通常使用者將多個檔案壓縮成單一檔案是為了方便或是為了節省空間。然而,趨勢科技發現有個蠕蟲程式會自我複製加入受密碼保護的壓縮檔裡。
趨勢科技取得一個蠕蟲程式樣本(被偵測為WORM_PIZZER.A的),會利用特定的WINRAR命令列來散播(見下圖)。一旦執行,會讓WORM_PIZZER.A複製自己到壓縮檔內,特別是ZIP、RAR和RAR FX檔案。這個蠕蟲程式不會從這些壓縮檔提取密碼。上述的命令列是正常指令,使用者可以用它來將檔案加入壓縮檔內,只要系統內裝有WINRAR。然而,惡意軟體濫用這功能將自己複製到壓縮檔內。
圖一、WINRAR命令列
經過趨勢科技的測試,這種蠕蟲程式是被WORM_SWYSINN.SM從一特定網站下載而來。
這種方式讓人想起出現在二〇一〇年的WORM_PROLACO變種,其中有個變種會將某些EXE檔案和自己的複本壓縮在一起。但讓WORM_PIZZER.A特別有意思的是,它會巧妙地將自己複製進壓縮檔內,就算是有密碼保護的壓縮檔也一樣。當毫無戒心的使用者解開這些壓縮檔時,並不知道裡面已經加入了蠕蟲程式,所以可能會跟其他檔案一樣去執行這惡意程式。
圖二、WORM_PIZZER.A複本(bot.exe)出現在壓縮檔內
趨勢科技可以偵測和刪除WORM_PIZZER.A,並封鎖代管這惡意軟體的網站。
二〇一三年的上半年都只是在老調重彈,舊的威脅像是ZBOT、CARBERP和GAMARUE利用新技術來躲避偵測,或是用更隱蔽的方式潛入使用者的系統。WORM_PIZZER.A也只是被重新包裝過的的威脅。因為壓縮檔案的保護措施,讓使用者可能太過放心的去解開並執行這些檔案,成為威脅散播的完美掩護。
為了更好地保護自己,使用者必須遵守最佳的電腦使用實作,包括避免訪問不明網站和從未經驗證過的電子郵件下載檔案。因為惡意軟體可以將自己複製入壓縮檔內,所以使用者在執行類似檔案時要格外小心。
@原文出處:Worm Creates Copies in Password-Protected Archived Files作者:Lenart Bermejo(威脅反應主任)
還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中
◎ 歡迎加入趨勢科技社群網站
