資安趨勢部落格 – 第 807 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

針對日本和中國,可客製化攻擊的 EvilGrab 產生器

2013 年 12 月 16 日2013 年 12 月 12 日趨勢科技 TrendMicro

趨勢科技最近發表對一起新攻擊活動的調查結果，這起攻擊活動稱為EvilGrab，一般針對日本和中國的受害者。這起攻擊活動仍在攻擊使用者，我們現在已經取得用來製造此次攻擊活動所用惡意程式的產生器。

在現在現實世界的EvilGrab產生器

帶我們找到EvilGrab產生器的是個偽裝成Word文件檔的惡意檔案 – 最新版本的请愿书-让我们一同为书记呐喊（请修改指正).doc.exe。檔名是用簡體中文（它的MD5值是b48c06ff59987c8a6c7bda3e1150bea1，趨勢科技將其偵測為BKDR_EVILOGE.SM）。它會連到命令和控制伺服器（203.186.75.184和182.54.177.4），分別位在香港和日本。它還會將自己複製到啟動資料夾，並且對Windows註冊表做編輯。這些都是這類型惡意軟體的典型舉動。

然而，有些被加入的註冊碼有著特殊意義：

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\settings

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\environment

這些註冊碼似乎試圖將自己注入到防毒產品的程序內。和我們之前所討論的EvilGrab樣本類似，這惡意軟件會對騰訊QQ（一個流行的中國即時通系統）進行相同檢查。

雖然惡意軟體本身並沒有特別不尋常的地方，但是分析它讓我們找到用來產生這些惡意軟體的產生器。這個產生器被確認確實存在，而且命名為Property4.exe。

我們可以看到攻擊者可以輸入好幾個欄位。其中包括了：

指定命令和控制（C&C）伺服器（IP地址或網域名稱），端口和連接時間間隔。
選擇檔案圖示（安裝檔案圖示，檔案夾圖示和文件圖示）
刪除自己
鍵盤記錄
按鍵記錄

另外，在這產生器的第二選項頁內，攻擊者可以選擇試圖繞過的防毒產品：

圖二、繞過防毒軟體

測試EvilGrab產生器

這時候，我們決定要測試這產生器的功能，並且將其所生成的檔案和之前所看到的EvilGrab版本加以比較。

首先，我們打開產生器，輸入一些基本設定來產生測試版的EvilGrab。

圖三、EvilGrab產生器

我們的輸出選擇使用微軟Word檔案圖示，檔名為New.doc.exe，如下圖所示。請注意，這微軟Word檔案圖示描繪得很精確。

圖四、EvilGrab測試樣本

除了製造惡意檔案外，還會產生一個包含連線詳細資料的設定檔。

圖五、EvilGrab設定檔繼續閱讀

APT目標攻擊使用JPEG檔案

2013 年 12 月 13 日2013 年 12 月 13 日趨勢科技 TrendMicro

趨勢科技最近看到一些來自SOGOMOT和MIRYAGO家族的惡意軟體會用不尋常的方式來更新自己：它們會下載包含加密過設定檔案/二進位程式的JPEG檔案。不僅如此，我們認為這手法至少從2010年中就開始了。我們所看到的這惡意軟體最值得注意的地方是它會隱藏自己的設定檔。這些JPEG檔案放在亞太地區的網站上，並且被用在針對這地區的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊上。

分析JPEG更新

雖然JPEG檔的內容加密過，我們還是可以解密並分析這些檔案的內容。我們可以將它們分成三類：

設定檔案（A型）
設定檔案（B型）
二進位內容（無論是DLL或EXE檔案）

第一種設定檔（A型）跟我們在其他惡意軟體所看到的類似。它包含讓惡意軟體可以執行來自攻擊者指令的資訊，更改設定/模組，並進行自我更新。這些設定內有其他惡意JPEG檔案的網址。此外，這些檔案顯示攻擊者可能已經成功入侵了目標組織，因為有些資料涉及特定的機器或個人。

第二種設定檔（B型）似乎和防毒軟體有關。它包含來自不同廠商的多種防毒產品程序名稱，以及目標網路內的主機名稱資料。這裡是一份B型檔案的部分，解碼後為：

Virus=*avp.exe*,*kavmm.exe*,*klserver.exe*|Kaspersky|*nod32kui*,*ekrn.exe*|ESET|*frameworkService*,

*zhudongfangyu.exe*|360safe|*qqpcrtp.exe*,*qqpctray.exe*|QQPCMGR|

這個設定檔比遠小於A型設定檔。此設定內的某些值也證明了感染已經到了攻擊的第二階段。

除了設定檔案外，JPEG格式檔案也包含了可執行檔案，可能是惡意軟體本身的更新，或是想要安裝到受影響系統上的新惡意軟體。

JPEG檔案託管和外觀

這些JPEG檔案放在許多網站上，大多分佈在亞太地區。有某些網站看來是合法的內容，意味著可能是被入侵後託管這些檔案。

下面是我們所看到部分JPEG檔案的截圖：

趨勢科技已經獲得這些JPEG檔案的多個樣本，並且基於這些樣本，我們認為這種更新模式最早用在2010年6月，並且使用至今。更新的頻率也都大不相同：有些幾乎是每日更新，有些的更新間隔會隔了數月。

