假 Youtube 網頁,假防毒軟體,夾帶在搜尋頁面中趁機打劫
被稱為超級電腦病毒的 Stuxnet 蠕蟲,近日肆虐全球,網路犯罪者正利用 Stuxnet 蠕蟲到處肆虐的新聞熱潮來散發惡意程式。趨勢科技資安威脅高級研究員 Ivan Macalintal 發現,許多有關此蠕蟲的搜尋結果均遭到毒化。此次遭到 Black_Hat SEO黑帽搜尋引擎最佳化的一些搜尋字串包括:「stuxnet SCADA」、「stuxnet removal tool」、「stuxnet cleanup」、「stuxnet siemens」、「stuxnet worm」等等。某些已遭毒化的搜尋字串還高居搜尋結果頂端。其中有一個搜尋字串所指到的惡意 URL ({BLOCKED}lo-canada.org/2008/stuxnet.html) 會將使用者帶到一個專門攻擊 CVE-2010-0886 與 CVE-2010-1885 漏洞的網站。此外,還有某些搜尋結果會將使用者導向專門攻擊 PDF 和 SWF 漏洞的網站。該威脅分別命名為TROJ_PIDIEF.XE 和 SWF_AGENT.WAW。
事實上,可能招來的惡意程式很多,包括會在系統上植入其他惡意程式的下載程式在內,此外也包括 TROJ_FAKEAV.SMZU 這個假防毒軟體FAKEAV 變種。假防毒軟體FAKEAV 變種特別喜歡利用搜尋結果和新聞事件來誘騙使用者購買假防毒軟體。
另一個出現在搜尋結果的惡意 URL ({BLOCKED}l.com/loja/media/stuxnet.html) 會假冒成一個 Youtube 網頁,但事實上會讓使用者感染 TROJ_CODECPAY.AY 木馬程式。
網路犯罪者以往也經常利用熱門的資訊安全威脅 (如:Conficker) 的新聞來散播惡意程式。
不論是遭到 Stuxnet 感染或是對這個蠕蟲感到好奇的使用者,都有可能誤點這些已遭毒化的搜尋結果。因此,最保險的做法就是不要點選這些有關 Stuxnet 的連結,直接從可信賴的網站取得資訊。
以下是先前一些有關 Stuxnet 討論的部落格文章:
- USB Worm Exploits Windows Shortcut Vulnerability (專門攻擊 Windows 捷徑漏洞的 USB 蠕蟲)
- Exploits for Windows Shortcut Vulnerability in the Wild (專門攻擊 Windows 捷徑漏洞的威脅在網路上現身)
趨勢科技的使用者目前已可透過趨勢科技 Smart Protection Network™ 獲得適當的保護,它可偵測並攔截所有相關的 URL 與惡意檔案。
Stuxnet 是目前第一個利用 Windows LNK 零時差漏洞的攻擊,詳細情形請參考以下連結: