瑕疵可能讓惡意軟體藏身匿跡

安全專家警告,惡徒可能利用字串很長的登入鍵值(registry keys),讓他們製作的惡毒程式藏匿在不知情使用者的Windows電腦中。

這些鍵值儲存在Windows Registry裡。Windows Registry是作業系統的核心部分,用來儲存PC的環境設定。一些防毒軟體與反間諜程式會掃描這個登入檔(registry),以搜尋惡意程式是否藏駐在電腦中。但安全軟體公司StillSecure指出,新的弱點可能讓駭客藏匿他們的惡意程式,讓使用者察覺不出來。

StillSecure技術長Mitchell Ashley說:「這可能被用來隱藏惡意程式在某部系統上的形跡,可能連安全軟體或登入檔掃描程式也偵測不到。」總部在科羅拉多州路易斯維爾的StillSecure說,偵測和清除可能很棘手,甚至不可能辦到。

追蹤網際網路威脅的SANS網際網路風暴中心25日列出一些應用程式,並根據獲報的資訊指出,這些程式可能被長串的登入鍵值給矇騙了。名單上列出的軟體包括:AdAware、微軟的Windows AntiSpyware、HijackThis、諾頓SystemWorks 2003 Pro、微軟的Windows Registry Editor以及WinDoctor。

「使用者務必了解,他們對本機系統的安全性是否有盲點,」StillSecure安全警戒小組成員兼SANS合夥人Robert Danford在SANS ISC網站上撰文提醒使用者:「對許多人而言,未來數周務必注意是否必須進行產品升級。」

最令人憂心的是登入檔中所謂「執行」(run)的按鍵。這些按鍵在WindowsPC開機時用來啟動應用程式。微軟的Registry Editor和其他幾種熱門的安全軟體不會偵測Windows Registry中字串過長的項目,但應用程式仍照常啟動。

StillSecure的Ashley說:「間諜程式作者可以輕易地利用這種技巧,在你的電腦上隱藏某種側錄按鍵的程式。

公司發言人26日透過電子郵件表示,微軟公司正著手調查此事。微軟強調,除非先闖入系統,否則駭客無法藏匿任何程式。

這名微軟發言人說:「此問題無法讓駭客自遠端或本機攻擊使用者的電腦。駭客必須已侵入並掌控電腦,或誘拐電腦使用者去執行惡意軟體。」

根據微軟的說法,這個問題與安全弱點無關,而是作業系統內部的一個功能可能遭到濫用。微軟表示,尚未聽說有人利用此伎倆藏匿惡意軟體為害。

然而,SANS 25日則表示,已開始接到「一些惡意程式利用這種藏匿技巧的消息回報」。該組織預測,未來數周內,可能陸陸續續會傳出類似事件,而軟體製造商也可望修正產品,讓這些藏匿形跡的鍵值無所遁形。

安全監控公司Secunia把這個Windows Registry問題的風險評為「不重大」。法國安全事件回應小組也把它評為「低風險」。(唐慧文)

CNET新聞專區:Joris Evers  29/08/2005

作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料