難封殺不死？惡意程式1分鐘可連線800個URL發動攻擊

[哈啦]

NOWnews 更新日期:"2010/10/11 10:21" 記者蘇湘雲／台北報導

網路駭客竊取個資的惡意程式為何防不勝防？資安專家最新發現，惡意程式檔案利用一種網域名稱演算法產生網域(URL)名單，做為後續惡意檔案下載來源，每分鐘會產生 800個不同URL為傳播途徑，即使部分遭封鎖，還有其他網域可取代。專家說，資安廠商必須主動出擊才有可能減少風險。

趨勢科技提出警告，一個類似網域名單產生技巧的全新威脅已在網路上現身，名為 PE_LICAT.A的惡意程式檔案會利用一種網域名稱演算法來產生網域(URL)名單，以便從網際網路上的各種不同位置下載惡意檔案到電腦中執行。

LICAT會產生一個網域URL 名單來做為後續惡意檔案的下載來源，而網域名單的產生是透過一個亂數函式，根據每一台電腦系統目前的日期和時間 (UTC全球標準時間) 計算而來，並且每分鐘會產生800個不同的URL為傳播的途徑。

當感染電腦執行 LICAT 惡意檔案時，惡意程式碼就會隨機產生 800個網域URL名稱，接著，它會嘗試連線至網域名稱指定的URL，並下載及執行隱藏於 URL 中的惡意程式，如果下載或執行不成功，其就會針對其它URL繼續嘗試，直到滿 800 次為止。

此方法不僅能夠讓惡意程式持續不斷更新，而且，就算其中的一些URL遭到資安廠商封鎖，還有其他網域可以取代， 以提高感染機率。

趨勢科技資深技術顧問簡勝財表示，從 PE_LICAT.A 的程式碼來看，其下載含有惡意程式的檔案在執行之前會先經過檢查，已遭感染的電腦系統，在 PE_LICAT.A 每次執行時都有可能下載其它更多的惡意程式到系統內，除了造成電腦效能影響之外，最大的隱憂在於造成個人及企業資料外洩的風險。

專家指出，此波攻擊目前除在美國及歐州造成影響，並有向亞洲蔓延之情況發生。網友可透過主動式截毒技術獲得適當的保護。