軟體 - 病毒利用網頁障眼法，製造安全陷阱

psac · 2006-05-30, 02:03 PM

藉著網頁傳輸的病毒又出新招，安全陷阱無所不在，進入一個"看似正常"的網站，轉眼之間被植入廣告程式、間諜程式，後門程式、特洛依木馬程式甚至是蠕蟲，而使用者卻在完全不知情下，被紀錄網路使用行為、鍵盤側錄，甚至電子交易資料外洩。網路安全專家趨勢科技發現幾個新型態的網頁安全陷阱，讓使用者將更難察覺是否遭到攻擊，甚至等到他們發覺時已經為時太晚。這些利用障眼法所設下的網頁安全陷阱包括：

1. 暫時無法顯示的頁面：比如空白、測試或禁止存取等大量留白頁面，可能暗藏間諜軟體。
2. 網站轉址新手法：繼Pharming 網址嫁接後，利用安全弱點，點擊真網址卻被導引至含有病毒網頁或詐騙網站。
3. 瀏覽頁面卻自動連鎖下載惡意程式：免費線上拼圖遊戲等"正常網站"，卻自動下載木馬、後門等惡意程式。

<障眼法1> 間諜軟體新宿主：空白、測試或禁止存取等大量留白頁面
色情網頁、免費工具軟體、不明來源的賀卡連結，這些都是間諜軟體常見的藏身處。不過，最近間諜軟體又有創新招數了，他們不再嘗試設計美觀或者吸引人的網頁。趨勢科技TrendLabs 全球防病毒研究暨技術支援中心，近日追蹤分析到間諜軟體的新攻擊手法，是以空白或大量留白的頁面釣胃口。
某些網頁名稱看起來有點吸引人，興沖沖地點入連結之後，卻令人失望，因為不是未顯示任何東西的空白網頁，就是出現乏善可陳的文字，儘管只是匆匆一瞥隨後關閉視窗，但是卻已經將不速之客-間諜軟體，請進門。
下次看到這些頁面訊息，請提高警覺：
*測試網頁訊息Test Page：
This page is used to test the proper operation of the Apache Web server after it has been installed….
*禁止存取Forbidden：You don't have permission to access / on this server
*顯示與系統管理者聯絡字串：Directory listing denied. Please contact System Administrator.

連線到這些網頁時，有些人可能會以為這些都是沒有用的網頁。所見到的不是空無一物，就是禁止存取或尚未移除的伺服器初步測試網頁，或者只有一些無意義的字串。但是網路安全專家趨勢科技表示，這些網站有許多是間諜程式的散播點。而且，以上這些網站只不過是冰山一角。網路上還有其他無數的間諜程式散播網站，當使用者開啟這些網站的主網頁時，根本不知道發生了什麼事。趨勢科技表示與許多間諜程式感染事件有關的許多位置，都只是某些伺服器用來儲存物件的地方。如果使用者連線到這些主網頁，起初並不會發生任何事，不過一旦這些儲存網站散播的樣本下載到系統中，將會展開感染行動。

psac · 2006-05-30, 02:03 PM

病毒利用網頁障眼法，製造安全陷阱

<障眼法2> 合法網址連結，一點選卻到了假網站
有別於之前被廣泛採用的偽造網址列手法（以背景為白色的文字物件遮住網路釣魚 URL，在網址列顯示一般正常的網址），或是Pharming 網址嫁接（受害者輸入正確的URL，卻被導向連結到有著精良偽裝的惡意網站）趨勢科技近日發現了一個針對兩種瀏覽器而來的網址重新導向手法。一開始這種手法被通報為Internet Explorer網址偽造的安全弱點。但後續發展顯示，Firefox 同樣含有此弱點。它的結果會導致，即使受害者按下正確的官方網址連結，也會被重新導向網路釣魚等惡意網站。過去網路釣客常用的雷同網址法，有可能因此被相似度100％的網址連結取代。比如：香港發生過的匯豐銀行（www.hsbc.com）假冒案件，假網址www.hkhsbc.com 比真網址多了"HK"兩個字母；又如線上付款機制PayPal.com (www.paypal.com)，其假網址www.paypa1.com，英文字母L 被改成數字1等等。

趨勢科技憂心攻擊者從此可以明目張膽地在連結中放入官方網址，只等待粗心使用者點擊滑鼠，即可導向惡意網站。趨勢科技表示，由於這種作法必須要在使用者按下連結後才會產網頁重新導向，因此呼籲千萬不要從電子郵件或IM 訊息中按下連結，直接在瀏覽器的位址列輸入URL 才是比較安全的作法。

