資安/3C小百科 - 資安趨勢部落格

認識電腦病毒:什麼是木馬（Trojan）?遠端存取木馬（RAT）?

2012 年 12 月 05 日2020 年 05 月 21 日趨勢科技 TrendMicro

為什麼到處都是木馬，我要如何阻止他們？

想要在網路上保持安全、不受傷害可能是個艱難的任務。網絡上有許多很棒的東西，不過同樣地，對初學者來說也可能是個地雷區，充斥著網路釣魚（Phishing）詐騙、垃圾郵件(SPAM)和惡意軟體。

在資訊安全產業中，我們可能難以避免地去使用一些難懂的術語。你可能已經在一些新聞報導裡聽過木馬程式，如果他們詳細的介紹網路攻擊。因此，讓我們用白話來介紹，來看看最常見的威脅之一：木馬（Trojan）。

所以它跟蠕蟲（Worm）一樣嗎？或病毒（Virus）？嗯，不完全是

他們都是惡意軟體的一種，或說是惡意程式。但是和病毒或蠕蟲不同，木馬並不進行自我複製。簡單的說，它們是偽裝成無害軟體的惡意程式，這個詞源自於經典的特洛伊戰爭故事，一群希臘士兵藏在一個巨大的木馬以進入特洛伊城，然後跳出來大肆攻擊敵人。

而在電腦世界裡，木馬是種惡意軟體，透過電子郵件或惡意網頁來偷偷地進入並安裝在你的電腦上。一旦進入後，惡意軟體就可以做各種壞事了。

什麼是遠端存取木馬（RAT）？

有些木馬程式被稱為遠端存取木馬（RAT），設計用來遠端操縱使用者的電腦，讓駭客可以完全控制。有些則可能有不同的目的，像是竊取個人資料，側錄鍵盤，甚至將受害者電腦作為殭屍網路/傀儡網路 Botnet的一部分。

P2P和社群媒體攻擊

不幸的是，木馬攻擊已經變得越來越普遍。在網路上就可以買到工具包，像是黑洞漏洞攻擊包（Blackhole Exploit Kit），讓壞蛋們只需要具備有限的技術能力，就可以幫他們把製造和發動惡意軟體最難的部份做掉。通常木馬會偽裝成看似正常的檔案夾帶在不請自來的電子郵件中，不然就是被隱藏在被入侵的一般網站上，或偽裝成一般檔案放在P2P網站，甚至潛伏在社群網站上的連結裡。

繼續閱讀

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

2012 年 11 月 20 日2012 年 11 月 15 日趨勢科技 TrendMicro

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

使用者總以為使用了 HTTPS 和 SSL安全連線，就可以高枕無憂。但如果資訊在傳送之前就已遭到竊取，那麼這些安全連線就沒有機會可以保護您的資料。一個新型的密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼，即使是使用安全連線 (SSL 或 HTTPS) 的網站如 Facebook、Twitter、Pinterest、Tumblr、Google、Yahoo、Microsoft、Amazon、EBay、Dropbox 以及各種網路銀行也無法倖免。

由於資訊已成為一種新興貨幣，網路犯罪者時時刻刻都在思考如何竊取使用者的寶貴資料。而 PASSTEAL 正是歹徒最新的資料竊取工具，內含了一個密碼還原程式，可有效蒐集使用者的登入帳號密碼，即使是採用安全連線的網站也無法倖免。根據我們所分析到的資料，此惡意程式有某些變種是專門竊取 Google Chrome 和 Internet Explorer 當中所儲存的帳號密碼，使用的是類似「PasswordFox」的工具。

過去，趨勢科技已發現多個專門竊取資料的惡意程式，包括專門蒐集影像檔案並且上傳至遠端 FTP 伺服器的 TSPY_PIXSTEAL.A。PASSTEAL 有某些行為與 PIXSSTEAL 類似，但它竊取資訊的方式很不相同。

TSPY_PASSTEAL.A 專門蒐集儲存在瀏覽器內的資訊

趨勢科技偵測到 TSPY_PASSTEAL.A 會擷取多種不同線上服務和應用程式的帳號登入資訊，然後儲存在一個名為 {電腦名稱}.txt 的文字檔內。

有別於大多數透過鍵盤側錄來蒐集資料的惡意程式，PASSTEAL 使用的是密碼還原程式來擷取瀏覽器內所儲存的密碼。在趨勢科技所分析到的樣本當中有一些壓縮過的資料，這是一個專為 FireFox 瀏覽器設計的程式，叫做「PasswordFox」。

