有一名客戶提交了一份帶有可疑公式並設成 ”Very Hidden” 的惡意 Microsoft Excel 4.0巨集工作表,讓趨勢科技研究人員進行進一步的分析。因為一項Microsoft網站上有記錄的隱藏工作表功能,所以無法從Microsoft Excel使用者介面(UI)存取這工作表。惡意檔案通常會用作垃圾郵件的附件檔。
開啟檔案後會顯示訊息要求使用者點選”Enable Editing”(允許編輯),然後是”Enable Content”(啟用內容)。使用者在點選這些按鈕後也在不自覺下啟用了巨集。
研究人員使用Visual Basic編輯器來檢查巨集的存在。但是開啟後並沒有發現巨集。
繼續閱讀
Powload 在資安威脅領域歷久不衰,代表它一直在推陳出新。事實上,巨集惡意程式數量在 2018 上半年之所以突然暴增,就是因為當時 Powload 正透過垃圾郵件大量散布。Powload 是 2018 年北美地區最猖獗的威脅之一,它會利用各種技巧在系統植入惡意程式,例如 Emotet、Bebloh、Ursnif 等資訊竊取程式。趨勢科技偵測到Powload 的數量以及我們 2018 年所分析的相關案例/,都較 2017 年顯著增加。另一方面,Powload 在技巧上不斷演進,也顯示它可能還要持續發揮惡勢力一陣子。儘管它的散布管道依然是經由垃圾郵件,但它卻會運用不同技巧在系統上植入惡意程式,包括:避開文件預覽模式、使用無檔案式技巧以及駭入電子郵件帳號等等。
圖 1:趨勢科技 Smart
Protection Network™ 的偵測數據 (左) 以及我們已分析的非重複 Powload 樣本案例/案件數量。
我們在近期所見到的 Powload 相關案件中發現,其垃圾郵件所使用的附件檔案開始出現明顯變化,包括使用圖像隱碼術 (steganography) 以及鎖定特定國家。圖 2 說明了這樣的變化,例如,我們 2018 年早期分析到的樣本在感染程序方面較為單純直接,而新的手法則是多了一道手續來躲避偵測。
繼續閱讀1999年美國西岸時間 3 月27日晚上 9 :00, CNN 與 NBC 電視臺大幅報導Melissa (梅莉莎) 病毒攻陷美國各大企業電子郵件伺服器的新聞。而早在電視臺公佈前的 3 個小時,也就是梅莉莎病毒出現後的1 2 小時內,趨勢科技已經最新的解毒程式放置於趨勢科技網站,同時全產品線更新完成。而其免費提供的線上掃毒服務,也在一天當中湧進 1 0萬人次。由於這在當初是前所未有的病毒型態,全球的防毒廠商除了趨勢科技,全都措手不及難以應付。這不但奠定趨勢科技在全球閘道市場的知名度,更讓企業意識到唯有閘道防毒,才能降低桌上防毒的負擔。 Mellisa 爆發以來,暴增的電子郵件病毒,突顯出傳統的單機版防毒已經不敷使用,唯有在 email 進入企業的第一道關口設置防毒牆才是關鍵。
據報導微軟、 Intel 都遭受感染,病毒擴散後的一小時內,伺服器即超過 2萬封信件。其中美國微軟採用趨勢科技的 InterScan VirusWall 成功掃毒
1988 年趨勢科技成立之初,你知道當年出現的病毒,是靠 5.25 英吋的磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史。
Melissa 是第一個利用電子郵件自動大量散播、癱瘓網路的始作俑者,於 1999 年造成全球企業 email 系統集體停擺。並提供後繼病毒作者一個依樣畫葫蘆的不良範本。過去,Internet尚未起飛的年代,一隻病毒從美國傳到台灣,可能要花上好幾個星期的時間,至此只需要 Click一下滑鼠,病毒就在瞬間傳到全球各大洲了。
Melissa (梅莉莎)不像大多數的文件巨集病毒感染模式,僅限於用戶端感染,它的目標獵物更鎖定了exchange server ,瞬間灌爆了信箱,傳播速度更令人大開眼界。
該病毒可以同時感染 Microsoft Word 97 及 Word 2000 的文件,並自動經由被感染者的 Microsoft Outlook的通訊錄發出 50 封自動郵件,藉以連鎖性的大規模散佈。當時幾乎所有的信箱都塞滿了這樣標題的信件:「 Important message from < somebody>」(PS. Somebody 是寄件人的名字) ,信件內容為:「 Here is that document you asked for….don’t show anyone else:-)」並有一個內含80個色情網站 Word 附件檔。由於這些寄件人幾乎都是公司內部的同事,或是熟識的朋友、甚至是客戶。很多人收到這些信腦中閃過的念頭是:「誰在惡作劇?!」
1988 年趨勢科技成立之初,你知道當年出現的病毒,是靠磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史。
你可能從去年的 WannCry (想哭)勒索病毒大爆發,才聽過勒索病毒,但你知道史上第一個勒索病毒,可能比你還年長嗎?
