資安趨勢部落格 – 第 797 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

愈來愈多惡意軟體嵌入RTF檔案,會竊取帳密

2014 年 02 月 25 日2014 年 02 月 24 日趨勢科技 TrendMicro

網路犯罪份子之前就利用過RTF（Rich Text Format）檔案，不過看來最近他們又更有創意的去利用這個格式。

趨勢科技之前談論過CPL檔案如何被嵌入到RTF文件，並且以附件檔的方式傳送給目標受害者。這些CPL檔案接著會下載惡意檔案並執行在受影響的系統上。

早期樣本裡的指示使用的是葡萄牙文，不過現在較新的樣本則是使用德文：

圖一、德文的RTF文件

總的來說，所用的手法還是一樣 – RTF檔案內含一個嵌入的「收據」，並指示使用者去打開這份收據。打開該檔案會執行CPL惡意軟體，它會接著下載其他的惡意檔案。

圖二、RTF文件碼

在此案例裡，該網址已經無法存取，所以我們無法百分百地肯定接著會下載的是什麼。不過之前的案例使用過資料竊取程式，所以這次很有可能也是一樣。我們將這CPL惡意軟體變種偵測為TROJ_CHEPRTF.SM2 木馬病毒。

另一起案例也將惡意軟體嵌入RTF檔案，但這次的嵌入惡意軟體屬於ZBOT惡意軟體家族。這個ZBOT變種被偵測為TSPY_ZBOT.KVV 木馬病毒，它會竊取使用者名稱和密碼，像是電子郵件、FTP和網路銀行。

這些事件強調了網路犯罪技術一直在提升。RTF文件可能已經被用在許多案例之中，只是使用者並不知道RTF檔案可以被用來散播惡意軟體。即使他們知道，他們也未必能夠很容易地確認哪些檔案是惡意的，而哪些不是。

此外，使用RTF檔案來散播ZBOT並不尋常，因為它通常是透過其他的方式（如下載程式、惡意網站或垃圾郵件）散播。這顯示出網路犯罪份子是如何地願意接受新方法來達到自己的目的。

趨勢科技強烈建議使用者在打開電子郵件和附件檔時要小心謹慎。在可以確認之前，絕對不要下載並打開附件檔。企業應該在網路上部署郵件掃描解決方案，並啟動對電子郵件的掃描。

趨勢科技主動式雲端截毒服務 Smart Protection Network可以透過封鎖所有相關惡意網址並防止惡意檔案被下載或執行來保護使用者。

＠原文出處：More Malware Embedded in RTFs作者：Jeffrey Bernardino（威脅研究員）

瘋「來自星星的你」大結局,當心中毒!很多標示「全集」、「大結局」的連結夾帶木馬

2014 年 02 月 24 日2014 年 02 月 26 日趨勢科技 TrendMicro

趨勢科技呼籲粉絲切勿聽信惡意程式要求關閉防毒軟體以免受駭

韓劇「來自星星的你」在台掀起一股話題，除了周邊商品跟著暢銷之外，病毒也趁勢而起！全球雲端資訊安全領導廠商趨勢科技發現，很多標示該劇「全集」、「大結局」的連結都藏有木馬程式與病毒，一旦用戶點擊網址、或解壓縮下載的檔案之後，就會開了一扇後門給惡意程式入侵，導致系統停擺、個資被竊取等情形。趨勢科技呼籲用戶，在追劇情的同時，也要小心各種連結的誘惑，並安裝趨勢科技 PC-cillin 雲端版來跨平台防護，更不要聽信惡意程式要求而關閉防毒軟體，以避免受害。尚未安裝防毒軟體的用戶，也可以免費下載 PC-cillin 雲端版。

韓劇「來自星星的你」大熱門搜尋找「全集」、「大結局」當心被病毒盯上 — 搜尋來自星星的你,當心被病毒盯上

「來自星星的你」韓劇雖然尚未正式在台播出，不過已經在網路上造成話題旋風，吸引了許多台灣粉絲上網搜尋影集觀看。隨著完結篇的即將到來，許多來不及每集都觀看的粉絲，會試圖搜尋「全集」以便一次趕進度，更有許多心急的粉絲試圖搜尋尚未播出的部分，例如「大結局」等，想搶先知道結果。趨勢科技發現，駭客們也相中這股熱潮，便打著「劇情更新」的幌子、或以男女主角精采劇照等噱頭，誘導用戶造訪惡意網站、或者下載包含惡意程式的檔案，導致用戶電腦受害、隱私全部外流！

根據趨勢科技 PC-cillin 數位生活調查中心調查如果情人節這天只剩網路與你同在,你準備如何度過漫漫長夜?結果發現37.97% 人投給下載台灣尚未上演的最新影集,可見在網路上看熱門影集已經成為年輕人的潮流。趨勢科技指出，此類惡意程式通常不會出現明顯的破壞跡象，反而是試圖潛伏在用戶的電腦內，竊取如信用卡資料、網路密碼等個資或隱私，並隱密地傳送到指定的伺服器中，做更多惡意濫用。趨勢科技資深技術顧問簡勝財表示：「熱門話題絕對是駭客下手的好時機，因此除了熱門節慶之外、暢銷影集也是駭客絕佳的攻擊機會，因為熱絡的討論氣氛會降低用戶的警覺心，也增加駭客攻擊的成功率。很多狡猾的網路犯罪份子，甚至會宣稱他們提供的文件『已破解，所以會被防毒軟體誤殺』，進一步要求用戶主動關閉防毒軟體，等到用戶發現中毒為時已晚。」

因此趨勢科技提醒，要防範此類風險，用戶要盡量選擇安全的視頻網站觀看，並盡量避免下載「偷跑」的劇情，更勿關閉防毒軟體，以降低受害機率。針對這樣的攻擊，趨勢科技PC-cillin 雲端版採用全球獨家的「主動式雲端截毒技術」，在病毒入侵電腦前即已預先攔阻。其中的「惡意網頁防護」功能，更能主動偵測惡意威脅，在搜尋關鍵字時，能自動偵測網址風險，並以不同顏色標示搜尋結果安全性（紅色標示危險網址，綠色標示安全網址），能事先提醒粉絲，避免因誤點惡意網址而受害。

: 趨勢科技PC-cillin 雲端版的「惡意網頁防護」功能，能主動偵測惡意威脅，在搜尋關鍵字時，能自動偵測網址風險，並以不同顏色標示搜尋結果安全性（紅色標示危險網址，綠色標示安全網址），能事先提醒粉絲，避免因誤點惡意網址而受害。

尚未安裝防護軟體的粉絲們，歡迎下載免費試用版

PC-cillin 雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用

*另外也提醒粉絲們,由於<來自星星的你>男主角金秀賢(飾演都敏俊)，即將來台舉辦見面會，詐騙集團也利用LINE兜售黃牛票，據悉此種詐騙得手金額超過了十萬元，提醒民眾，購票一定要依循正常管道，別花了錢，成了冤大頭。

同場加映:

2011 年四月這則新聞陸網友受不了！下載《肉蒲團》全遭駭 ,小編藉此跟大家分享一下在本部落格常提到的名詞Black_Hat SEO 搜尋引擎毒化。話說許多大陸網友要趁「五一假期」組團赴港、台觀賞《3D肉蒲團之極樂寶鑑》（因為大陸沒上映），擋得住電影上演卻檔不住大陸網友在網路上熱搜，不過在下載一個「完整版下載」的檔案時卻慘遭木馬程式入侵，導致電腦中毒。報導說估計約有十萬網友受到「肉蒲團的木馬程式」入侵。

另外還有一則台灣相關新聞「電器維修官網是山寨版？」不少消費者抱怨大公司維修客服態度差，價格又亂報，後來才發現網路上很多維修官網都是假的，包裝聲寶，日立，奇異等家電公司有都有仿冒官網，導致消費者對於無辜的公司抱怨不斷。「真的是太扯了！」科技界任職的黃先生，花四萬多元買聲寶洗衣機，上網搜尋「聲寶」找維修，對方到府服務，開價五千元換零件，事後他發現只要換一條兩百元的線即可解決。相關報導：假的電器維修站山寨版電器維修官網大賺黑心錢_大同冰箱知名家電維修站也有山寨版，保固期內花三仟元買教訓

藉這個機會小編來跟大家談談什麼是「Black_Hat SEO 搜尋引擎毒化」。下次找網站時，請不要心急狂亂點擊搜尋結果。

Black_Hat SEO (blackhat search engine optimization)簡單講就是採用搜索引擎禁止的暗黑作弊手法優化網站，一般我們叫SEO作弊。一般作弊的目的是透過這個方式影響搜索引擎影響網站排名。

目前這個手法被假防毒軟體廣為採用，用當時網友關心的議題，使用Black_Hat SEO 搜尋引擎毒化手法，將含有假防毒軟體的惡意頁面利用暗黑手法排到搜尋結果頁面的前幾條。假防毒軟體是以一則警告你感染了惡意軟體的警訊來散佈的。如果你同意下載任何一種他們促銷的防毒軟體，最後很有可能感染上的就是你試著要避開的惡意軟體。

以下是幾則跟Black_Hat SEO 搜尋引擎毒化有關的文章

微軟Microsoft Office 網站搜尋結果可能導向假防毒軟體

◎ 歡迎加入趨勢科技社群網站

IT 部門因網路活動劇增而擔憂無法偵測威脅

2014 年 02 月 24 日2014 年 02 月 24 日趨勢科技 TrendMicro

有些IT主管認為自己正在跟網路犯罪份子打一場艱難的戰爭。最近一份針對英國IT專家的調查顯示，許多受訪者對於自己在資料量不斷增加時對抗攻擊缺乏信心，需要擁有額外的監控能力。

這樣子的想法並不只出現在英國。世界各地的私人和公家單位都一直在努力應付網路活動劇增的狀況，其中一些和複雜性攻擊有關。最近的假期季節出現幾起值得注意的攻擊活動，像是Target零售商的資料外洩，行動應用程式Snapchat數百萬使用者名稱和電話號碼被駭，以及針對Skype的攻擊。

對於防備網路攻擊的疑慮甚至已經悄悄地進入國家安全討論。警惕著對關鍵基礎設施的威脅，英國和日本已經採取行動來解決IT系統弱點。部分美國國防部官員甚至將網路戰視為最危險的國家安全。

此一不斷高漲的IT風險意識不需要變成了恐慌，但是組織必須建立新的安全策略，不只是來自IT管理者，還要包括其他部門人員的加入，因為網路攻擊可能會中斷整間企業運作。從技術角度來看，整合網路監控解決方案和資料中心可能是直線化IT基礎設施來面對新威脅環境的關鍵一步。

RedSeal調查顯示英國對於防備能力的廣泛擔憂

RedSeal對350位英國IT專家的調查顯示他們對網路安全的疑慮。不到一半的受訪者認為自己可以如實地告訴公司高層，公司的運作可以在面對攻擊時保持安全，超過36％的人表示自己不能這樣說。

不過對這些主管來說，真正要面對的現實問題是採購流程和人員方面，而不是網路罪犯能力的突然增加。有近三分之一受訪者證實，他們忽略嚴重的漏洞是因為缺乏時間或合適的安全解決方案，有28 ％的人希望可以有更好的工具來處理網路資料過多的問題。

「網路犯罪社群知道企業已經無法處理過多的資料，而且沒有足夠的資源或工具來保護他們寶貴的資產，所以他們可以利用這些弱點，」RedSeal執行長 – Parveen Jain說道。「我們建議利用自動化解決方案，讓你可以利用可執行的情報來全神貫注在重要而脆弱的資料上。這樣一來，IT部門就能夠對全盤網路安全架構有可見性，使他們能夠捍衛自己的系統，對抗複雜性網路攻擊。」

溝通是另一常見的絆腳石，有60％的人反應說，在討論組織安全時，高層和IT部門的瞭解不同。同樣地，多數受訪者對於利用關鍵績效指標來展示進度有困難。

在攻擊偵測和回應前線要做的事

RedSeal對於企業要使用自動化解決方案的建議是第一步，特別是鑑於IT部門有監測和回應網路活動的問題。有百分之四十五的受訪者斷言，他們甚至不知道自己是否被駭客攻擊過，因為他們的系統內充斥著過多的資料，以致於不可能精確定位攻擊。

面對威脅真正問題並不完全是技術方面，有許多是跟組織如何去架構回應網路攻擊。說到財富雜誌，作者Peter Singer認為，公司的高階主管應該要更多地了解IT風險，尤其是因為70％的企業高階主管必須為公司做出關於網路安全的決定。繼續閱讀

繼山寨版 Flappy Bird 後,相似度破表的 Google Play商店,夾毒矇騙,下載 APP 請小心戒備!!