PASSTEAL 一旦蒐集到資料，就會執行命令列指令程式的「/sxml」選項，將竊取到的帳號密碼儲存成 .XML 檔案，然後再將它轉成 .TXT 檔案。接著，PASSTEAL 會連線至遠端 FTP 伺服器，將蒐集到的資訊上傳。

事實上，此密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼，即使是使用安全連線 (SSL 或 HTTPS) 的網站也無法倖免。使用這類連線的網站包括：Facebook、Twitter、Pinterest、Tumblr、Google、Yahoo、Microsoft、Amazon、EBay、Dropbox 以及各種網路銀行。繼續閱讀

密碼別再12345,521314(我愛你一生一世)了~PE_MUSTAN.A 病毒鎖定 246 組弱密碼刪除檔案

2012 年 11 月 15 日2021 年 05 月 19 日趨勢科技 TrendMicro

前言: 根據2012 年駭客公布重大帳密被盜事件分析出的全球最駭密碼,「password」蟬聯榜首，緊隨其後的是「123456」和「12345678」。在大陸駭客的密碼破解字典中,還列入以下幾個必備弱密碼,中國人最愛的「666666」和「888888」，還有那甜滋滋的「5201314」（我愛你一生一世）,根據大陸某IT社區網站洩露的600多萬個帳號密碼為例，使用中文拼音、手機號碼，甚至經典詩句縮寫作為密碼的中國用戶不在少數。

趨勢科技曾多次提到密碼管理的文章,還記的下圖提到2012年【LinkedIn被盜帳號的前30大常用密碼】與 2011 年的最駭密碼排行嗎?根據最新的統計 2012 年最駭密碼, 「password」蟬聯榜首，緊隨其後的是「123456」和「12345678」。現在PE_MUSTAN.A病毒會鎖定這些強度不足密碼的電腦,進行刪除檔案的破壞。

2012年【LinkedIn被盜帳號的前30大常用密碼】 (F 開頭髒話和 ILOVEOU 都不是好主意) 646 萬筆被盜的LINKEDIN密碼被貼到俄羅斯的駭客論壇上,許多人都直接用單字當密碼，而這早已證明是種糟糕的密碼。密碼破解演算法早已收錄了這些糟糕的密碼了

小編提醒:1.跟傻瓜密碼拒絕往來 2.不同網站用不同密碼

如果帳號符合特定些使用者名稱(administrator/admin/user/test)和 246 組密碼的組合 (完整清單請參閱威脅百科內容)，該惡意程式就會取得存取權限並感染電腦上的檔案。這些密碼包含以下各類(以下僅列舉部分)

鍵盤方向順位組合:

!@#$

!@#$%

!@#$%^

!@#$%^&*

!@#$%^&*()

!@#123

!@#123456

123!@#

123456!@#

數字組合

00000000

007

100200

110

111

11111111

111222

112233

11223344

1234567890

2012

數字和鍵盤順位

1234qwer

123asd

123qaz456wsx

123qwe

abc 系列

abc

abc123

abcd

abcd1234

admin 系列

adm1n

Admin

admin!@#

admin!@#123

admin123

adminadmin

admini

administrator

alpha

asdf

單字系列

baseball

batman

computer

database

dragon

foobar

football

home

hunter

上帝系列

god

godblessyou

英文名字系列

jennifer

jordan

patrick

password 系列

ihavenopass

mypass

mypass123

mypassword

oapassword

P@ssW0rd

pa$$0rd

pass

pass0rd

pass123

pass123456

pass123word456

passpass

passwd

password

password1

pw123

pwd

Windows 系列

win

windows

windows2000

windows2003

windowsxp

我愛你系列

Love

iloveyou

iwantu

xx系列

xxx

xxxx

xxxxx

xxxxxx

xxxxxxxx

2012 年 7 月現身的 PE_MUSTAN.A 會在安全性較弱的網路上散播，而且已知會攻擊密碼強度不足的目標系統。它的源頭可追溯至 WORM_MORTO.SM，後者在一年前非常流行。儘管這種透過暴力破解方式橫行網路的手法已不算新穎，但 PE_MUSTAN 的出現證明了一些應該安全的網路依然存在著重大弱點。

