隐藏在zip文件背后的Bagles 病毒！

   基于独家ASIC芯片加速技术，引领统一威胁管理（Unified Threat Management）领域的开拓者和市场领导者Fortinet（飞塔）公司，日前公布其FortiGate安全管理工具在2006年六月截获的病毒威胁排名，大部分的病毒排名都在意料中（如Netsky.P，Grew.A以及臭名昭著的BetterInternet adware）但还是有两种新发现的病毒挤入前十排名：W32/BagleZip.GL@mm和W32/BagleZip.FY@mm，尤其后者来势汹汹，似乎是针对防病毒探测有备而来的，应格外谨慎关注。

    依据Fortinet公司六月份的统计数字，FortiGate截获的前十位病毒威胁排名依次为：依次为：W32/Netsky.P@mm（10 %），HTML/Iframe_CID!exploit（9 %），W32/Bagle.DY@mm（8 %），W32/Grew.A!worm（7 %），Adware/BetterInternet（5 %），HTML/BankFraud.E!phish（4 %），W32/BagleZip.GL@mm（3 %），W32/BagleZip.FY@mm（2 %），W32/MyTob.fam@mm（2 %），Adware/ZangoSA（2 %）。


    隐藏在zip文件背后中的Bagles病毒

    Fortinet威胁响应小组从六月中旬开始已经多次做过关于新的Bagle病毒要爆发的报道（包括Bagle.FY, GL and GM病毒）。通常病毒爆发会发生在月初，然而，有趣的是此次Bagles病毒的习性稍微有些不同。EMEA应急响应智囊团负责人Guillaume Lovet指出：新出现的Bagles病毒是以一种密码保护的zip文件方式出现在用户的邮箱中，这样通过防病毒邮件网关方式时，可以有效的防止文件自动解压缩。密码保护恶意文件的原理是：除非加密文件能够被破解（该情况并不适用于zip标准加密文件），否则防病毒扫描器探测不到（也扫描不到）加密文件的内部。

    此外，Lovet还谈到，密码是保存在消息体内的一个附加图片中；这主要是以防万一防病毒公司的探测器通过分析消息体，自动的定向提取密码。这样密码虽然被保护了，但是却同样容易自动被破解。另外，zip文档不仅包含恶意软件本身，还包括一个由随机代码组成的dll文件，因此该zip文档不同于其他恶意软件复制的例子。实际上，这完全取决于病毒有效的多态性，此外实现起来几乎毫不费力：不同于以前的病毒复制，只是在dll文件中填充随机垃圾代码，并将最终改变生成的加密文档。这样有了不同于寻常蠕虫病毒的加密机制，该随机产生的dll文件只要调用一下zip库就很容易生成实现了。

    这可以看成是寄生虫病毒的多态性，因为病毒主要利用了“主机”的资源来实现多态性的复制，而并非利用其自身的多态性加密机制。这样使用图形文件为加密的关键，而没有藏在恶意软件本身，病毒制造者可能会认为他们已经成功地瓦解了防病毒公司的防范。但事实并非如此，原因是zip加密技术的某些特征，使得扫描器能够不破坏加密技术本身而识破这之间的混乱。一句话，防病毒公司却始终保持着自身的优势。

    Fortinet病毒研究员也谈到：若给出了加密zip文件的密码，那么计算机用户想要打开附带密码保护的zip文件的可能性将会高于一般的zip文件。此外，随着邮件群发式病毒的发展趋势，在未来的一段时间内，该系列病毒将会出现新的变数，值得留意。