2014 年 02 月 21 日2014 年 03 月 26 日趨勢科技 TrendMicro

使用者常常會到第三方應用程式商店來下載官方商店所沒有的應用程式，甚至是盜版應用程式（比如說付費軟體的免費版）。而有些使用者則是因為官方應用程式商店在他們所在區域無法使用，只好使用這些網站。

但是連上這些網站並不是個好主意。和Google Play相較起來，第三方應用程式不一定會嚴格監控被移除惡意應用程式。所以應該將來自這些第三方網站的應用程式都視為有潛在的危險，因為使用者並無法輕易地判斷裏面是否被加入了惡意程式碼。

趨勢科技在前些日子討論了一些Flappy Bird的相關威脅。在追查的過程中，我們發現有好幾個第三方應用程式商店會散播或製造類似的危險行動應用程式。

這些第三方應用程式商店，將廣告，甚至是惡意程式碼植入到熱門應用程式內。這些應用程式會讓使用者的個人隱私陷入危險，甚至可能造成金錢上的損失 – 最近的木馬化Flappy Bird應用程式會濫用加值服務來賺錢，還會連到命令和控制伺服器來接收指令。

下面例子所舉的模仿Google Play商店的第三方應用程式商店，包含各種木馬化的知名應用程式。甚至還出現假版本的Google Play應用程式，只是它會導回自己的第三方應用程式商店。

圖一、模仿Google Play的例子

這家商店的應用程式含有額外的廣告程式碼，從這些廣告中所獲得的利潤會到網路犯罪分子身上，而非應用程式作者。會送出的資料包括使用者的電話號碼、電子郵件地址和設備資料。

圖二、廣告資料

繼續閱讀

2013年安全綜合報告：利用數位資料賺黑心錢

2014 年 02 月 20 日2014 年 02 月 20 日趨勢科技 TrendMicro

2013年也是個威脅環境充滿變化的一年（不管好的壞的）。某些威脅減弱了，有些則是顯著地成長，還有全新的威脅出現，讓使用者的日子更加難過。不過有件事是保持不變的，就是這些威脅會危害數位資料的安全。在這篇文章裡，我們要介紹一些去年所看到的威脅。這些都會在我們的綜合報告 – 「利用數位資料賺黑心錢」裡有更詳細的說明。

網路犯罪：銀行惡意軟件、CryptoLocker勒索軟體Ransomware成長；黑洞漏洞攻擊包墜落

某些和網路犯罪掛鉤的惡意軟體在2013年有顯著地成長。趨勢科技看到有近百萬的新銀行惡意軟體變種出現，這是2012年所看到數量的兩倍。大部份的成長都出現在下半年：

圖一、新銀行惡意軟體數量

有兩個國家 – 美國和巴西，佔了銀行惡意軟體受害者的一半：

圖二、受銀行惡意軟體影響最嚴重的國家

趨勢科技看到勒索軟體Ransomware活動在下半年變得更加強烈，CryptoLocker出現成為一種新的威脅，狠狠地攻擊了使用者。此一新威脅（演變自之前的勒索軟體攻擊）會加密使用者資料，需要一次支付約300美元（透過像比特幣這樣的電子貨幣支付），才有辦法將資料解密。從另一個角度來說，CryptoLocker對最終用戶來說，就跟前幾年的假防毒軟體是一樣嚴重的問題。

黑洞漏洞攻擊包（BHEK）在2013年因為其作者Paunch被捕而墜落，這是起改變威脅環境的大事件。它明顯地消減攻擊者放到垃圾郵件內的惡意連結。雖然從那時候起，有其他漏洞攻擊包也出現在威脅環境內，但沒有其他攻擊包可以達到BHEK這樣的程度。

APT-進階持續性滲透攻擊和資料外洩：仍在運作中

儘管媒體降低了關注，APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)在去年仍然持續地攻擊了世界各地的組織。我們在世界上許多地方都看到了攻擊，特別是許多亞洲國家都在這些目標攻擊的範圍內。精心策劃的攻擊活動像是EvilGrab和Safe都凸顯出現代

APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的能力和精細程度。

圖三、遭受目標攻擊的國家

料外洩事件也持續困擾著企業。像是Adobe、Evernote和LivingSocial等公司都遭受各式各樣的入侵外洩攻擊，洩露了數百萬使用者的客戶資料。像這樣的入侵外洩事件不僅會讓受害企業大失臉面，也可能讓他們因為未能保護使用者資料而陷入法律風險中。

行動威脅：行動銀行陷入大火中

行動威脅在去年持續地蓬勃發展，僅在這一年就約有一百萬個惡意和高風險應用程式出現。我們也很明顯地看到有越來越多的行動銀行威脅出現，像是PERKEL和FAKEBANK家族，這兩者都會讓行動銀行應用程式和網站使用者面臨跟其他使用者一樣詐騙和金錢損失的危險。資料竊取程式，像是銀行惡意軟體，現在是惡意/高風險應用程式的第三常見類型，只在傳統的加值服務濫用程式和廣告程式之後：