討論 - 趨勢科技-最新病毒焦點

[飛鳥]

趨勢科技-最新病毒焦點
隨著歲末佳節的腳步逼近，許多人又開始在線上搜尋耶誕節商品。令人擔憂的是，此時網路罪犯也試圖滲透無辜的 Web 搜尋工具，利用如 "christmas gift shopping" 等簡單字句的搜尋結果散播惡意網址：


請提高警覺，否則當 Web 資安威脅帶給你意外的驚喜時，你可能會欲哭無淚。
睜大你的眼睛，否則單純的搜尋將會演變成一場 Web 資安威脅惡夢。搜尋上述字句可能讓你誤入惡意網站，請注意圖中以紅線圈出的地方。若你按下這些網址， 其中的 JavaScript 便會將你轉向另一個網站
(http://{省略}ldgonit.com/search.php?gzapr=…) 下載並執行惡意程式。所幸趨勢科技已將下載這些惡意程式的網址全面封鎖。
上述網站中還暗藏了一個 IFRAME 會將使用者轉向以下網址，進一步下載其他惡意程式到他們的系統中：http://{省略}id.theoreon.com/setup.php?aff_id=6025 與
http://{省略}aga.com/exe.php?pid=1008。由於每一次下載均可發現不同的二進位檔，這表示伺服器端可能重新進行雜湊處理。在今年耶誕節之前，預計還將出現更多惡意程式。
深入調查此一案例之後，我們發現除了 Sunbelt 所發現的耶誕節相關搜尋遭惡意網址滲透的情況以外，上述 CN 網址也在許多日文線上論壇/部落格/bbs 網站中大肆宣傳：


其他遭滲透的耶誕節相關 Google 搜尋包括：
christmas gift shopping
christmas holiday sale
holiday shopping fun
請注意，可能還有其他與此主題有關的搜尋已遭滲透。
此外，上述 IFRAME 所內含的部分感染網址也顯示出惡意程式作者使用了所謂的 404 Web 資安威脅工具套件 (可能是新版本)：
http://{省略}sliksuka.com/check/version.php?t=148
http://{省略}sliksuka.com/check/n14041.htm
http://{省略}sliksuka.com/check/n14042.htm
http://{省略}sliksuka.com/check/n14043.htm
http://{省略}sliksuka.com/check/n14044.htm
http://{省略}sliksuka.com/check/n14045.htm
http://{省略}sliksuka.com/check/n14046.htm
http://{省略}sliksuka.com/check/n14047.htm
http://{省略}sliksuka.com/check/n14048.htm
http://{省略}mndskj.com/check/vers2.php
http://{省略}mndskj.com/check/tpknlkk433.php
http://{省略}mndskj.com/check/tpktskk2.php

今年耶誕節惡意程式又來湊熱鬧。儘管惡意程式環伺，但只要在線上購物時審慎提防並提高警覺，便能避免你的電腦遭感染。此外，仰賴趨勢科技穩固可靠的 Web 資安威脅技術作為後盾，也能確保安全無虞。
Web 威脅新利器：InterScan Web Security Appliance（IWSA）

防毒戰線提前，找到惡意來源，避免接觸惡意程式
趨勢科技網頁信譽評等服務 WRS 會依據由網域分析所獲得的網址可信度，為網站指定「信譽等級」，依據惡意程式、垃圾郵件與間諜軟體活動記錄產生信譽評等機制，避免使用者存取惡意網站，提供即時的保護。
網頁信譽評等服務 WRS已內建於趨勢科技全系列安全防護解決方案中，完整涵蓋消費者、中小企業以及大型企業解決方案。比如趨勢科技新版OfficeScan 8.0、IGSA、IWSA的最大特色之一，就在強化網頁安全威脅之防護能力，讓用戶從 Gateway 到 Client 端皆可獲得完整的保護。

2009/2/19賽門鐵克：惡意程式變形超出專家預期
根據賽門鐵克ISTR的研究，惡意程式的數量呈現爆炸性的成長，且惡意程式和傀儡程式已經出現很大的變形，遠超出資安專家的預期。

賽門鐵克的研究指出，惡意程式和傀儡程式已經出現很大的變形，遠超出資安專家的預期。當有越來越多網路服務都透過腳本語言（Script）提供時，也讓網路威脅成為最受重視的資安威脅之一。

