《上網時間倒數中》FBI稱 57 萬電腦被駭,感染 DNS Changer 電腦, 7月 9 日後無法上網,即刻檢查!!~為何清除電腦上的DNS Changer(域名系統綁架病毒)很重要?

7 月 9 日後,您還能繼續上網嗎 ? 趨勢科技提供讓您對電腦進行自我檢驗步驟,立即檢查

 去年趨勢科技協助 FBI 破獲史上最大殭屍網路DNS Changer(域名系統綁架病毒)之後, FBI發現若是直接關掉駭客犯罪用伺服器,中毒的 50 多萬電腦將無法連上網路。因此美國政府設立了替代伺服器,讓尚未修復的電腦可以正常上網,。FBI原先預定在今年3月8日關閉替代伺服器,但美國聯邦法院要求繼續提供DNS服務,給感染電腦多一點緩衝時間處理,但礙於經費,FBI已決定美國時間7月9日關掉伺服器,屆時數十萬尚未清除病毒的中毒電腦就會連不上網路。

趨勢科技呼籲大家立即檢查是否感染DNS Changer,因為FBI即將於7月9日關閉服務遭感染電腦所使用的DNS伺服器,屆時未修復的設備將無法上網。
✔即刻免費下載PC-cillin 2012掃瞄系統,清除電腦上感染的 DNS 竄改木馬程式

為何清除電腦上的DNS Changer(域名系統綁架病毒)很重要?

犯罪史追朔到2007年DNS Changer(域名系統綁架病毒) 除了讓你無法連上網際網路之外,網路犯罪者還可能利用(域名系統綁架病毒)側錄鍵盤輸入,或者將受害電腦當做代理器 (proxy) ,將別的使用者導向假冒的網路銀行或社交網站。因此,歹徒可藉此竊取您和他人的網路銀行與社交網路密碼。

DNS Changer(域名系統綁架病毒)是由Rove Digital這個網路犯罪集團控制,Rove Digital看起來是一個位在塔爾圖的正常IT公司,一個每天早上都有人來上班的辦公室。但實際上,這個在塔爾圖的辦公室控制著數以百萬計,位在世界各地的中毒電腦,每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。 

賺進數百萬美金黑心錢的Rove Digital駭客集團的 "CEO",這名駭人不淺首腦已經被逮捕
賺進數百萬美金黑心錢的Rove Digital駭客集團的 "CEO",這名駭人不淺首腦已經被逮捕

每天都有人到駭客集團所成立的 Rove Digital 公司上班,主要業務:控制著數以百萬計中毒殭屍電腦,獲取數百萬美金的不法所得。

這個網路犯罪集團控制了每一個環節,從植入木馬到透過中毒的傀儡殭屍電腦來賺錢。它是一間愛沙尼亞的公司,稱為Rove DigitalRove Digital是許多其他公司(像是Esthost、Estdomains、Cernel,UkrTelegroup和許多較無人知的空殼公司)的母公司。

Rove Digital看起來是一個位在塔爾圖的正常IT公司,一個每天早上都有人來上班的辦公室。但實際上,這個在塔爾圖的辦公室控制著數以百萬計,位在世界各地的中毒電腦,每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。

Rove Digital 已在 2011 年 11 月 8 日遭到破獲,該公司最為人所知的惡行就是散播 DNS 竄改木馬程式來協助其從事其他不法行動。駭客在四年內利用廣告詐欺獲利超過1400萬美元。若要了解 Rove Digital 的網路犯罪歷史,請參閱趨勢科技 TrendLabs 的圖文解說: 「The Rise and Fall of Rove Digital」。

 

認識DNS(Domain Name System)伺服器與 DNS Changer 的偷天換日

IP地址就像是我們寄信的地址一樣,沒寫地址郵差先生沒法把信送給收件人。網路上的每台主機都有唯一的IP地址,電腦的位址不是用文字而是用四個數字表示。如xxx.xxx.xxx.xxx。但是一般人無法記住這些數字,這時DNS(Domain Name System)伺服器就發揮作用了。DNS伺服器能將易讀好記的網域名稱解析成IP位址。大部分網路使用者都會自動使用網路服務業者的DNS伺服器。

當你在網址列輸入像www.trendmicro.com.twwww.pccillin.com.tw的網址時,其實會先連到DNS(Domain Name System)域名系統,找出該網站對應的數字IP 位址,才能連上該網站。

DNS Changer(域名系統綁架病毒)會把你的DNS連線偷偷換掉, 使用惡意人士所設立DNS伺服器,用來將特定的網域解析成惡意網站的IP位址。因此,受害者會在不自覺的情況下被導到惡意網站。犯罪集團可以透過很多方法來賺黑心錢,包括更換受害者所訪問的網站廣告,劫持搜尋結果或是植入其他惡意軟體,如假防毒軟體等。

 

◎ 【7月9日後您的網路還能正常連線嗎?】 FBI稱全球約 57萬台電腦被駭, 7月9 後,中毒電腦不能上網!!7月9日後您的網路還能正常連線嗎?
FBI稱全球約 57萬台電腦被駭, 7月9 後,中毒電腦不能上網!!

