使用多語言的社會工程技術來迷惑用戶

2013年3月初，一個名為“BetaBot”的蠕蟲病毒出現(xiàn)。與其眾多的功能相比，售價卻便宜得不到500美元。即便如此，它的大部分特征對于現(xiàn)在的蠕蟲病毒來說，都是相當標準的。比如，它具有不同的DOS攻擊方法、遠程連接能力、形式采集和其他信息竊取能力。其中，在某個地下論壇對一項特殊的特征所打出的廣告引起了我們的注意：“讓反病毒程序見鬼去吧”，后面跟隨著近30個據(jù)說全部可以被“BetaBot”禁用的安全程序。

它到底要做什么？

當BetaBot安裝到系統(tǒng)中以后，開始搜索一個其聲稱是已知的安全產品清單。當找到其中的一個已安裝的程序后，BetaBot就開始執(zhí)行后面我們要提到的攻擊。它自己做好準備，通過除掉程序、禁用注冊表項、或僅僅是禁用自動更新的方式來攻擊安全程序。根據(jù)安全產品的類型，“BetaBot”還通過注入某些例程到那些通常允許通過防火墻的程序中，例如InternetExplorer，從而試圖繞過防火墻。

用戶訪問控制（UAC）-都是權限惹的禍

在現(xiàn)代的Windows操作系統(tǒng)中，用戶的權限被分成標準用戶（低）和管理員用戶（高）。與管理員不同，標準用戶不能修改系統(tǒng)的關鍵部分。如果用戶啟動某個程序，用戶的權限就會被程序記住。因此，程序也可以被分成高級權限和普通權限程序。默認情況下，只有普通權限的用戶才被允許執(zhí)行每個程序，因為用戶僅擁有默認情況下的標準權限。按需訪問時，可以提高這些權限。

粗略地講，所有的程序可分為低權限和已授權的程序，而具有較低權限的程序無法對具有較高權限的程序進行修改，但已授權的程序卻可以修改自己和較低權限的程序。此外，權限也可以在程序間被傳承。因此，如果一個已授權的程序啟動另一程序，那么這第二個程序也得到了授權。

為防止惡意軟件對系統(tǒng)造成嚴重的傷害，從低到高提高權限是最關鍵的一步。是否提升正在運行的程序的權限由用戶決定，系統(tǒng)中的UAC對話會提示用戶，選擇“是”或“否”進行授權。用戶還可以得到一些額外的有關程序要求授權的信息。“BetaBot”針對這個界面，試圖通過利用社交工程的伎倆來迷惑用戶。

“BetaBot”的上位技巧

對于一些惡意軟件而言，使用低權限就足以進行破壞活動，因為這已然可以令攻擊者修改其他權限較低的程序，讓自己膠著在電腦中。然而，安全程序通常使用提升的權限運行，因為他們需要訪問系統(tǒng)中的所有資源，以提供最大的保護。使用提升的權限運行，可以保證安全軟件不會像操作權限較低的進程那樣被屏蔽掉。因此，為了攻擊安全軟件，“BetaBot”也需提升自己的權限。為了實現(xiàn)這一目標，它為用戶設計了兩個陷阱，用來說服用戶為自己提供更高的權限。

上位處理并不是由“BetaBot”直接執(zhí)行的，而是通過微軟Windows的cmd.exe文件，它由命令行的參數(shù)觸發(fā)后，開始執(zhí)行BetaBot。因此，系統(tǒng)會提示用戶提升Windows程序的權限，然后將權限傳承給BetaBot。通常情況下，用戶因疏忽大意而相信這樣的提示，因為這似乎是微軟Windows自己發(fā)出的提示，而這也恰恰是BetaBot希望的。 

cmd.exe文件升級權限的提示截圖

但是，如果仔細觀察不難發(fā)現(xiàn)，我們可以跟蹤到cmd.exe文件會啟動BetaBOTexe文件。 

UAC對話截圖擴展視圖

因此，用戶并不清楚，還以為他是在提升Windows可執(zhí)行文件的權限，但實際上卻是危及了自己的系統(tǒng)。

讓人欣慰的是，如果彈出UAC對話框，許多用戶會對冒出來的對話框產生疑問。為了解決這個問題，BetaBot在要求提升權限之前提出了一個理由：如當前用戶的文檔文件夾中發(fā)現(xiàn)已損壞的文件夾和“嚴重的磁盤錯誤”等虛假消息，試圖嚇唬用戶相信重要的數(shù)據(jù)可能即將丟失。但BetaBot也提供了一個二選一的解決方案，兩個方案都承諾，可以恢復丟失的文件夾。但實際上，無論用戶選擇哪一項，都會觸發(fā)剛才所描述的UAC彈出對話框。

誘騙用戶的UAC對話框中的虛假消息截圖

一旦BetaBot的權限被提高，它就會像開頭提到的那樣，試圖攻擊各種安全軟件產品。

為了能夠誘騙世界各地的用戶，BetaBot能夠使用多達10幾種語言創(chuàng)建UAC對話框和虛假的錯誤消息。例如德語、英語、西班牙語、法語、荷蘭語。

教訓

惡意軟件經常使用恐嚇戰(zhàn)術，誘騙用戶提供系統(tǒng)訪問權限。但我們建議用戶：即使情況已相當緊急，哪怕即使是GDataFAKEAV發(fā)出系統(tǒng)遭受巨大的感染警告，用戶也應保持冷靜，并仔細驗證所提供的資料。在本文提到的BetaBot事件中，分析系統(tǒng)窗口所提供的細節(jié)就可以發(fā)現(xiàn)，cmd.exe文件實際上是用來執(zhí)行另一個程序的。

如上所述，通常情況下，如果程序未被授權，UAC是用來提供程序權限的。但是仔細想想看，難道Windows還需要提升自己的程序權限，來修復硬盤上的錯誤？對了，絕對不會。

如何防止這種攻擊

在按下鼠標前，先仔細想想！認真閱讀系統(tǒng)發(fā)出的提示，不要輕率的點擊“是”或“確定”。在有疑問的情況下，請人幫助一下，或嘗試到網上搜索一下關于提示的更多信息。

使用具有惡意軟件掃描、防火墻、網頁和實時保護等綜合功能的，最新的安全解決方案是絕對必要的。能使您免受垃圾郵件困擾的垃圾郵件過濾器，也具有實際的意義。

安裝的操作系統(tǒng)、瀏覽器和組件以及安裝的安全解決方案應始終保持最新。應盡快關閉現(xiàn)有的安全漏洞并安裝程序更新。