[转帖] 微软在中国地区的部分新电脑中发现隐藏的恶意程序
这一发现引发了一场全面的调查,微软切断了这些中毒电脑与Nitol僵尸网络的联系,并且试图关闭一些相关的子域名,这些域中包含有超过500种恶意软件。
图:根据一份由微软报告制成的分布图,Nitol病毒的感染主要发生在中国。
作为供应链安全调查的一部分,微软安全研究员从不同的中国城市采购电脑后进行检查。很快,他们就在部分新出厂的电脑中发现了恶意软件。这一发现直接导致了一个潜藏的僵尸网络Nitol浮出水面。微软随后获得了法院的许可,并采用技术手段切断了该网络。
这一代号为“Operation b70”的行动始于2011年8月。当时微软下决心要搞清楚就该事件——在中国大陆销售的电脑中的盗版软件和恶意程序很多是有供应商安装的——做出声明是否值得。因此,微软员工购买了笔记本和台式机各10台准备进行调查。
“我们去了在中国人口中称为‘电脑城’的地方。我们想进行一次抽样调查,看看到底新购电脑中含病毒的平均数字是多少。令人震惊的,很快我们就找到了一些支持我们的怀疑的证据。”在一次CNET的采访中,微软数字犯罪部门的总顾问助理理查德·博斯科维克如是说道。
微软的研究报告显示,研究人员在20台电脑中的4台上发现了预装的恶意软件,其中有一些能够通过USB设备传播。有一台电脑感染了Nitol病毒,该病毒在宿主机上安装后门,使其成为僵尸网络的一部分。然后操纵者可以控制该电脑发送垃圾邮件或对其他网站发起攻击。另一台电脑感染了Trafog后门,该后门允许攻击者利用文件传输协议(FTP协议)远程访问宿主机。此外,还有一台电脑感染了Malat后门,该后门主要针对互联网中继聊天(IRC)系统,其第四代变种称为EggDrop。不过目前微软方面还不能确定它是恶意的,而只是将其列入可疑的范围。
据博斯科维克说,Nitol运行得非常活跃,一直试图连接一个能够发布命令并控制宿主机的服务器。该服务器指向一个名为3322.org的域名,这个域名属于一个中国公司,并且自2008起,该域名下的服务器就一直和一些恶意行为有关。而除了Nitol以外,其他的恶意程序相对而言并不活跃。
弗吉尼亚州东部的联邦法院于本周授权微软采用sinkhole技术处理那些被感染的电脑,使它们连接由研究人员控制的服务器,而非那些分布于将近70,000个域名之中,含有约565种恶意程序的命令-控制型服务器。一部分病毒有很大的破坏性,能够进行许多不法勾当,这其中包括远程中毒电脑的麦克风和摄像头,记录关键信息,通过别的方式窃取数据等。
微软申请了对该域名和其下子域的临时禁止令(TRO)。根据预定计划,9月26日将会有一场关于此次事件的听证会。博斯科维克表示,微软公司希望能够说服3322.org的拥有者站出来揭露那些注册了这些受影响的子域名的人的真实身份,无论他们是谁。
微软表示,作为对此次授权临时禁制令(TRO)的回应,掌管所有.org域名注册事项的公共互联网注册机构指出了3322.org的域名,该域即是Nitol僵尸网络的掌控者。微软新创立了一个域名系统,该系统能够阻断那些与Nitol僵尸网络有关的操作,并断开与3322.org及其下属的70,000个恶意型的子域的连接。而与此同时,与合法域相关的操作不受影响。
关于预加载恶意软件这个问题,博斯科维克声称,政策制定者应当认识到在这个过程中出现了问题。并且他们应该采取措施来保证供应链的安全。
“显然,操作系统的安装是介于批发商和零售商之间的环节。因此恶意软件的引入有很高的可能性是在这些过程中发生的。” |
发表于 2012-9-16 10:46
| 
发表于 2012-9-16 11:23
|