蠕蟲程式會複製自己到有密碼保護的壓縮檔內

通常使用者將多個檔案壓縮成單一檔案是為了方便或是為了節省空間。然而,趨勢科技發現有個蠕蟲程式會自我複製加入受密碼保護的壓縮檔裡。

趨勢科技取得一個蠕蟲程式樣本(被偵測為WORM_PIZZER.A的),會利用特定的WINRAR命令列來散播(見下圖)。一旦執行,會讓WORM_PIZZER.A複製自己到壓縮檔內,特別是ZIP、RAR和RAR FX檔案。這個蠕蟲程式不會從這些壓縮檔提取密碼。上述的命令列是正常指令,使用者可以用它來將檔案加入壓縮檔內,只要系統內裝有WINRAR。然而,惡意軟體濫用這功能將自己複製到壓縮檔內。

圖一、WINRAR命令列

經過趨勢科技的測試,這種蠕蟲程式是被WORM_SWYSINN.SM從一特定網站下載而來。

這種方式讓人想起出現在二〇一〇年的WORM_PROLACO變種,其中有個變種會將某些EXE檔案和自己的複本壓縮在一起。但讓WORM_PIZZER.A特別有意思的是,它會巧妙地將自己複製進壓縮檔內,就算是有密碼保護的壓縮檔也一樣。當毫無戒心的使用者解開這些壓縮檔時,並不知道裡面已經加入了蠕蟲程式,所以可能會跟其他檔案一樣去執行這惡意程式。

圖二、WORM_PIZZER.A複本(bot.exe)出現在壓縮檔內 Continue reading “蠕蟲程式會複製自己到有密碼保護的壓縮檔內”