遭 Ghost Click DNS 竄改程式伺服器關閉倒數計時中搶救您電腦上網功能的黃金時間正一點一滴流失…
立即檢查

 

立即免費下載趨勢科技的PC-cillin 2012來掃瞄系統。清除您電腦上感染的 DNS 竄改木馬程式。

@延伸閱讀:
讓 57 萬台電腦遇駭的駭客集團 ROVE DIGITAL (DNS Changer開發者) 近 10 年的起落

繼續閱讀

冒用美國銀行、花旗銀行、PayPal、亞馬遜(Amazon)、AT&T等組織發布的網路釣魚攻擊信,有增多趨勢

冒用美國銀行、花旗銀行、PayPal、亞馬遜(Amazon)、AT&T等組織發布的網路釣魚攻擊信,有增多趨勢

 一樣的手法,更多樣化偽造的對象:目前的黑洞漏洞攻擊垃圾郵件(Black Hole Exploit Kit spam)

 如同趨勢科技之前文章所提到的,有一連串黑洞(Black Hole)垃圾郵件(SPAM)攻擊持續地在肆虐著,這些攻擊通常一開始來自垃圾郵件(SPAM),裡面夾帶了指向已被植入漏洞攻擊碼的淪陷網站連結,藉以將ZeuS木馬變種安裝到使用者電腦上以竊取敏感資料。這篇文章主要是更新當下黑洞漏洞攻擊垃圾郵件垃圾郵件(SPAM)的活動狀況。黑洞漏洞攻擊垃圾郵件(SPAM)已經出現好一段時間了。直到目前為止,它依然是十分的活躍。這些垃圾郵件攻擊對於那些被冒名的組織、入侵淪陷網站的經營者還有那些受到這些網路釣魚(Phishing)攻擊的使用者來說,都是嚴重的問題。不過我們透過分析大量資料加上趨勢科技主動式雲端截毒服務  Smart Protection Network所提供給使用者用來解決這些垃圾郵件(SPAM)的方法,仍然可以有效地偵測並抓到這些攻擊者發送的郵件。

 黑洞漏洞攻擊垃圾郵件的變化

 趨勢科技最近注意到,惡意份子除了繼續使用著之前的相同的策略外,又新利用其他正常組織做為幌子來發送垃圾郵件。具體來說,他們的垃圾郵件(SPAM)會假冒成合法電子郵件,以誘騙使用者點擊郵件中的連結。攻擊者一開始會透過含有入侵淪陷網站連結的垃圾郵件(SPAM),將使用者重新導到藏有惡意軟體的網站。就像前面所說,不同的是被用來做為幌子的組織變多了。

 

最近的攻擊活動有著多樣化的幌子

 下表是最近發生過的攻擊潮,包括被黑洞漏洞攻擊垃圾郵件(SPAM)所冒用的組織名稱以及日期:

 

日期

組織

五月29日

美國銀行(Bank of America)
威訊(Verizon)

五月30日

PayPal
花旗銀行(Citibank)

五月31日

Monster
Windstream

六月一日

Century Link
Detroit Basketball
The HoneyBaked Ham Company
Ticketmaster
LinkedIn

六月三日

美國聯邦儲蓄系統(The Federal Reserve System)

六月四日

威訊(Verizon)

六月五日

亞馬遜(Amazon)
AT&T
PayPal

六月六日

AT&T
花旗銀行(Citibank)
Craigslist
惠普(Hewlett-Packard)

六月七日

LinkedIn

 

感染鏈範例

 下圖是黑洞漏洞攻擊垃圾郵件(SPAM)假冒成Amazon、AT&T和PayPal進行攻擊的感染鏈。這只是一個範例,用來描述我們的專家所追蹤的大規模垃圾郵件攻擊,並且當攻擊發生時推出解決方案:

 

黑洞漏洞攻擊垃圾郵件(SPAM)假冒成Amazon、AT&T和PayPal進行攻擊的感染鏈範例
黑洞漏洞攻擊垃圾郵件(SPAM)假冒成Amazon、AT&T和PayPal進行攻擊的感染鏈範例

 