繼續閱讀

非洲領導人去世前後,垃圾郵件以曼德拉基金會之名,進行詐財

2013 年 12 月 12 日2014 年 09 月 02 日趨勢科技 TrendMicro

納爾遜・曼德拉，是非洲最著名的人物之一，在今年的12月6日去世。這樣不幸的消息也不能阻止網路犯罪份子利用它來進行一貫的垃圾郵件活動，這次想要利用的是非洲領導人的噩耗。

讓人感興趣的是，即使在曼德拉過世之前，垃圾郵件發送者就開始利用他的名字來吸引注意力。通常網路騙子會在有新聞價值的事件發生後開始這類攻擊活動，但在曼德拉過世之前，我們就已經看到一起攻擊活動。我們在11月發現了這個特殊的樣本：

圖一、曼德拉過世前所發現的垃圾郵件樣本

這封郵件聲稱來自「曼德拉基金會」。在郵件裡面，收件者被告知自己是一項超大現金獎的（超過550萬美元）的贏家之一。為了拿到這筆獎金，使用者必須提供自己的全名、地址和其他個人識別資料（PII），並將其送到一個特定的電子郵件地址。而在曼德拉過世後，我們發現另一波垃圾郵件活動，基本上就是複製前一波的垃圾郵件，只是經過小小的修改。

圖二、非洲領導人過世宣布後所發現的垃圾郵件樣本

提供這些資料會對使用者造成危險，垃圾郵件發送者可以將其用在他們其他更邪惡的計畫裡。這些垃圾郵件也讓人想起經典的奈及利亞419騙局（Nigerian 419 Scam），一個眾所周知，提供使用者從匯款中獲利的機會，好來騙取他們的銀行資料。這種騙局還會採取其他不同的形式，包括假冒倫敦奧運和世界杯足球賽的行銷活動。雖然過時，這種騙局仍然在威脅情勢裡佔有一席之地。就在最近，我們也發現好幾個ICE IX伺服器加入散佈奈及利亞詐騙的活動。

一起有效的垃圾郵件活動不僅僅是靠所使用的漏洞攻擊碼或惡意元件的複雜社交工程陷阱( Social Engineering)誘餌的吸引力往往決定了使用者會不會在不知不覺下落入陷阱。這通常取決於攻擊活動是否能找到使用者最脆弱的地方，像是利用他們的情緒或好奇心。

曼德拉的人氣，他去世的消息，加上現金的獎勵，大概就有足夠的說服力來影響一些使用者做出錯誤的判斷，像是將資料洩漏給未經確認的對象。同樣的事情也發生最近在Facebook和垃圾郵件活動中所看到的海燕颱風詐騙活動。繼續閱讀

如何在網路購物時,看好你的錢包和個資?

2013 年 12 月 06 日2013 年 12 月 03 日趨勢科技 TrendMicro

方便、簡單和多樣化只是網路購物越來越受歡迎的眾多原因之一。以消費者為主的電子商務蓬勃發展，在2013年初來到了498億美元。較去年增加了16％。

你甚至不需要透過你的筆記型電腦或桌上型電腦購物。行動設備正在成為一種流行的電子商務方式。事實上，有十分之一花在網路上的美金是透過行動設備。

但就跟面對面的金融交易一樣，你在網路上進行購物時也要小心謹慎。網路購物往往需要詳細資料，像是你的姓名、地址、電子郵件地址和信用卡資訊，而這些都是網路犯罪分子的目標。只要記住這些小技巧，就可以幫助保護你的個人資料和你的錢。

使用私人網路，而非公共網路:

公共熱點和網路可能會吸引人在路途中也做些購物。但你是否願意在任何人（包括壞人）都可以輕易存取的網路上分享你的信用卡資料？

如果你連到同一個網路，網路犯罪份子可以窺探你的連線、竊取你的資料並劫持你的帳戶。這並不僅限於電腦。網路犯罪分子也可以窺探你的智慧型手機。壞人可以在你不知不覺中在你的設備裡放入惡意軟體。

使用公用電腦來存取你的網路帳號，增加了你被駭和資料被竊的風險。公用電腦也有可能已經感染了惡意軟體。

只在當你知道自己是連到安全的網路時進行網路購物。只要你保持你的設備和家用網路安全，你就能夠享受安全不間斷的購物時光。

使用書籤和官方應用程式

如果你會定期的上購物網站，為以後的瀏覽建立書籤。網路犯罪分子經常會利用拼寫錯誤將你導到詐騙網站。他們也可能操縱搜尋引擎結果，讓他們的惡意網站留在結果的頂部。等你發現自己身在錯誤的網站時，已經為時已晚。

隨著越來越多網站對行動使用者更加友善，也是值得去使用官方應用程式的時候。就跟書籤一樣，應用程式可以減少使用者無意間連到惡意網站的風險，特別當使用行動設備的小螢幕時，很難發現是偽造的網站。你只需要確保你從網站本身下載應用程式，因為假應用程式也很常見。

繼續閱讀

借用一下別人的 Wi-Fi 無線網路上網沒關係嗎?

