研究人員日前發(fā)現(xiàn)了一種極其罕見，也可能是獨(dú)一無二的“無文件”惡意軟件，該惡意軟件不需要在受感染電腦的硬盤上存儲(chǔ)任何文件，完全在內(nèi)存中運(yùn)行。這一最新發(fā)現(xiàn)是由Kaspersky實(shí)驗(yàn)室完成的，該實(shí)驗(yàn)室收到了一種惡意軟件攻擊一個(gè)常用Java漏洞(CVE-2011-3544)的報(bào)告，這些攻擊報(bào)告來自俄羅斯的一些網(wǎng)站，但似乎沒有像傳統(tǒng)特洛伊攻擊那樣留下任何文件痕跡。

　　實(shí)際上，這次攻擊是從一個(gè)嵌入受感染網(wǎng)站的iFrame上運(yùn)行Javascript，然后將加密的.dll負(fù)載直接注入Javaw.exe進(jìn)程。

　　這個(gè)非常尋常的惡意軟件的目的看起來是雙重的：首先是讓W(xué)indows的用戶賬號(hào)控制(UAC)失效，其次是像一個(gè)“pathfinder”一樣設(shè)置一個(gè)可用命令操控的僵尸，通過它接收指令去控制服務(wù)器，期間還包括要在受感染的電腦上安裝Lurk數(shù)據(jù)盜竊木馬。

　　這次攻擊的不足之處是，用戶只需要重啟電腦就可以將其從內(nèi)存中清除，只是這一過程有可能還會(huì)受到新的感染。但是反過來說，正是由于這種不足，所以它也極難被發(fā)現(xiàn)。它在目標(biāo)PC上不會(huì)存儲(chǔ)文件，首先是不會(huì)更改任何文件。如果被攻擊目標(biāo)沒有打補(bǔ)丁，那么安全軟件很不容易探測(cè)到它。

　　使用Java也讓這個(gè)病毒可以跨平臺(tái)運(yùn)行，可以攻擊PC、Mac和Linux電腦，雖然目前記錄到的特洛伊攻擊只能在Windows電腦上運(yùn)行。

　　Kaspersky還提醒我們說，這個(gè)新型惡意軟件會(huì)讓我們想起十年前非常有名的紅色代碼和Slammer病毒，這些病毒的構(gòu)造都很簡(jiǎn)單，但傳播速度卻非常之快，因?yàn)樗鼈兌际抢镁彌_區(qū)溢出來攻擊特定微軟程序的，同樣不需要文件傳播。

　　“根據(jù)我們對(duì)Lurk用來跟命令服務(wù)器進(jìn)行通信的協(xié)議的分析，我們已可以確定，在過去數(shù)月時(shí)間內(nèi)，這些服務(wù)器已經(jīng)處理了來自多達(dá)30萬臺(tái)受感染電腦的請(qǐng)求，”Kaspersky研究人員Sergey Golovanov說。

文/網(wǎng)界網(wǎng)