想要解決黑洞漏洞攻擊,最好是專注在感染點。既然電子郵件是最初的起點,那麼偵測這些網路釣魚(Phishing)就是種有效的方式去打擊這種威脅。

 

@原文出處:Same Operation, Diversification of Targets Being Spoofed: Current Black Hole Exploit Kit Spam Runs作者:Sandra Cheng(產品經理)和Jon Oliver(資深技術總監)

 

@延伸閱讀

LinkedIn、美國航空、Facebook、美國運通、PayPal和CareerBuilder 成網路釣客愛用誘餌

Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體

即刻免費下載防毒軟體 PC-cillin 雲端阪【立即下載試用PC-clin 2012 雲端版 臉書地雷區 bye bye~

 

免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

 

@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>100字推文

◎ 歡迎加入趨勢科技社群網站

 

 

什麼是 IPV6?跟你有何關係?

何謂IPV6?跟你有何關係?

作者:Tony Larks(趨勢科技全球消費市場行銷副總裁)

你可能聽過IPv6幾次,也曾想問這到底是什麼東西。嗯,今天之後它就會變得更加重要了:IPv6正式啟用的日子。

被認為是網際網路發展的一個重要里程碑,就在這一天,主要網站像是Google和Facebook,主要網路服務供應商和家庭設備廠商(像是製造你所用無線基地台的廠商)會在其產品和服務開始啟用IPv6。所以它到底是什麼?你為何需要在意?它會讓你更安全嗎?

它是什麼?

當你在瀏覽器輸入一個網址,它實際上會被轉換成一組數字,也就是IP地址,用來識別網路上的網站。不幸的是,目前所用的系統 – IPv4會提供約43億個地址,已經要用完了。得感謝網站驚人的普及度和全世界連網設備的龐大數量,而且還在不斷成長中。

 

為了確保網際網路能持續平穩地運作,發明了IPv6以提供比IPv4多出億萬倍以上的地址。唯一的問題是這兩套系統並不直接相容。

 

使用者可能需要升級他們的連網設備(筆記型電腦、智慧型手機和平板電腦等)以及家庭網路設備像是路由器。而網路服務供應商也需要升級他們的網路,網站管理者也要改變他們的網路架構。

 

我該怎麼做?

好消息是,IPv4和IPv6會並行運作一段很長的時間,所以就算你還是使用舊系統,也不會有突然斷線的危險。另外,為了讓這轉換更容易,其實目前大多數的作業系統,包括Linux、Windows Vista或更新版本以及Apple Mac OS X或更新版本都是預設啟用IPv6的。但你的家庭路由器等網路設備可能會出現問題,最終需要換成可使用IPv6的版本。

ISP相關問題

網路服務供應商需要升級他們的網路以支援IPv6,好讓你使用IPv6的設備可以在網路上連到使用IPv6的網站。不過有很多人都想要去推遲這轉變,試圖去延長使用現有IPv4地址的時間。這可以利用被稱為大型網路地址轉換(Large Scale Network Address Translation)的技術,有效地讓大量的IPv4設備共用一個IP地址。不過根據一項新的報告,它可能會影響網路服務品質。

一群被稱為寬頻網路技術諮詢小組(BITAG)的工程師警告說,如果ISP使用這項技術,當一個家庭同時間使用網路設備存取某些應用程式(像Google Map或iTunes)時,有可能會發生問題。而共享一個IP地址也會讓他們面臨更大的風險,因為駭客只要攻擊一個地址就能感染所有連接上來的設備。

你或許該問問你的ISP以確認他們IPv6的轉換時間表,並確保你的服務在這段時間內不會受到影響。

注意安全

對消費者來說,IPv6在很大程度上是種無形的升級,卻可以讓大量的家用電子設備(包括冰箱、電視、音響、甚至微波爐)能夠聰明地透過網路互相溝通。不過最重要的是要記住,不論你用什麼網路協定,駭客威脅都還是一樣的。

IPv6沒辦法保護你免於惡意軟體、垃圾郵件(SPAM)、網路釣魚(Phishing)、身份竊取或其他任何的威脅。因此要保持警覺,確認你的安全軟體、作業系統和瀏覽器都更新到最新狀態,不要打開任何可疑電子郵件的附加檔案或點擊社群網站內的可疑連結。

@原文出處:IPv6 – Why Should I Care?

