趨勢科技 - 資安趨勢部落格

密碼別再12345,521314(我愛你一生一世)了~PE_MUSTAN.A 病毒鎖定 246 組弱密碼刪除檔案

2012 年 11 月 15 日2021 年 05 月 19 日趨勢科技 TrendMicro

前言: 根據2012 年駭客公布重大帳密被盜事件分析出的全球最駭密碼,「password」蟬聯榜首，緊隨其後的是「123456」和「12345678」。在大陸駭客的密碼破解字典中,還列入以下幾個必備弱密碼,中國人最愛的「666666」和「888888」，還有那甜滋滋的「5201314」（我愛你一生一世）,根據大陸某IT社區網站洩露的600多萬個帳號密碼為例，使用中文拼音、手機號碼，甚至經典詩句縮寫作為密碼的中國用戶不在少數。

趨勢科技曾多次提到密碼管理的文章,還記的下圖提到2012年【LinkedIn被盜帳號的前30大常用密碼】與 2011 年的最駭密碼排行嗎?根據最新的統計 2012 年最駭密碼, 「password」蟬聯榜首，緊隨其後的是「123456」和「12345678」。現在PE_MUSTAN.A病毒會鎖定這些強度不足密碼的電腦,進行刪除檔案的破壞。

2012年【LinkedIn被盜帳號的前30大常用密碼】 (F 開頭髒話和 ILOVEOU 都不是好主意) 646 萬筆被盜的LINKEDIN密碼被貼到俄羅斯的駭客論壇上,許多人都直接用單字當密碼，而這早已證明是種糟糕的密碼。密碼破解演算法早已收錄了這些糟糕的密碼了

小編提醒:1.跟傻瓜密碼拒絕往來 2.不同網站用不同密碼

如果帳號符合特定些使用者名稱(administrator/admin/user/test)和 246 組密碼的組合 (完整清單請參閱威脅百科內容)，該惡意程式就會取得存取權限並感染電腦上的檔案。這些密碼包含以下各類(以下僅列舉部分)

鍵盤方向順位組合:

!@#$

!@#$%

!@#$%^

!@#$%^&*

!@#$%^&*()

!@#123

!@#123456

123!@#

123456!@#

數字組合

00000000

007

100200

110

111

11111111

111222

112233

11223344

1234567890

2012

數字和鍵盤順位

1234qwer

123asd

123qaz456wsx

123qwe

abc 系列

abc

abc123

abcd

abcd1234

admin 系列

adm1n

Admin

admin!@#

admin!@#123

admin123

adminadmin

admini

administrator

alpha

asdf

單字系列

baseball

batman

computer

database

dragon

foobar

football

home

hunter

上帝系列

god

godblessyou

英文名字系列

jennifer

jordan

patrick

password 系列

ihavenopass

mypass

mypass123

mypassword

oapassword

P@ssW0rd

pa$$0rd

pass

pass0rd

pass123

pass123456

pass123word456

passpass

passwd

password

password1

pw123

pwd

Windows 系列

win

windows

windows2000

windows2003

windowsxp

我愛你系列

Love

iloveyou

iwantu

xx系列

xxx

xxxx

xxxxx

xxxxxx

xxxxxxxx

2012 年 7 月現身的 PE_MUSTAN.A 會在安全性較弱的網路上散播，而且已知會攻擊密碼強度不足的目標系統。它的源頭可追溯至 WORM_MORTO.SM，後者在一年前非常流行。儘管這種透過暴力破解方式橫行網路的手法已不算新穎，但 PE_MUSTAN 的出現證明了一些應該安全的網路依然存在著重大弱點。

如同所有的檔案感染程式一樣，這個新的變種同樣也會快速感染同一台機器上的眾多檔案。它會感染所有的 .EXE 檔案，除了下列資料夾內的檔案之外：

Common Files
Internet Explorer
Messenger
Microsoft
Movie Maker
Outlook
qq
RECYCLER
System Volume Information
windows
winnt

根據上列清單，MUSTAN 似乎想避免感染任何可能造成當機的檔案 (因為會引起注意)，所以 Microsoft 的應用程式、即時通訊程式都因而「免於」遭到感染。

此外，PE_MUSTAN.A 也會嘗試透過網路 (確切來說是「遠端桌面協定」，簡稱 RDP) 來散播，進而存取其他系統。如果使用者符合某些使用者名稱和密碼的組合 (完整清單請參閱威脅百科內容)，該惡意程式就會取得存取權限並感染電腦上的檔案。這樣的行為很類似 WORM_MORTO。

一旦進入受感染的系統，它就會將所有可能的磁碟都列為下一個目標，如：本機硬碟、可卸除式磁碟、網路共用磁碟以及遠端桌面協定 (RDP) 的預設共用磁碟 (就像 WORM_MORTO 一樣)。RDP 共用磁碟並非預設會建立的。只有當使用者執行一些額外的設定步驟，指定要透過 RDP 共用磁碟時才會建立。

