红色十月 - 计算机病毒

"红色十月"是一种计算机病毒，又被称之为"血色十月"。该病毒采取钓鱼式攻击模式，专门针对各国政府、外交使馆、能源公司等机构，不断窃取大量高级机密信息，是一种具有高持续性威胁的网络间谍程序。

基本信息

中文名称

红色十月

外文名称

Red October，Bloody October

病毒简介

"红色十月"无孔不入

攻击方式

病毒邮件感染电脑

病毒特性

有独特"复活模块"

目录

1病毒发现

2病毒

折叠编辑本段病毒发现

人们发现了一个至少隐匿了五年之久的国际网络间谍组织，他们以各国政府、外交使馆、能源公司等机构为目标，不断窃取大量高级机密信息。该间谍活动命名为"红色十月"，其灵感来自于汤姆克兰西的畅销小说《猎杀红色十月》中的同名隐形核潜艇。

"红色十月"攻击的基础是一系列的钓鱼式攻击，间谍组织向特定人物推送精心设计的恶意邮件，利用邮件中附带的恶意及"正常"的Office文件展开进一步的攻击，其过程大致如下:

·毫无戒心的用户收到一封带有Office附件的电子邮件，并且打开附件中"正常"文件;

·用户并不知道自己其实开启了两个文件

·"正常"的Office文件会突然崩溃并退出，当用户重启后被提醒是否恢复文件，一旦用户点击恢复，恶意文件就被很自然地注入并潜伏到Office的系统组件中。

同时，"红色十月"组织还推送基于Java的鱼叉式钓鱼邮件。用户一旦开启邮件，就会从附带的链接自动下载恶意的Java Applet包。

Websense的威胁搜索网络(ThreatScope Network)可深度分析邮件中嵌入式的文件，一旦发现是恶意软件即将其拦截，从而保证客户的网络安全。与"红色十月"攻击相关的所有IP地址及域名均被Websense归类为"僵尸网络"，具体的分析报告自己可以上网查找。

此外，相关报道称 "红色十月"的钓鱼式攻击利用到如下四个漏洞:CVE-2009-3129 Excel、CVE-2010-3333 Word、CVE-2012-0158 Word与CVE-2011-3544 Java。 Websense提醒大家及时打好补丁，以备万全。

与所有深谙社会工程学的组织一样，"红色十月"从攻击目标的兴趣爱好和行为习惯上深度剖析，精心布局，以提高攻击的成功率。面对这类强针对性的攻击，人们一定要对来历不明的电子邮件保持警觉，不要轻易阅读带有链接与附件的可疑邮件。

Websense的高级分类引擎 (ACE)可为客户提供可靠的保护，其安全实验室仍将密切关注"红色十月"及其它不断演化的各类安全威胁。

能潜伏到电脑的系统组件中 能窃取手机、U盘已删除数据

折叠编辑本段病毒

根据"卡巴斯基实验室"发布的独家安全分析报告显示，"红色十月"病毒的攻击目标都是政府以及相关机构电脑，而且这些老练的黑客主要来自于东欧国家(特别是前苏联共和国)和中亚国家，部分黑客分布在西欧和北美地区。

"红色十月"病毒已经为人们熟知。但是为何在过去的五年时间里一直未被发现呢?病毒邮件感染电脑

首先，"红色十月"病毒有针对性嵌入到一些特定电脑中，并没有大规模的感染，因此很少受到人们注意。此外，这种病毒使用的是一种叫做"钓鱼式攻击"的手法。据悉，"红色十月"病毒往往向特定人物推送精心设计的恶意邮件，利用邮件中附带的恶意插件以及"正常"的Office文件展开进一步的攻击，其过程大致如下:

毫无戒心的用户收到一封带有Office附件的电子邮件，并且打开附件;然而用户并不知道自己其实开启了两个文件:一个"正常"的Word或Excel文件与一个伪装成恢复文档的恶意文件。

此后，"正常"的Office文件会突然崩溃并退出，用户重启后被提醒是否恢复文件，一旦用户习以为常地点击恢复，恶意文件就注入并潜伏到Office的系统组件中。

折叠复活模块

而这种恶意程序的不寻常之处是独特的"复活模块"，该模块能隐藏在Adobe Reader和Office组件中。即使病毒被发现病情被移除，黑客仍可藉由"复活模块"再度入侵。

激活后的病毒从内部映射整个网络，然后存储和加密的信息，并通过互联网联系上层控制电脑。而病毒窃取的东西取决于它的发现:密码、地址、日历、文本、表格和电脑呼叫列表等等。

除了从网络、台式电脑收集信息并从事间谍活动，"红色十月"还可以从诺基亚公司和苹果公司生产的智能手机上收集信息，甚至可以从主人已经删除的记录中复制出原来的信息。此外，只要连上USB闪存，它还能复制USB闪存上的数据，虽然电脑的使用者以为这些数据已经被删除。

折叠加密软件

此外，"红色十月"病毒还紧盯专门为机密文件提供加密服务的"Cryptofiler"软件。据称，"Cryptofiler"这种软件广泛应用于欧盟和北约组织。而为了解密这些文件，"红色十月"病毒还可以记录"键盘键入"。

在获取了机密数据之后，"红色十月"病毒会将他们压缩上传至分布在全球各地的60个服务器，其中有些是在德国。这些服务器又与"母船"--一个能够控制病毒的电脑代理系统相联系。"整个事情的结构就像一个洋葱皮"。

卡巴斯基在报告中称:"在五年的跟踪调查中，这些病毒基本上都能避开大多数杀毒软件的扫描，然后继续向其他的电脑渗透，至今可能已经窃取了数千TB的情报。"

折叠代码多用俄语

袭击者来自俄语国家?

"卡巴斯基实验室"反病毒首席专家维塔利·卡姆柳科承认，这是他们首次破获如此规模的间谍病毒。病毒专家们正试图弄清谁是网络间谍病毒的幕后操纵者。

该公司强调，他们没有发现"红色十月"与某一政府有着直接的联系，更像是一些隐秘的私人黑客组织的"杰作"，但同时指出一些国家情报机构完全有可能成为这些信息的客户。

在病毒专家的分析中，"红色十月"病毒的代码中有俄罗斯俚语，如zakladka(漏洞)和proga(程序)时常在代码中出现。

位于莫斯科的安全公司IB的工作人员谢尔盖·尼基丁认为，这也许说明病毒背后的黑客是在俄语地区的某个地方，而且他们之间还经常联系。

而病毒的编程风格也不一致，其中不同的模块只是拼凑在一起，因此，该病毒也是"委托服务"--某个情报机构通过俄罗斯黑客社区聘请程序员工作。

这样的情况出现在俄罗斯并不奇怪。有许多独立的"网络战士"愿意出售他们的服务--这个国家虽然提供了良好的技术培训机会，但是政府以及研究机构的工资却"惨不忍睹"，因此一些人只得寻求其他收入来源。俄罗斯内政部估计，参与全球网络犯罪的个人中，俄罗斯人约占30%。

卡姆柳科说:"这完全有可能是个商业性公司，收集并高价出售这些信息，客户也有可能是某些政府部门。今天有许多公司从事类似的信息收集程序的研发工作。当然，它们的客户有可能是情报部门，有可能是某些国家机构。