如同所有的檔案感染程式一樣，這個新的變種同樣也會快速感染同一台機器上的眾多檔案。它會感染所有的 .EXE 檔案，除了下列資料夾內的檔案之外：

Common Files
Internet Explorer
Messenger
Microsoft
Movie Maker
Outlook
qq
RECYCLER
System Volume Information
windows
winnt

根據上列清單，MUSTAN 似乎想避免感染任何可能造成當機的檔案 (因為會引起注意)，所以 Microsoft 的應用程式、即時通訊程式都因而「免於」遭到感染。

此外，PE_MUSTAN.A 也會嘗試透過網路 (確切來說是「遠端桌面協定」，簡稱 RDP) 來散播，進而存取其他系統。如果使用者符合某些使用者名稱和密碼的組合 (完整清單請參閱威脅百科內容)，該惡意程式就會取得存取權限並感染電腦上的檔案。這樣的行為很類似 WORM_MORTO。

一旦進入受感染的系統，它就會將所有可能的磁碟都列為下一個目標，如：本機硬碟、可卸除式磁碟、網路共用磁碟以及遠端桌面協定 (RDP) 的預設共用磁碟 (就像 WORM_MORTO 一樣)。RDP 共用磁碟並非預設會建立的。只有當使用者執行一些額外的設定步驟，指定要透過 RDP 共用磁碟時才會建立。

此惡意程式有趣的一點是，它會利用 DNS 來與自己的幕後操縱 (C&C) 伺服器溝通。它會使用 DNS 的文字內容來取得 C&C 伺服器傳來的指令，如下所示：

在前例當中，它收到的是一串編碼過字串，解開後是用來下載其他惡意檔案以執行的連結。駭客可輕鬆利用這些檔案來竊取已感染系統上的資料，或者植入後門程式，讓遠端駭客自由進出。繼續閱讀

1位副總統候選人,2位總統 , 3位大明星,猜猜哪位用 12345 當密碼?(含12個保護密碼實用的祕訣)

2012 年 11 月 14 日2015 年 10 月 21 日趨勢科技 TrendMicro

有時候太受歡迎並不是件好事,比如這些帳號密碼被入侵的名人小甜甜布蘭妮,美國總統歐巴馬,曾為美國副總統候選人的莎拉裴琳;影星莎瑪海雅 ,”復仇者聯盟”電影中的「綠巨人浩克」馬克魯法洛,敘利亞總統阿薩德;有時候太受歡迎並不是件好事,比如一再使用這些被駭客公布最受歡迎的ˊ密碼(最多人被駭密碼),上述的名人中就有人使用 12345 當密碼,你猜得出是哪位嗎?

小編做了個小調查,發現大家對歐巴馬的”支持率”很高,約四成的人把票投給歐巴馬,而事實上答案是同為總統身分的敘利亞總統阿薩德。

根據2012 年駭客公布重大帳密被盜事件分析出的全球最駭密碼,「password」蟬聯榜首，緊隨其後的是「123456」和「12345678」。在大陸駭客的密碼破解字典中,還列入以下幾個必備弱密碼,中國人最愛的「666666」和「888888」，還有那甜滋滋的「5201314」（我愛你一生一世）,根據大陸某IT社區網站洩露的600多萬個帳號密碼為例，使用中文拼音、手機號碼，甚至經典詩句縮寫作為密碼的中國用戶不在少數。

別再12345,P@ssW0rd 當密碼了!!

仔細篩選你在社交網路上所分享的資訊,免得你像上述多數名人因為在網路上找得到的密碼提示問題遭駭,你或許透漏太多私人生活的細節，這有可能對你不利。

使用密碼管理軟體。趨勢科技PC-cillin 雲端版內建的密碼管理通可為你管理每一個網路帳號的密碼。它可自動管理多個密碼，為你省去複雜的管理程序。

被破解密碼共通性:常見的單字、縮寫、數字序列

使用者經常將密碼視為妨礙他們存取個人資料的障礙。一般典型的密碼都非常簡單，而且都使用常見的單字、縮寫、數字序列 (如：monkey、password、123456)。字典當中的常用字也經常在使用之列。請參考:【圖表】LinkedIn被盜帳號的前30大常用密碼(F開頭髒話和 ILOVEOU 都不是好主意)

對使用者來說，另一項麻煩的問題是記住自己到底有多少個密碼，還有哪個密碼對應哪個帳號。這一點正是造成使用者經常使用重複密碼的原因,10% 的使用者不論任何帳號都使用同一個密碼。.另外常見使用者不是將密碼儲存在某個 .DOC/.TXT 案就是寫在紙上。