警讯!你所无法察觉的[P2P]软件恶意程序_3DM单机

3dmgame

2007-11-26

全球多项P2P热门 FOXY、eDonkey、BT、BitComet等使用皆潜藏高资安风险

针对日前惊爆FOXY泄漏警局笔录事件，CA信息安全咨询团队发现，除了FOXY之外，许多广受网友喜爱的P2P工具，包含eDonkey、BitComet等也都具有高风险性。CA信息安全咨询团队特别呼吁，运用P2P进行档案交换时，除了档案本身的侵权与安全性外，工具本身的安全性也不可忽视。

近来惊爆FOXY泄漏警察局机密笔录信息事件，大多数的报导甚至该网站的说明都指向使用者不当分享所致，而非计算机遭人蓄意植入恶意程序或是全自动系统分享。但是经过CA信息安全咨询团队深入研究后发现疑点重重，包含FOXY本身及其购物网站，都具有高风险性。

FOXY的行为模式与程序代码执行状况，因具有与Rookit相同隐密技术的W32 API HOOK技术，而有相当高的风险性。

API HOOK并非计算机病毒或恶意攻击，而是用来隐藏攻击者图与行为的技术。现在绝大多数的蠕虫病毒、间谍软件、恶意与后门程序经常使用这个技术将自己的目的隐藏起来，因此使用者无法察觉到自己的计算机已被入侵。

一般的蠕虫病毒、间谍软件、恶意与后门程序要隐藏自己，主要是靠伪装成一般窗口常见的程序，使用者因较难分辨而未能手动清除，不过只需更新防毒程序，这些程序便无所遁形。但是，近年来新型病毒却逐渐转变成使用了具有高隐密能力的Rookit入侵技术，使得这些恶意程序的侦测及清除的难度，比以往高得多。

现今P2P工具的风险，已经可以用“天罗地网”来形容，威胁一层又一层，消费者往往不易察觉。CA信息安全技术顾问林宏嘉说：以FOXY为例，除了程序代码暗藏玄机，具有潜在经由远程控制使用者计算机的风险以及未经告知的分享行为之外，内建的购物网站，更利用交错复杂不易辨别真伪的交易凭证，使消费者在无法查证下，而输入银行帐号完成交易。

目前市面上多种P2P工具，包含eMule、eDonkey、BT、Bitcomet等等，都相当受到网友的喜爱，每天有上百万使用者以及难以计数的信息透过这些P2P软件在网络上进行交换，而信息安全威胁也就跟着四处流窜。

P2P除了下载的程序或式档案可能含有病毒外，往往会同时植入间谍软件或恶意程序；尤其为逃避安装权限管制，而号称免安装的该类型工具日益增多，因此架构完整的防御机制已经势所难免。CA信息安全技术顾问林宏嘉建议：完整的防御机制从基本的防毒、反间谍，到端点的主动式反入侵机制都要做好层层保护，并且随时检查应用程序对系统核心的为害，缺一不可。

就这次P2P FOXY的调查，一开始是经由CA HIPS(Host-Based Intrusion Prevention System r8)和 eNF (eTrust Network Forensics) 侦测到P2P软件，并进一步有效拦截并且阻断被植入恶意程序的P2P软件。为了避免使用者在不知情的强况下，激活P2P软件而造成机密外泄，CA 为当前业界唯一可做到警讯提示与资料外泄预防的信息安全解决方案。