當連結被按下時，原始碼中事前加入的一段_Javascript，將會瀏覽器重新導向至某個網頁。重新導向指令碼經過修改後，攻擊者就能利用這個弱點來執行攻擊者自訂的_Javascript。舉例來說，雖然網址顯示的是http://www.ebay.com/，但是一旦�...��是偽造的 eBay 等網路交易頁面，要求輸入個人資料。趨勢科技表示，這個偽裝手法可能出現在網路釣魚攻擊中，或引誘警覺性低的使用者按下惡意的網址。這是繼Pharming 網址嫁接後的創新攻擊手法。趨勢科技表示，針對這個偽造網址的臭蟲，停用瀏覽器的_Javascript 支援是一種有效的暫時性對策。採用整合網路詐騙全方位防護與主動式病毒防禦的個人電腦防護軟體，則是比較積極的作法。比如最新上市的PC-cillin2006 即提供多重防止網路詐騙保護。

<障眼法3> 挑戰線上拼圖，竟然引進木馬、後門等 4隻惡意程式與駭客
趨勢科技發現許多案例以"個人瀏覽工具列"為促銷，其實卻是廣告軟體的來源網站。它們可能會在下載說明文字「輕描淡寫」地警告說會同時安裝其他附帶的軟體。但最新的案例是。不需如此大費周章，利用網站現成免費的娛樂程式和iframe 漏洞，就可以連鎖下載惡意程式。

趨勢科技最近偵測到一個提供拼圖遊戲的網站。檢視這個像是「普通網站」的程式碼，卻有一段_Javascript。它會利用iframe 漏洞先後載入三個網站，之後會陸續下載並執行檔案。這些檔案的偵測結果如下：

News.html (1,998 位元組) 檔案- JS_WONKA.B病毒
Style.css (13,016 位元組)檔案 - CHM_DROPPER.CN 病毒
Open.exe (2,608 位元組) 檔案- TROJ_DLOADER.AJH病毒
Girl.bmp (50,920 位元組)檔案 - BKDR_HAXDOOR.CT 病毒

也就是說只要進入一個網站，一個看似正常且無惡意的網站，系統就會感染4 個惡意程式。此外，還有駭客會透過BKDR_HAXDOOR.CT 入侵系統！

趨勢科技表示有些間諜軟體網站彼此之間都會互通有無，形成自動存取特定連結，下載惡意檔案的互助模式。有些免費電影網站，會先暗中引導到工具列廣告軟體網站下載安裝其他惡意檔案。一旦中了一個間諜軟體，那就表示一連串的惡意軟體將尾隨而上，這或許可以解釋美國國家電腦安全聯盟(NCSA)的調查發現：八成家庭電腦感染間諜軟體，但大多不知情。更令人驚訝的是，他們還在其中一個受訪者運行遲慢的電腦上，發現1000多個間諜軟體。所以如果你沒有趁早覺查到系統中的間諜軟體，隔一段時間可能會發現裡頭已經悄悄滋生了一窩小間諜了，到時候間諜軟體比正常軟體還多可就得不償失了。

psac · 2006-05-30, 02:05 PM

多層次架構方案，全面嚴防網路陷阱
趨勢科技呼籲喜歡在網路上遨遊的人們，定期更新系統的修補程式與病毒碼。新版「PC-cillin 2006全方位網路防毒系統」，除搭載新一代掃毒引擎，針對網友最關切的「網路詐騙」、「間諜程式」及「網路交易資料外洩」等資安問題提供完整解決方案，創新設計的「網路詐騙防護工具列」與「網路詐騙防護精靈」，讓使用者體驗防毒防駭的無障礙空間。此外，獨家創新的「主動式病毒預警更新」功能，將讓使用者於新種病毒爆發的第一時間，能有效阻隔病毒入侵電腦。

企業為了對抗間諜軟體等惡意威脅，IT 組織必須做更廣泛的思考。最安全的作法必須包含在閘道與桌上型電腦上部署多層式架構的間諜程式防護解決方案，此外還必須在所有用戶端提供自動清除功能以強化防禦能力。Internet 閘道是阻擋間諜程式入侵與防止向外擴散的最理想位置，而用戶端的安全不管是對本地或遠端的使用者都十分重要。將整個網路環境的病毒防護、間諜程式防護、垃圾郵件防護、以及內容安全等一系列完整威脅防護功能整合在一起的解決方案可提供企業組織更大的效益（如趨勢科技的InterScan Web Security Suite-IWSS閘道端網際網路防毒伺服器），因?間諜程式與其他惡意威脅的攔截可成為整體安全策略的一部份。

