研究人员发现新型“无文件”恶意软件

     <div id="OSChina_News_27163" class="NewsContent TextContent NewsType2">     <p><img alt="研究人员发现新型“无文件”恶意软件" src="https://simg.open-open.com/show/2278b7ef281f09c7440db00decc6050c.jpg" width="450" height="372" /></p>     <p>研究人员日前发现了一种极其罕见，也可能是独一无二的“无文件”恶意软件，该恶意软件不需要在受感染电脑的硬盘上存储任何文件，完全在内存中运行。 这一最新发现是由Kaspersky实验室完成的，该实验室收到了一种恶意软件攻击一个常用Java漏洞(CVE-2011-3544)的报告，这些攻击 报告来自俄罗斯的一些网站，但似乎没有像传统特洛伊攻击那样留下任何文件痕迹。</p>     <p>实际上，这次攻击是从一个嵌入受感染网站的iFrame上运行Javascript，然后将加密的.dll负载直接注入Javaw.exe进程。</p>     <p>这个非常寻常的恶意软件的目的看起来是双重的：首先是让Windows的用户账号控制(UAC)失效，其次是像一个“pathfinder”一样设置一个可用命令操控的僵尸，通过它接收指令去控制服务器，期间还包括要在受感染的电脑上安装Lurk数据盗窃木马。</p>     <p>这次攻击的不足之处是，用户只需要重启电脑就可以将其从内存中清除，只是这一过程有可能还会受到新的感染。但是反过来说，正是由于这种不足，所以它 也极难被发现。它在目标PC上不会存储文件，首先是不会更改任何文件。如果被攻击目标没有打补丁，那么安全软件很不容易探测到它。</p>     <p>使用Java也让这个病毒可以跨平台运行，可以攻击PC、Mac和Linux电脑，虽然目前记录到的特洛伊攻击只能在Windows电脑上运行。</p>     <p>Kaspersky还提醒我们说，这个新型恶意软件会让我们想起十年前非常有名的红色代码和Slammer病毒，这些病毒的构造都很简单，但传播速度却非常之快，因为它们都是利用缓冲区溢出来攻击特定微软程序的，同样不需要文件传播。</p>     <p>“根据我们对Lurk用来跟命令服务器进行通信的协议的分析，我们已可以确定，在过去数月时间内，这些服务器已经处理了来自多达30万台受感染电脑的请求，”Kaspersky研究人员Sergey Golovanov说。</p>     <p>文/网界网</p>    </div>