揭开隐藏在zip文件背后的Bagles病毒

　　基于独家ASIC芯片加速技术，引领统一威胁管理(Unified Threat Management)领域的开拓者和市场领导者Fortinet(飞塔)公司，日前公布其FortiGate安全管理工具在2006年六月截获的病毒威胁排名，大部分的病毒排名都在意料中(如Netsky.P，Grew.A以及臭名昭著的BetterInternet adware)但还是有两种新发现的病毒挤入前十排名:W32/BagleZip.GL@mm和W32/BagleZip.FY@mm，尤其后者来势汹汹，似乎是针对防病毒探测有备而来的，应格外谨慎关注。

　　依据Fortinet公司六月份的统计数字，FortiGate截获的前十位病毒威胁排名依次为:依次为:W32/Netsky.P@mm(10 %)，HTML/Iframe_CID!exploit(9 %)，W32/Bagle.DY@mm(8 %)，W32/Grew.A!worm(7 %)，Adware/BetterInternet(5 %)，HTML/BankFraud.E!phish(4 %)，W32/BagleZip.GL@mm(3 %)，W32/BagleZip.FY@mm(2 %)，W32/MyTob.fam@mm(2 %)，Adware/ZangoSA(2 %)。

　　隐藏在zip文件背后中的Bagles病毒

　　Fortinet威胁响应小组从六月中旬开始已经多次做过关于新的Bagle病毒要爆发的报道(包括Bagle.FY, GL and GM病毒)。通常病毒爆发会发生在月初，然而，有趣的是此次Bagles病毒的习性稍微有些不同。EMEA应急响应智囊团负责人Guillaume Lovet指出:新出现的Bagles病毒是以一种密码保护的zip文件方式出现在用户的邮箱中，这样通过防病毒邮件网关方式时，可以有效的防止文件自动解压缩。密码保护恶意文件的原理是:除非加密文件能够被破解(该情况并不适用于zip标准加密文件)，否则防病毒扫描器探测不到(也扫描不到)加密文件的内部。

　　此外，Lovet还谈到，密码是保存在消息体内的一个附加图片中;这主要是以防万一防病毒公司的探测器通过分析消息体，自动的定向提取密码。这样密码虽然被保护了，但是却同样容易自动被破解。另外，zip文档不仅包含恶意软件本身，还包括一个由随机代码组成的dll文件，因此该zip文档不同于其他恶意软件复制的例子。实际上，这完全取决于病毒有效的多态性，此外实现起来几乎毫不费力:不同于以前的病毒复制，只是在dll文件中填充随机垃圾代码，并将最终改变生成的加密文档。这样有了不同于寻常蠕虫病毒的加密机制，该随机产生的dll文件只要调用一下zip库就很容易生成实现了。

　　这可以看成是寄生虫病毒的多态性，因为病毒主要利用了“主机”的资源来实现多态性的复制，而并非利用其自身的多态性加密机制。这样使用图形文件为加密的关键，而没有藏在恶意软件本身，病毒制造者可能会认为他们已经成功地瓦解了防病毒公司的防范。但事实并非如此，原因是zip加密技术的某些特征，使得扫描器能够不破坏加密技术本身而识破这之间的混乱。一句话，防病毒公司却始终保持着自身的优势。

　　Fortinet病毒研究员也谈到:若给出了加密zip文件的密码，那么计算机用户想要打开附带密码保护的zip文件的可能性将会高于一般的zip文件。此外，随着邮件群发式病毒的发展趋势，在未来的一段时间内，该系列病毒将会出现新的变数，值得留意。