恶意代码幕后团伙现身 感染近万台Web服务器

2008年1月15日消息，据网络安全厂商Finjan Software首席技术官日前表示，去年初出现的一款高级黑客攻击程序已感染了越来越多的Web服务器，粗略估计目前有1万台服务器感染了该程序，其中包括一家大型在线广告商的服务器。

据国外媒体报道，显然，该黑客攻击程序的幕后有一个团伙，Finjan首席技术官本·伊塔哈克表示，该恶意程序最初在西班牙发现，主要窃取用户登录名和密码等敏感信息，Finjan试图找到该程序的来源ISP并关闭它。

本·伊塔哈克表示，一家在线广告公司的Web服务器也受到了该恶意程序的攻击，该服务器向其它网站投放1400万个广告条幅，这意味着用户只要访问了投放上述广告的任何一家网站，在系统未打补丁的情况下都可能感染该程序。本·伊塔哈克表示，因此其潜在传播规模无疑是非常巨大的。

但他并未透露这家公司的名称，表示Finjan上周就该问题与这家公司取得了联系，据不完全统计，去年12月份，至少了1万个Web服务器站点感染了该恶意程序。而最近的迹象显示，该恶意程序幕后团伙的力量还在进一步扩充。攻击者通常采用多种办法来隐藏自己的路径，尽可能感染更多PC。

攻击者采用的JavaScript脚本技术，因此针对每部PC恶意代码只访问一次，这样可以逃避安全机构的扫描追踪。此外，黑客还对搜索引擎数据挖掘和信用评级站点的IP地址进行记录，信用评级通常用于对访问一站点的风险进行评估。相关的网页请求却被用于提供合法内容的站点。

JavaScript脚本文件在进行传播后还会自动变化，使得安全软件追踪起来更加困难，一旦受到攻击，一家托管成百上千家网站的服务器就可能将恶意代码到处散布。该代码利用至少13个软件漏洞来向PC放置木马程序。

本·伊塔哈克表示，攻击者还定期改变目标漏洞，从而增加恶意代码传播的可能性。PC感染该恶意代码之后，程序会自动收集文件及口令等数据。Finjan把该恶意代码命名为“random js Trojan”。

Finjan指出，由于攻击代码频繁改变，因此反病毒软件通常难觅其踪。Finjan日前推出一款浏览器插件“SecureBrowser”，可以通过对网页内容的分析发现恶意代码的踪迹，并向用户发出警告，此外该公司还提供一款企业级扫描技术软件。(