載攻擊方式不同，這類攻擊所採用的惡意程式並不會載入電腦硬碟，而是僅出現於電腦的記憶體中。所以，防毒產品很難檢測和攔截其攻擊行為。

惡意軟件會充當僵屍程式，向伺服器發送使用者的瀏覽歷史等資料。如果被盜的資料中包含任何關於網上銀行服務資訊，網路罪犯會在受感染電腦上安裝針對網上銀行的木馬，試圖竊取網上銀行系統的機密資訊。這些木馬能夠針對俄羅斯多家銀行的網上服務發動攻擊。

同時在報告中亦顯示，AdFox 網路本身並不是這次感染的源頭。網路駭客利用被攻陷的 AdFox 用戶端帳號，在新聞 banner 中修改和添加了惡意網站代碼。通過在廣告系統中修改代碼，網路罪犯能夠感染多個使用這一系統的網站，從而將訪問這些網站的用戶感染。所以，這次攻擊所造成的潛在受感染用戶可能超過幾萬。

今次攻擊網路罪犯充分使用了廣告網路，這是一種非常聰明的做法，事關有關做法能夠非常有效的在受感染電腦上安裝惡意程式碼，而最大問題是很多知名網站都包含指向該服務的連結。此外該惡意軟件亦是近幾年發現的首款較為罕見的惡意軟件。首先該惡意軟件並無「實體」，並不會在使用者的硬碟上出現，而是出現在受感染電腦的記憶體中。所以清除更為複雜。雖然這次的攻擊事件主要針對俄羅斯用戶。但這類漏洞利用程式和無實體僵屍程式仍然能夠用於攻擊其他國家的使用者，因為網路罪犯可以利用類似的國外 banner 網站和廣告網路將其進行傳播，而且網路罪犯可能不僅使用的 Lurk 木馬，還可能使用其他惡意軟件感染使用者系統。

儘管該惡意軟件只有在使用者重新開機後才可以運行，但被感染用戶很可能還會訪問被感染的新聞網站，因此建議大家盡快安裝最新的 Oracle 安全更新以察安全。