研究人員日前發(fā)現(xiàn)了一種極其罕見，也可能是獨一無二的“無文件”惡意軟件，該惡意軟件不需要在受感染電腦的硬盤上存儲任何文件，完全在內(nèi)存中運行。

這一最新發(fā)現(xiàn)是由Kaspersky實驗室完成的，該實驗室收到了一種惡意軟件攻擊一個常用Java漏洞的報告，這些攻擊報告來自俄羅斯的一些網(wǎng)站，但似乎沒有像傳統(tǒng)特洛伊攻擊那樣留下任何文件痕跡。

實際上，這次攻擊是從一個嵌入受感染網(wǎng)站的iFrame上運行Javascript，然后將加密的.dll負載直接注入Javaw.exe進程。

這個非常尋常的惡意軟件的目的看起來是雙重的：首先是讓W(xué)indows的用戶賬號控制(UAC)失效，其次是像一個“pathfinder”一樣設(shè)置一個可用命令操控的僵尸，通過它接收指令去控制服務(wù)器，期間還包括要在受感染的電腦上安裝Lurk數(shù)據(jù)盜竊木馬。

這次攻擊的不足之處是，用戶只需要重啟電腦就可以將其從內(nèi)存中清除，只是這一過程有可能還會受到新的感染。但是反過來說，正是由于這種不足，所以它也極難被發(fā)現(xiàn)。它在目標PC上不會存儲文件，首先是不會更改任何文件。如果被攻擊目標沒有打補丁，那么安全軟件很不容易探測到它。

使用Java也讓這個病毒可以跨平臺運行，可以攻擊PC、Mac和Linux電腦，雖然目前記錄到的特洛伊攻擊只能在Windows電腦上運行。

Kaspersky還提醒我們說，這個新型惡意軟件會讓我們想起十年前非常有名的紅色代碼和Slammer病毒，這些病毒的構(gòu)造都很簡單，但傳播速度卻非常之快，因為它們都是利用緩沖區(qū)溢出來攻擊特定微軟程序的，同樣不需要文件傳播。

“根據(jù)我們對Lurk用來跟命令服務(wù)器進行通信的協(xié)議的分析，我們已可以確定，在過去數(shù)月時間內(nèi)，這些服務(wù)器已經(jīng)處理了來自多達30萬臺受感染電腦的請求，”Kaspersky研究人員Sergey Golovanov說。