你知道為何在 1997 年前的每年 3 月 6 日,電腦用戶就會神經緊繃地幫電腦開機?
又或是高齡已達 32 歲,每逢13 號星期五發病的黑色星期五病毒, 現在是否建在,有比它更黑心的對手嗎?
我們將分期為大家介紹《1988-2018 資安威脅演變史 》中,造成全球重大損失的病毒與攻擊手法事蹟
僅透過 5.25 英吋的磁碟片傳播的防盜拷病毒
電腦病毒的老祖宗,得從 1983 年說起,在那個時代有一位美國南加大的學生曾在 UNIX 系統下寫了一支會引起系統當機的程式,並以論文方式大力發表,在當時引起不小的震撼。
後來在隸屬美國電話電報公司的貝爾實驗室中,有一群寫程式的工程師,以撰寫吃掉他人程式的方式彼此消遣,但是並沒有流傳到外面。真正造成電腦使用者害怕的是 1987 年誕生的大腦病毒,它才算是電腦病毒的老祖宗。BRAIN大腦病毒,是第一隻感染 IBM 個人電腦也是首隻被媒體大量報導的病毒。大腦病毒誕生,原本只是為防止別人盜用軟體程式,沒想到卻被竄改成為具有破壞性的病毒程式,使得電腦使用者從此籠罩在電腦病毒的陰影下。
創造BRAIN大腦病毒的是一對來自巴基斯坦兩兄弟─Basit與Amjad。當時兩兄弟只有17歲和24歲共同經營一間電腦軟體公司,為了追蹤有多少人非法盜用他們開發的心臟監控系統,在軟體中加入一項新功能,會跳出一則警告訊息:「Beware of this VIRUS…. Contact us for vaccination…(小心!這是病毒,快聯絡我們拿解藥)」,訊息中也留了聯絡電話,以確認用戶的使用身分是否合法。但後來發展的變種會吃掉硬碟空間。
後來一些有心人士將大腦病毒發揚光大,把它改寫成有強大殺傷力的變種病毒,而且不斷的衍生毒子毒孫。
1987年 黑色星期五誕生:「We hope we haven’t inconvenienced you」
黑色星期五,這是個被西方社會認為是不幸、不吉利的日子。據英國《每日郵報》報導,黑色星期五當天發生的交通事故比平日高出個百分點。 繼續閱讀
新巨集病毒會竄改受害電腦的特定桌面捷徑,用以下載後門程式。趨勢科技在一封包含圖片檔的文件中發現這隻巨集病毒,當使用者依照要求執行巨集以開啟整份文件後,該病毒就會尋找 Skype、Google Chrome、Mozilla Firefox、Opera 以及 Internet Explorer 等五種桌面捷徑,加以感染並取代指向的連結。
當惡意程式執行完畢之後,它會將捷徑還原成原本的狀態,並開啟原本對應的應用程式,使其看起來神不知鬼不覺,藉以降低用戶警覺性。接下來,惡意程式會開始運用其下載的檔案。駭客並未自行開發工具,而是下載網路上常見的工具,例如各式各樣的 Windows 工具、WinRAR 及 Ammyy Admin 等等來蒐集系統上的資訊並經由 SMTP 傳回給歹徒。
趨勢科技在分析過程當中也發現,某些下載的檔案目前已有變更或更新,這表示惡意程式作者仍在開發該程式,呼籲電腦用戶當心威力進化的新變種。
PC-cillin 雲端版
防範勒索 保護個資 ✓手機✓電腦✓平板,跨平台防護3到位 ➔ 即刻免費下載試用
儘管巨集病毒存在已有數十年歷史,但網路犯罪集團仍不斷持續利用惡意巨集來散布惡意程式,只不過今日的方法更有創意,也更有效率。最近一起歹徒利用惡意巨集的案例採用了一種較為迂迴的作法,該巨集會先搜尋使用者系統上是否有特定的桌面捷徑,然後將捷徑指向其下載的惡意程式。當使用者點選被篡改的桌面捷徑時,就會執行下載的惡意程式。
儘管駭客使用的巨集和所下載的惡意程式並不複雜,但這套運用方法卻相當值得注意,因為看來似乎還會有後續發展。
圖 1:惡意程式感染過程。
惡意文件
歹徒攻擊一開始是使用一個惡意文件,該文件的內容為俄羅斯文,並含有一張房屋的照片。內容會指示使用者啟用巨集功能來檢視完整文件。 繼續閱讀