@延伸閱讀:

惡意PowerPoint文件夾帶漏洞攻擊及後門程式

趨勢科技發現有一個惡意PowerPoint簡報檔,會以郵件附加檔案的形式攻擊使用者。這個檔案內嵌一個Flash檔,它會攻擊特定版本Flash Player的漏洞(CVE-2011-0611)來將後門程式植入到使用者的電腦內。

惡意PowerPoint簡報檔,會以郵件附加檔案的形式攻擊使用者。這個檔案內嵌一個Flash檔,它會攻擊特定版本Flash Player的漏洞(CVE-2011-0611)來將後門程式植入到使用者的電腦內。
惡意PowerPoint簡報檔,會以郵件附加檔案的形式攻擊使用者。這個檔案內嵌一個Flash檔,它會攻擊特定版本Flash Player的漏洞(CVE-2011-0611)來將後門程式植入到使用者的電腦

 

一旦使用者打開惡意PPT檔案就會觸發Flash檔內的Shellcode來攻擊CVE-2011-0611漏洞,接著將「Winword.tmp」放入Temp資料夾中。它同時也會產生一個非惡意的PowerPoint簡報檔「Powerpoint.pps」,以矇騙使用者認為這只是一般的簡報檔案。根據趨勢科技的分析,「Winword.tmp」是一個後門程式,它會連到遠端站台跟幕後黑手進行通訊。它也可以下載並執行其他惡意軟體,讓受感染系統面臨更可怕的威脅,像是進行資料外洩資料竊取的惡意軟體。

 

趨勢科技將這個惡意PowerPoint檔案偵測為TROJ_PPDROP.EVL,產生的後門程式偵測為BKDR_SIMBOT.EVL。根據報導以及趨勢科技的分析,都可以看出過去的目標攻擊也用過這類惡意軟體。

趨勢科技將這個惡意PowerPoint檔案偵測為TROJ_PPDROP.EVL,產生的後門程式偵測為BKDR_SIMBOT.EVL。根據報導以及趨勢科技的分析,都可以看出過去的目標攻擊也用過這類惡意軟體。
趨勢科技將這個惡意PowerPoint檔案偵測為TROJ_PPDROP.EVL,產生的後門程式偵測為BKDR_SIMBOT.EVL。過去的目標攻擊也用過這類惡意軟體。

繼續閱讀

[圖表] APT攻擊的 5 個迷思與挑戰

一般的資安解決方案可以對抗進階APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)嗎? APT是特別設計用來從組織內部蒐集特定檔案的嗎?資料外洩事件是APT造成的嗎?今天IT團隊所面臨的挑戰是如何保護他們的網路來對抗APT – 人所發起的電腦入侵攻擊會積極的找尋並攻陷目標。為了幫助企業制訂對抗APT的策略,趨勢科技TrendLab準備了資料圖表來說明入侵的各個階段。

通過分析攻擊的各階段,IT團隊可以了解對自己網路發動攻擊會用到的戰術和運作。這種分析有助於建立本地威脅智慧 – 利用對特定網路所發動攻擊的緊密知識和觀察所發展的內部威脅資料。這是消除由相同攻擊者所發動之攻擊的關鍵。我們的研究人員所確認的階段是情報收集、進入點、命令和控制(C&C)通訊、橫向擴展、資產/資料發掘和資料竊取。

在現實狀況下要處理APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)A各階段的攻擊比一般的網路攻擊要更加困難。比方說,在資產發掘階段,攻擊者已經進到網路內部來找出哪些資產具有價值好加以攻擊。資料外洩防護(DLP)策略可以防止存取機密資料。然而,根據一項調查顯示,雖然公司的機密資訊佔全部資料的三分之二,但是大概只編列了一半的資安預算來加以保護。

更多詳情都會在這資料圖表內加以描述,「找出APT的全貌」。

 

找出APT的全貌

APT(進階持續性威脅)是攻擊者針對鎖定的公司和資源。通常會用目標員工的社交工程攻擊開啟一連串攻擊的開端

 

找出APT的全貌
APT(進階持續性威脅)是攻擊者針對鎖定的公司和資源。通常會用目標員工的社交工程攻擊開啟一連串攻擊的開端

 

APT攻擊的六個階段

獲取目標IT環境和組織架構的重要資訊

情報收集

31%的雇主會懲處將公司機密資料貼到社群網站上的員工

 

進入點

利用電子郵件、即時通、社群網路或是應用程式弱點找到進入目標網路的大門

 

找出APT的全貌
找出APT的全貌

 

一項研究指出,87%的組織會點社交工程攻擊誘餌所帶來的連結,這些連結都是精心設計的社交工程誘餌

 

命令與控制 : C&C 通訊

APT攻擊活動首先在目標網路中找出放有敏感資訊的重要電腦

主要的APT攻擊活動利用網頁通訊協定來與C&C伺服器通訊,確認入侵成功的電腦和C&C伺服器間保持通訊

在目標網路中找出放有敏感資訊的重要電腦

  繼續閱讀