根據賽門鐵克ISTR的研究，惡意程式的數量呈現爆炸性的成長，2007年是2006年的5.68倍，2008年是2007年的2倍以上。賽門鐵克資深技術顧問莊添發表示，現在的惡意程式演變成單一核心的惡意軟體，也就是說，惡意軟體的主程式，不僅包含各式各樣的惡意威脅的功能，還可以繼續變種、演化。

他指出，這些惡意程式就像是Downloader，先利用惡意軟體的主程式進行散播，可能透過鍵盤側錄程式（Key Logger）、密碼竊取（Pass Steal）及關閉防毒軟體等手法，再讓受害電腦由網路連回惡意網站，下載其他的惡意程式。他說：「惡意程式這樣的演進、變形，也造成惡意程式的數量大增。」此外，他發現，駭客以往還要藉由傀儡電腦跳板控制系統（Command and Control System）來控制傀儡網路，但現今已逐漸轉變成點對點傀儡網路（Peer to Peer Botnets）。若駭客是透過跳板控制傀儡電腦，則只要找到跳板控制系統，傀儡網路就會失效，反觀點對點的傀儡網路，「查到一個，才破壞一個傀儡電腦，也造成傀儡網路破獲的難度。」他說。

莊添發表示，隨著越來越多的網路服務都是透過含Script（腳本語言）的網頁來提供（例如：Java Script），加上層出不窮的網路威脅，不論是瀏覽器漏洞、惡意連結（例如：iFrame）等，在在都刺激駭客想出更進階的攻擊手法，達到其目的。加上，有越來越多手機可以連網，莊添發便說，他曾經看到有手機版的惡意程式偽裝成免費的手機遊戲，供智慧型或PDA手機使用者下載。他表示，不論是既有的網路威脅或者是手機的網路威脅，也將是2009年不可忽視的資安趨勢。文⊙黃彥棻

[oya1340]

謝謝飛鳥的告知...會多小心注意的

[atie]

這一陣子上網　還是要小心一點比較好

中獎了就慘了

[crd1871]

引用:

作者: atie

這一陣子上網　還是要小心一點比較好

中獎了就慘了

應該不是這陣子要小心吧,每天都會有人製造病毒,所以應該是天天都要小心~~

[飛鳥]

病毒也愛情人節

情人節由來：
Valentine’s Day（情人節，2 月 14 日）這個節日的名稱起源於在 1700 年前死去的兩位基督殉道者。直至今日，情人節已經轉型成了洋溢著愛情、幸福，而男生也一定得送一束玫瑰花給女友的節日。自十九世紀開始出現送卡片的習俗之後，情人節也越來越商業化，對很多商家來說，更是一年之中極為重要的獲利來源。惡意軟體產業也不落人後，早在幾年前就開始在這個節日上大作文章。

情人節惡意軟體總覽：

2006年
WORM_BAGLE.EW 羅馬情詩表愛意 開後門引更多惡意程式
這種病毒會透過寫著「Will You Be My Valentine?」（你願意當我的情人嗎？）和「Love you with all my heart!」（我會全心全意地愛你！）等主旨的電子郵件來散佈，郵件中還會寫著一首羅馬情詩（共有三首）並在背景放著典型的情人節愛心，藉此引誘使用者開啟附件 love_me.exe。除此之外該病毒也利用 P2P 傳播。
病毒情話：
信件主旨包含：
‧Come Be With Me, my Love!
‧Love you with all my heart!
‧My dream is coming true!
‧See you tonight!
‧Will You Be My Valentine?
信件內容為長長的羅馬情詩。


2005年
WORM_KIPIS.E 表面給愛的禮物 開啟後大發垃圾信給親友團
這是另一個使用了各種常見偽裝的大量寄件程式。它們有些附件會使用像是 Valentine.exe 之類的正常名稱，有些則是 porno_03.exe 這類跟假日一點關係都沒有的名稱。
病毒情話：
信件主旨包含：‧ Happy Valentine’s day ‧ Valentine’s day ‧ you my love.. ‧ your love。
信件內容包含:
‧I congratulate on the coming Valentine’s day! My gift to you.
‧With the coming Valentine’s day! I very much love you
‧love you! ,congratulate!
‧Valentine’s day
‧you my love..
‧your love


2003年
TROJ_CUPIDCARD.A 冒充仰慕者發送卡片的廣告軟體
這不太像是大量寄件蠕蟲，反而比較像是廣告軟體。除了一般該有的行為以外，它還會啟動一個名為「VALSDAY.EXE」的檔案，顯示下列的賀卡：
病毒情話：
信件主旨：You have been sent a Valentines Card !
信件內容： You have received a Valentines day e-card.