此惡意程式有趣的一點是，它會利用 DNS 來與自己的幕後操縱 (C&C) 伺服器溝通。它會使用 DNS 的文字內容來取得 C&C 伺服器傳來的指令，如下所示：

在前例當中，它收到的是一串編碼過字串，解開後是用來下載其他惡意檔案以執行的連結。駭客可輕鬆利用這些檔案來竊取已感染系統上的資料，或者植入後門程式，讓遠端駭客自由進出。繼續閱讀

1位副總統候選人,2位總統 , 3位大明星,猜猜哪位用 12345 當密碼?(含12個保護密碼實用的祕訣)

2012 年 11 月 14 日2015 年 10 月 21 日趨勢科技 TrendMicro

有時候太受歡迎並不是件好事,比如這些帳號密碼被入侵的名人小甜甜布蘭妮,美國總統歐巴馬,曾為美國副總統候選人的莎拉裴琳;影星莎瑪海雅 ,”復仇者聯盟”電影中的「綠巨人浩克」馬克魯法洛,敘利亞總統阿薩德;有時候太受歡迎並不是件好事,比如一再使用這些被駭客公布最受歡迎的ˊ密碼(最多人被駭密碼),上述的名人中就有人使用 12345 當密碼,你猜得出是哪位嗎?

小編做了個小調查,發現大家對歐巴馬的”支持率”很高,約四成的人把票投給歐巴馬,而事實上答案是同為總統身分的敘利亞總統阿薩德。

根據2012 年駭客公布重大帳密被盜事件分析出的全球最駭密碼,「password」蟬聯榜首，緊隨其後的是「123456」和「12345678」。在大陸駭客的密碼破解字典中,還列入以下幾個必備弱密碼,中國人最愛的「666666」和「888888」，還有那甜滋滋的「5201314」（我愛你一生一世）,根據大陸某IT社區網站洩露的600多萬個帳號密碼為例，使用中文拼音、手機號碼，甚至經典詩句縮寫作為密碼的中國用戶不在少數。

別再12345,P@ssW0rd 當密碼了!!

仔細篩選你在社交網路上所分享的資訊,免得你像上述多數名人因為在網路上找得到的密碼提示問題遭駭,你或許透漏太多私人生活的細節，這有可能對你不利。

使用密碼管理軟體。趨勢科技PC-cillin 雲端版內建的密碼管理通可為你管理每一個網路帳號的密碼。它可自動管理多個密碼，為你省去複雜的管理程序。

被破解密碼共通性:常見的單字、縮寫、數字序列

使用者經常將密碼視為妨礙他們存取個人資料的障礙。一般典型的密碼都非常簡單，而且都使用常見的單字、縮寫、數字序列 (如：monkey、password、123456)。字典當中的常用字也經常在使用之列。請參考:【圖表】LinkedIn被盜帳號的前30大常用密碼(F開頭髒話和 ILOVEOU 都不是好主意)

對使用者來說，另一項麻煩的問題是記住自己到底有多少個密碼，還有哪個密碼對應哪個帳號。這一點正是造成使用者經常使用重複密碼的原因,10% 的使用者不論任何帳號都使用同一個密碼。.另外常見使用者不是將密碼儲存在某個 .DOC/.TXT 案就是寫在紙上。

: 10% 的使用者不論任何帳號都使用同一個密碼。.另外常見使用者不是將密碼儲存在某個 .DOC/.TXT 案就是寫在紙上。

: 10% 的使用者不論任何帳號都使用同一個密碼。.另外常見使用者不是將密碼儲存在某個 .DOC/.TXT 案就是寫在紙上。

以上這些不安全的習慣都可能導致帳號遭到入侵。因此，正確的密碼建立與管理方式應該是使用者最重要的課題。繼續閱讀

免費下載 Windows 8 ?! “Windows 8 Security System” 發出警告訊息,竟是病毒作怪

2012 年 11 月 05 日2012 年 11 月 02 日趨勢科技 TrendMicro

剛上網興致正高昂,點了一個頁面,差一點被跳出的病毒警告訊息給嚇到,說我的電腦裡被掃到好多隻病毒,這些病毒會讓瀏覽器會常常掛掉;上網速度變烏龜;銀行帳密等個人資料都會被偷光;電腦被當作網路犯罪跳板…而且這訊息是剛上市的Windows 8 Security System” 發出的….該怎麼辦?