保護自己不受騙
1. 不回應：如果電子郵件訊息要求你提供個人資訊或理財資訊，像是使用者名稱、密碼以及信用卡號碼，千萬不要回應。大多數詐騙電子郵件都會警告收件者以引起他們的注意。
2. 不連結：絕對不要按下電子郵件中的連結，尤其是來源不明的郵件。如果要瀏覽網站，請直接在瀏覽器的位址列輸入 URL?，然後再利用顯示的表格登入。你可以打電話給所有公司，利用經過確認的聯絡電話來查詢。
3. 不開附件：請勿開啟電子郵件中的附件檔案，除非你確定這是來自於已知的來源。附件檔的真面目可能是竊取個人資訊的惡意程式
4. 常更新：務必將你的瀏灠器更新到最新版本，並且安裝最新的安全修正程式。
5. 常檢查：要透過 Internet 傳送敏感資訊之前，請先確定網站的資料傳輸會經過加密。每一次都要檢查位址列中是否有 https (而不是 http)，以及狀態列中是否顯示門鎖圖示。在安全鎖圖示上連按兩下，檢查安全憑證與你進入的網站是否相符。
6. 常求援：如果你收到任何可疑的電子郵件但是不確定應該如何處理，有許多組織可以幫你檢查電子郵件。趨勢科技可免費提供這類服務。如果要傳送電子郵件樣本或提出問題，請利用趨勢科技網路詐騙活動通報信箱：antifraud@support.trendmicro.com。
7. 多學習：隨時取得最新資訊依然是避免上當的最佳防範策略。增加自己對 Internet 詐騙行為的認識是十分重要的。有許多網站專門提供與 Internet 詐騙行為有關的免費教育資訊，趨勢科技http://www.trendmicro.com就是其中一個。
8. 多重保護：考慮安裝類似趨勢科技產品的軟體，協助你偵測惡意程式 (防毒軟體)、過濾郵件內容 (垃圾郵件過濾程式)、以及/或限制 Internet 的使用 (網路封鎖產品)。這些軟體協助你防範任何損害，而且能保護你不受駭客與垃圾郵件的侵害。