2002年
VBS_NUMGAME.A 欺騙感情 清光硬碟
本病毒會邀請收件者來場猜數字的遊戲。只不過這場小遊戲會重設電腦的系統日期，甚至讓硬碟?堛漫狾酗漁e都消失不見。
病毒情話：
信件主旨: Are you (Name) my valentine?
信件內容:
Hi (Name) my valentine, remember me? I ain’t seen you in ages! Anyway, check-out and play the attached guess-the-number-game to guess who I am. See you soon, bye-bye!


2001年
VBS_VALENTIN.A 假情假意西班牙情人 修改首頁設定
中毒電腦上的所有檔案都會被惡意軟體作者所寫的西班牙文情書所覆寫，根據情書中所寫的，作者寫這封情書是為了向「世界上最美的女孩 Davinia」表達愛意。作者會告訴使用者，他們的檔案並未被病毒所感染，只是「為了我對的 Davinia 的愛而犧牲」，要使用者不用擔心。
病毒情話：
信件主旨: Feliz san valentin
信件內容: Feliz san valentin. Por favor visita http://www.terra.es/personal/acaymo旨

[飛鳥]

中國鎮壓西藏的新聞最近受全球矚目；防毒軟體大廠趨勢科技發現，有不法人士藉相關新聞散播惡意程式，試圖竊取個人資料。趨勢科技指出，相關木馬化檔案名稱均取自與支持西藏流亡政府運動有關的媒體報導或新聞標題，請網友注意。

趨勢科技指出，最近出現的一波目標式攻擊，是使用名為TROJ_MDROPPER.GJ木馬程式，其藏身於MSWord 檔案，偽裝成附件檔，透過垃圾郵件四處散播；一旦網友開啟郵件中附件，即遭植入木馬程式。

此木馬程式會在電腦中安裝後門程式，藉以遠端控制系統，進而自由竊取個人資料或成為散播垃圾郵件的跳板。這些木馬化的檔案名稱均取自支持西藏流亡政府運動相關媒體報導或新聞標題。

趨勢科技資深技術顧問簡勝財表示，該木馬的變種 TROJ_MDROPPER.WI，也曾在去年10月利用緬甸僧侶主導抗議行動的話題性，偽裝成郵件附檔大肆散播。

除安裝防毒軟體並更新病毒碼外，他提醒，對於以當紅新聞為主旨所寄送的郵件，在開啟附檔或點選連結前，網友務更謹慎小心，最好不要隨意開啟。

[飛鳥]

趨勢科技今發佈一線上文件的駭客攻擊事件緊急提出警告，趨勢科技指出，駭客近來針對Adobe Acrobat相關系列產品展開安全漏洞攻擊，如果使用者在線上直接開啟PDF檔的文件，就可能造成電腦當機的現象，PDF檔案也無法開啟，在這個當下，就可能遭受駭客植入BKDR_NETCL.A、EXPL_EXECOD、AJS_SHELLCOD.JS、TROJ_AGENT.ZWQA、 TROJ_FAKEAV.LKQQ 等五隻惡意程式，要使用者格外小心，最近千萬不要直接在線上開啟PDF檔案。

趨勢科技發現有關安全漏洞的產品包括Adobe Acrobat Pro 9.0.0、Adobe Acrobat Reader 9.0.0、Adobe Acrobat Pro Extended 9.0.0、Adobe Acrobat Standard 9.0.0等產品，除了9.0版本之外，更早期的版本也都在安全漏洞的攻擊之中。

使用者的電腦一旦被植入木馬，除了可能被盜竊個人資料之外，使用者的電腦更可能成為駭客發送垃圾郵件的僵屍電腦。

趨勢科技也提醒使用者，除了近期不要在線上直接開啟PDF文件檔之外，也盡快用掃毒軟體進行掃毒，並且隨時留意Adobe官方所釋出的安全漏洞修補程式，以隨時更新。