Onuma

2015年2月19日，联想笔记本电脑搭载预装了被称为”Superfish”广告软件的硬盘的事件遭到曝光，而两大主要问题也随之而来。 其一，在2014年9月到2015年2月这几个月内，联想指定的硬件制造商持续将预装了广告软件的硬盘装载到消费笔记本电脑内。 其二，则与Superfish的运行行为有关。该广告软件能够生成自签名证书，可能允许恶意第三方拦截SSL/TLS连接，更简单地说，就是在网页浏览器会话内添加“https”链接。 现在，让我们通过观察Superfish的实际行为来更详细地剖析第二个问题。 下方是通过IE浏览器访问的一家网上银行网站的截图，并且使用的是一台没有安装任何广告软件的干净PC电脑。点击锁定图标，显示的是SSL证书的信息： SSL证书由CA证书授权中心签发，确保网站的归属性。比如，VeriSign作为SSL证书的签发机构保证了”Japan xxxx BANK Co,Ltd.”的真实身份。该证书还被用于对加密会话上的用户ID或密码进行加密。因此连接的安全性得以通过这一方式得到保证。 第二个截图显示的是同一家网站。但这次却使用了已感染Superfish广告软件PC电脑上的IE浏览器访问。点击后清楚显示”Superfish”取代”VeriSign”成为了SSL证书的签发机构。 为什么会有这样的变化？原因在于Superfish在其软件上拥有自己的CA证书授权中心。这使其能够劫持用户的网页会话、生成自签证书并在使用后建立SSL连接。不幸的是，网页浏览器将Superfish生成的证书当作合法证书对待。因此，CA证书授权中心变成了Superfish，而不再是VeriSign。 此外，生成证书的私人密钥被包含在了软件内，任何人都可以随意获取。而密钥的密码已被外泄到互联网上。一旦密钥-密码匹配成功，任何怀有不良企图的人都可以拦截通过加密连接传输的数据，或直接注入恶意代码。最糟糕的情形是来自网上银行网站的网页会话内的数据被窃取。 因此我们强烈建议预装了Superfish广告软件的联想笔记本电脑用户将名为”Superfish Inc. Visual Discovery” 的软件（在Windows控制版面内卸载）和Superfish证书（从受信任的Root认证机构清单中删除）全部清除。 卡巴斯基安全产品能帮助您识别笔记本电脑是否已受到Superfish广告软件的感染。我们的产品完全能删除并未识别为病毒的广告软件：AdWare.Win32.Superfish.b。 此外，联想也在其安全公告（LEN-2015-101）内提供了自动删除Superfish工具的下载。

在一些案例中，某些网站会被盗用而作为传播恶意软件的主机。就我们所知，用来误导用户转至恶意站点的方法可谓花样百出，其中一种就是”误植域名”。 对我们来说，在网络浏览器中输入网址时出现拼写错误实在是太平常的事。但网络犯罪分子往往会利用这一情况来误导用户转至恶意网站，而不是用户实际想访问的站点。这被称为”误植域名”（typosquatting）- 这个英文单词由”typo（错误拼写）和”squat（蓄意）”两部分组成，也称为”网址劫持”（URL hijacking）。网络犯罪分子会注册与流行域名类似的域名，然后等候拼写错误的用户上钩。这对于企业来说实在是件讨厌的事，甚至导致域名被网址蟑螂（typosquatter）滥用的公司之间引发官司。 当然，误植域名对于消费者来说也是一种威胁。当用户无意中访问这些网站时，会发现浏览的是垃圾网站，甚至更糟糕的是，有可能被恶意软件感染。下面我们将讨论真实发生的案例。 典型案例：Gmail滥用 首先我要解释下我们为了减少被恶意软件感染的受害者而做出的努力。只要发现有任何被盗用的网站，我们就会尝试联系其管理员并发出警告。下面是我们遇到的一个实际例子。这是一个无意间托管了恶意软件的网站上的WHOIS信息。在”Administrative Contact”（管理联系人）字段中，您会看到字符串”A***3JP”。这是由日本域名注册服务公司（JPRS）管理的JPNIC句柄，也是找出该站点管理员的关键。（换句话说，就是在此字段中注册的电子邮件地址。） 我们检查了负责管理”A***3JP”域的管理员： 在”E-Mail”字段中的电子邮件地址就是应该发现自己的网站被恶意软件感染的人员的联系信息。提醒未发现感染的管理员是阻止恶意软件进一步传播的重要环节之一。 但经过更进一步的检查，我们发现此电子邮件地址中存在问题。它看上去类似于Gmail地址（xxx@gmail.com），但实际上并不是，因为它缺了一个字母。 对于某些国家，正确的域信息注册是一项法律规定。但在日本，有时注册的信息并不正确，而更糟糕的是不正确的信息可能会被有意注册。如果注册的电子邮件地址不正确，则我们就无法向网站管理员发出警告，对方也不会意识到自己已成为受害者。 但在这种情况下，注册类似Gmail域名的意图显而易见：这是利用误植域名生成的一个陷阱，目的是误导用户下载恶意伪装程序。 结果地址类似于Gmail的网站可能会根据访问者的语言环境以多种语言显示，包括日语、德语、西班牙语、意大利语、荷兰语、波兰语、葡萄牙语、俄语、瑞典语和土耳其语。但没有”英语”选项，具体原因不明。请参见下面的网站截屏样本。网站合法的外观很容易会误导意外访问该网站的访问者毫不怀疑地下载并安装对象。 日语： 俄语： 在本文中，我解释了正常注册域名信息的重要性以及误植域名的工作原理，并通过我们在研究中偶然碰到的实例加以说明。误植域名并不是新鲜事物：它是误导用户的一种经典方法，已经存在好几个年头了。但全球范围内的受害者人数仍不断上升，原因是这种方法本身具有被动性质，即等着用户拼写错误而自动送上门，因为我们都可能时不时地犯些拼写错误。为了避免成为受误植域名驱动的恶意软件受害者，请定期更新操作系统和安全软件。