2013 年 12 月 05 日2016 年 06 月 30 日趨勢科技 TrendMicro

根據Google調查顯示，國人對於智慧型手機的依賴程度高達81%，成為亞太區之冠，高過日本(80%)、香港(77%)與新加坡(73%)[註一]，顯示無論是在國內或是到世界各地遊玩，能夠隨時與親朋好友分享旅行的點滴是國人極度重視的。但是，旅途中使用的 wifi 無線網路真的安全嗎？

一份研究顯示，全世界有64％的旅館提供某種形式的免費無線網路，一般而言，提供給旅客的上網服務通常是開放的無線網路，這表示它面對任何攻擊時都不安全。對於攻擊者來說，從開放熱點截取網路、甚至是做個假熱點來執行中間人攻擊，都是輕而易舉的事。

這則新聞家庭Wi-Fi未設密碼衰遭歹徒借用盜刷,指出新竹一名林姓女子接到警方傳喚，涉及網路盜刷信用卡案件，後發現因女子住處的Wi-Fi無線網路未鎖密碼、遭人盜用。警方調查，歹徒利用木馬程式或架設網路釣魚（Phishing）假的購物網站，盜取被害人信用卡資料，再隨機尋找未設密碼的Wi-Fi無線網路，登錄購物網站，以非法取得的信用卡資料購買遊戲儲值點數等盜刷,有多人受害。

呼籲大家:

家中無線網路加設密碼
未使用時關閉無線網路分享器
不要下載不明檔案或點選不明網址，以免被植入木馬程式盜個資
如果你無法肉眼判斷網址的安全性,請務必跟信賴的網站購買,或者是▼免費下載▼PC_cillin 雲端版以紅色標示惡意網址，避免誤觸網路釣魚陷阱。

以下這篇舊文重貼,也讓大家從另一個角度看借用一下他人的 Wi-Fi 無線網路上網可能引發的安全性議題

==============================================================

在幾年前，稱為Firesheep的窺探工具,被做成瀏覽器Firefox的附加元件。壞人可以加入同一個網路，在不知情下窺探你的電子郵件、銀行登錄資料或其他資訊…

曾經有被跟踪的感覺嗎？

作者：Tony Larks（趨勢科技全球消費市場行銷副總裁）

你曾經用過公共無線網路嗎？你曾用那無線網路去檢查電子郵件或登錄個人網路帳號嗎？如果答案是肯定的，我們至少都曾經做過那麼一次，你就已經把自己和你的線上安全置於危險之中了。

借用一下的無線網路上網沒關係吧?

就像這樣的情況：您正在酒吧、餐廳、飯店大廳、機場候機室或咖啡廳。您實在不想花費網路連線費，但您卻一定要檢查一下您的電子郵件(這已是今天的第100次了)。或許您正在等待一封來自合作夥伴、父母或久未聯繫的表親的重要訊息，誰知道。不管怎樣，您發現您所在位置有不用密碼的 Wi-Fi 網路，您立刻就連了上去，就算是上上網也好，或者登入網站帳號，甚至查看一下銀行帳戶餘額。接著，您約的人來了，或是您的班機開始登機，也可能電影開始了，所以，您就關機了，看似沒什麼問題，對吧？

不幸的是，當您使用開放的 Wi-Fi 網路時，任何心懷不軌的人，都能透過一些網路上現成的工具來查看您的瀏覽階段內容。幾年前，某位資訊安全研究人員甚至將這類「窺探」工具做成知名瀏覽器 FireFox 的外掛程式 (並取名為：Firesheep)。歹徒甚至可以連上相同的網路，然後在您渾然不覺的情況下取得您的電子郵件或銀行帳號登入資訊，或是其他資訊。這可不是件好玩的事。

付費的公共無線網路也不會提供更多的保護

可別以為，您向親切的吧台人員、飯店櫃台、咖啡店老闆索取到店內的網路密碼，您就安全無虞，因為，歹徒也可能跟你一樣擁有密碼。就算是付費的開放 Wi-Fi 熱點也不會比較安全。

在眾目睽睽下保持安全

所以，您該如何是好？其實，唯一能夠防止歹徒窺探您網路流量的方式，就是連上以 “https” 為開頭的網址。這個多出來的 “s” 就是代表「安全」的意思，也就是說，進出該網站的通訊都經過加密，因此，任何網路罪犯若嘗試攔截您的流量，看到的也只是一堆亂碼。Gmail 現在已經開始採用 https，此外 Twitter 也已跟進，但是，這樣的情況還不算普遍，因此，請務必記得查看一下。另外，也要小心某些網站只在登入畫面才使用加密，登入之後又回到一般的 http 通訊，如此一來，歹徒還是看得見。

還有一些電腦超厲害的使用者會透過 VPN 服務，在其目前位置與目標網站之間建立一個加密通道，這樣就能保護瀏覽作業，但一般情況下並沒有這麼多時間來建立這道機制。繼續閱讀