2006-05-30, 02:03 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	軟體 - 病毒利用網頁障眼法，製造安全陷阱藉著網頁傳輸的病毒又出新招，安全陷阱無所不在，進入一個"看似正常"的網站，轉眼之間被植入廣告程式、間諜程式，後門程式、特洛依木馬程式甚至是蠕蟲，而使用者卻在完全不知情下，被紀錄網路使用行為、鍵盤側錄，甚至電子交易資料外洩。網路安全專家趨勢科技發現幾個新型態的網頁安全陷阱，讓使用者將更難察覺是否遭到攻擊，甚至等到他們發覺時已經為時太晚。這些利用障眼法所設下的網頁安全陷阱包括： 1. 暫時無法顯示的頁面：比如空白、測試或禁止存取等大量留白頁面，可能暗藏間諜軟體。 2. 網站轉址新手法：繼Pharming 網址嫁接後，利用安全弱點，點擊真網址卻被導引至含有病毒網頁或詐騙網站。 3. 瀏覽頁面卻自動連鎖下載惡意程式：免費線上拼圖遊戲等"正常網站"，卻自動下載木馬、後門等惡意程式。 <障眼法1> 間諜軟體新宿主：空白、測試或禁止存取等大量留白頁面色情網頁、免費工具軟體、不明來源的賀卡連結，這些都是間諜軟體常見的藏身處。不過，最近間諜軟體又有創新招數了，他們不再嘗試設計美觀或者吸引人的網頁。趨勢科技TrendLabs 全球防病毒研究暨技術支援中心，近日追蹤分析到間諜軟體的新攻擊手法，是以空白或大量留白的頁面釣胃口。某些網頁名稱看起來有點吸引人，興沖沖地點入連結之後，卻令人失望，因為不是未顯示任何東西的空白網頁，就是出現乏善可陳的文字，儘管只是匆匆一瞥隨後關閉視窗，但是卻已經將不速之客-間諜軟體，請進門。下次看到這些頁面訊息，請提高警覺：測試網頁訊息Test Page： This page is used to test the proper operation of the Apache Web server after it has been installed…. 禁止存取Forbidden：You don't have permission to access / on this server *顯示與系統管理者聯絡字串：Directory listing denied. Please contact System Administrator. 連線到這些網頁時，有些人可能會以為這些都是沒有用的網頁。所見到的不是空無一物，就是禁止存取或尚未移除的伺服器初步測試網頁，或者只有一些無意義的字串。但是網路安全專家趨勢科技表示，這些網站有許多是間諜程式的散播點。而且，以上這些網站只不過是冰山一角。網路上還有其他無數的間諜程式散播網站，當使用者開啟這些網站的主網頁時，根本不知道發生了什麼事。趨勢科技表示與許多間諜程式感染事件有關的許多位置，都只是某些伺服器用來儲存物件的地方。如果使用者連線到這些主網頁，起初並不會發生任何事，不過一旦這些儲存網站散播的樣本下載到系統中，將會展開感染行動。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-05-30, 02:03 PM	#2 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	病毒利用網頁障眼法，製造安全陷阱 <障眼法2> 合法網址連結，一點選卻到了假網站有別於之前被廣泛採用的偽造網址列手法（以背景為白色的文字物件遮住網路釣魚 URL，在網址列顯示一般正常的網址），或是Pharming 網址嫁接（受害者輸入正確的URL，卻被導向連結到有著精良偽裝的惡意網站）趨勢科技近日發現了一個針對兩種瀏覽器而來的網址重新導向手法。一開始這種手法被通報為Internet Explorer網址偽造的安全弱點。但後續發展顯示，Firefox 同樣含有此弱點。它的結果會導致，即使受害者按下正確的官方網址連結，也會被重新導向網路釣魚等惡意網站。過去網路釣客常用的雷同網址法，有可能因此被相似度100％的網址連結取代。比如：香港發生過的匯豐銀行（www.hsbc.com）假冒案件，假網址www.hkhsbc.com 比真網址多了"HK"兩個字母；又如線上付款機制PayPal.com (www.paypal.com)，其假網址www.paypa1.com，英文字母L 被改成數字1等等。趨勢科技憂心攻擊者從此可以明目張膽地在連結中放入官方網址，只等待粗心使用者點擊滑鼠，即可導向惡意網站。趨勢科技表示，由於這種作法必須要在使用者按下連結後才會產網頁重新導向，因此呼籲千萬不要從電子郵件或IM 訊息中按下連結，直接在瀏覽器的位址列輸入URL 才是比較安全的作法。當連結被按下時，原始碼中事前加入的一段_Javascript，將會瀏覽器重新導向至某個網頁。重新導向指令碼經過修改後，攻擊者就能利用這個弱點來執行攻擊者自訂的_Javascript。舉例來說，雖然網址顯示的是http://www.ebay.com/，但是一旦�...��是偽造的 eBay 等網路交易頁面，要求輸入個人資料。趨勢科技表示，這個偽裝手法可能出現在網路釣魚攻擊中，或引誘警覺性低的使用者按下惡意的網址。這是繼Pharming 網址嫁接後的創新攻擊手法。趨勢科技表示，針對這個偽造網址的臭蟲，停用瀏覽器的_Javascript 支援是一種有效的暫時性對策。採用整合網路詐騙全方位防護與主動式病毒防禦的個人電腦防護軟體，則是比較積極的作法。比如最新上市的PC-cillin2006 即提供多重防止網路詐騙保護。 <障眼法3> 挑戰線上拼圖，竟然引進木馬、後門等 4隻惡意程式與駭客趨勢科技發現許多案例以"個人瀏覽工具列"為促銷，其實卻是廣告軟體的來源網站。它們可能會在下載說明文字「輕描淡寫」地警告說會同時安裝其他附帶的軟體。但最新的案例是。不需如此大費周章，利用網站現成免費的娛樂程式和iframe 漏洞，就可以連鎖下載惡意程式。趨勢科技最近偵測到一個提供拼圖遊戲的網站。檢視這個像是「普通網站」的程式碼，卻有一段_Javascript。它會利用iframe 漏洞先後載入三個網站，之後會陸續下載並執行檔案。這些檔案的偵測結果如下： News.html (1,998 位元組) 檔案- JS_WONKA.B病毒 Style.css (13,016 位元組)檔案 - CHM_DROPPER.CN 病毒 Open.exe (2,608 位元組) 檔案- TROJ_DLOADER.AJH病毒 Girl.bmp (50,920 位元組)檔案 - BKDR_HAXDOOR.CT 病毒也就是說只要進入一個網站，一個看似正常且無惡意的網站，系統就會感染4 個惡意程式。此外，還有駭客會透過BKDR_HAXDOOR.CT 入侵系統！趨勢科技表示有些間諜軟體網站彼此之間都會互通有無，形成自動存取特定連結，下載惡意檔案的互助模式。有些免費電影網站，會先暗中引導到工具列廣告軟體網站下載安裝其他惡意檔案。一旦中了一個間諜軟體，那就表示一連串的惡意軟體將尾隨而上，這或許可以解釋美國國家電腦安全聯盟(NCSA)的調查發現：八成家庭電腦感染間諜軟體，但大多不知情。更令人驚訝的是，他們還在其中一個受訪者運行遲慢的電腦上，發現1000多個間諜軟體。所以如果你沒有趁早覺查到系統中的間諜軟體，隔一段時間可能會發現裡頭已經悄悄滋生了一窩小間諜了，到時候間諜軟體比正常軟體還多可就得不償失了。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-05-30, 02:05 PM	#3 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	多層次架構方案，全面嚴防網路陷阱趨勢科技呼籲喜歡在網路上遨遊的人們，定期更新系統的修補程式與病毒碼。新版「PC-cillin 2006全方位網路防毒系統」，除搭載新一代掃毒引擎，針對網友最關切的「網路詐騙」、「間諜程式」及「網路交易資料外洩」等資安問題提供完整解決方案，創新設計的「網路詐騙防護工具列」與「網路詐騙防護精靈」，讓使用者體驗防毒防駭的無障礙空間。此外，獨家創新的「主動式病毒預警更新」功能，將讓使用者於新種病毒爆發的第一時間，能有效阻隔病毒入侵電腦。企業為了對抗間諜軟體等惡意威脅，IT 組織必須做更廣泛的思考。最安全的作法必須包含在閘道與桌上型電腦上部署多層式架構的間諜程式防護解決方案，此外還必須在所有用戶端提供自動清除功能以強化防禦能力。Internet 閘道是阻擋間諜程式入侵與防止向外擴散的最理想位置，而用戶端的安全不管是對本地或遠端的使用者都十分重要。將整個網路環境的病毒防護、間諜程式防護、垃圾郵件防護、以及內容安全等一系列完整威脅防護功能整合在一起的解決方案可提供企業組織更大的效益（如趨勢科技的InterScan Web Security Suite-IWSS閘道端網際網路防毒伺服器），因?間諜程式與其他惡意威脅的攔截可成為整體安全策略的一部份。保護自己不受騙 1. 不回應：如果電子郵件訊息要求你提供個人資訊或理財資訊，像是使用者名稱、密碼以及信用卡號碼，千萬不要回應。大多數詐騙電子郵件都會警告收件者以引起他們的注意。 2. 不連結：絕對不要按下電子郵件中的連結，尤其是來源不明的郵件。如果要瀏覽網站，請直接在瀏覽器的位址列輸入 URL?，然後再利用顯示的表格登入。你可以打電話給所有公司，利用經過確認的聯絡電話來查詢。 3. 不開附件：請勿開啟電子郵件中的附件檔案，除非你確定這是來自於已知的來源。附件檔的真面目可能是竊取個人資訊的惡意程式 4. 常更新：務必將你的瀏灠器更新到最新版本，並且安裝最新的安全修正程式。 5. 常檢查：要透過 Internet 傳送敏感資訊之前，請先確定網站的資料傳輸會經過加密。每一次都要檢查位址列中是否有 https (而不是 http)，以及狀態列中是否顯示門鎖圖示。在安全鎖圖示上連按兩下，檢查安全憑證與你進入的網站是否相符。 6. 常求援：如果你收到任何可疑的電子郵件但是不確定應該如何處理，有許多組織可以幫你檢查電子郵件。趨勢科技可免費提供這類服務。如果要傳送電子郵件樣本或提出問題，請利用趨勢科技網路詐騙活動通報信箱：antifraud@support.trendmicro.com。 7. 多學習：隨時取得最新資訊依然是避免上當的最佳防範策略。增加自己對 Internet 詐騙行為的認識是十分重要的。有許多網站專門提供與 Internet 詐騙行為有關的免費教育資訊，趨勢科技http://www.trendmicro.com就是其中一個。 8. 多重保護：考慮安裝類似趨勢科技產品的軟體，協助你偵測惡意程式 (防毒軟體)、過濾郵件內容 (垃圾郵件過濾程式)、以及/或限制 Internet 的使用 (網路封鎖產品)。這些軟體協助你防範任何損害，而且能保護你不受駭客與垃圾郵件的侵害。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告