免費下載 Windows 8 ?!是網路釣魚;還有冒充Windows 8安全程式的假防毒軟體

人們開始在談論最近所推出的新作業系統 – Windows 8了。自然地，網路犯罪分子也不會放過這個機會，利用Windows 8來散播病毒，在萬聖節製造使用者更多恐怖氣氛。

我們看到有兩個威脅會利用這款新作業系統的推出消息。第一個是典型的假防毒軟體。這個惡意軟體被偵測為TROJ_FAKEAV.EHM，當使用者訪問惡意網站時就可能會碰到。Google曾經提出的報告，網路上的惡意程式中，有15%是假的防毒軟體所造成的，而這些假防毒軟體已經進化到集團操作，可以欺騙搜尋引擎的網站排名機制，用作弊的方式讓刻意製作好的假防毒軟體的網站搜尋排序在前面,塑造高下載率的假象。

如上圖所示，這個惡意軟體會顯示假掃描結果來恐嚇使用者購買假防毒軟體，就跟一般的假防毒軟體變種一樣。那這惡意軟體有何不同之處呢？就在於它被包裝成是給Windows 8所用的安全程式。要騙你花錢買所謂的”防毒軟體”,否則瀏覽器會常常掛掉;上網速度會變烏龜;銀行帳密等個人資料都會被偷光;電腦被當作網路犯罪跳板….如果你乖乖付錢,那可就引狼入室了,你買到的是沒有防禦功能的假防毒軟體,其中的惡意程式，還可能會被偷信用卡帳號資訊。（關於更多假防毒軟體手法，請看這裡）

另一個威脅是網路釣魚（Phishing）郵件，會誘騙使用者去連上一個號稱可以免費下載Windows 8的網站。但實際上並沒有免費的作業系統，而是被導到一個釣魚網站來要求個人識別資料（PII），如電子郵件地址、密碼、姓名等可以在地下市場兜售或用於其他網路犯罪活動的資訊。

高人氣可能帶來風險

這是典型的網路犯罪份子會利用任何受注目的新技術推出，來最大化他們惡意軟體、垃圾郵件和惡意應用程式的散播。我們之前所報導過的惡意Instagram和憤怒鳥上太空應用程式，就緊接著Facebook收購這家照片分享應用程式的消息出現。同樣地，惡意版本的Bad Piggies（壞蛋豬）也緊跟著正式應用程式的推出。

為了保持安全，使用者必須保持冷靜，在點下連結或訪問網頁前先想一向，尤其是那些聲稱會免費提供最新產品或軟體的訊息。如果一件事好得太不真實，那通常就有問題。想了解更多網路犯罪份子如何透過有效的社交工程陷阱( Social Engineering)來誘騙使用者入局，我們的數位生活電子指南 –「社交工程如何運作」提供了全面的介紹。

趨勢科技 PC-cillin 2013雲端版可以偵測和刪除像TROJ_FAKEAV.EHM的假防毒軟體，並且封鎖相關網站。也會在相關垃圾郵件(SPAM)進入使用者信箱前就加以封鎖。

＠原文出處：They’re here: Threats Leveraging Windows 8作者：趨勢科技 Gelo Abendan

◎延伸閱讀

《針對Windows 8 趨勢科技推出資安防護雙APP 》SafeGuard(網頁威脅過濾器)、Go Everywhere(行動裝置定位器)

通往Windows 8安全之路：已加強，但仍顛簸

什麼是假防毒軟體 Fake AV?

【山寨版有夠詐】依 IP 更換詐騙內容, 只感染搜尋結果來源用戶….

韓國開戰假防毒軟體埋伏幕後當心“找“麻煩

Google Groups 網上論壇搜尋引擎也成被駭者

網站排名暗黑 SEO手法：美國期中選舉民調結果被假防毒軟體動手腳

搜尋 “JavaScript Unpacker “解壓縮程式嚇然發現假防毒軟體FAKEAV 程式

Blogspot 部落格被貼上垃圾訊息,內含假防毒軟體連結

當心找到假 YouTube頁面及Flash安裝器,搜尋影片勿亂看

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

: PC-cillin 2013 雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用

【立即下載試用PC-clin 2013 雲端版臉書地雷區 bye bye~】

◎ 免費下載防毒軟體：歡迎即刻免費下載試用PC-cillin 2013 即刻【按這裡下載】

◎ 歡迎加入趨勢科技社群網站

< 三個萬聖節搗蛋病毒>不給錢就搗蛋病毒+瘋狂轉載「好笑的」萬聖節動畫+南瓜糖果袋裝滿$$

2012 年 10 月 30 日2013 年 10 月 28 日趨勢科技 TrendMicro

Happy Halloween!!!

小編崔嘻今天要應景一下，祝大家萬聖節上網不被搗蛋。
你會為孩子的萬聖節裝扮傷腦筋嗎？上網搜尋”halloween costumes”看看有什麼最酷的造型吧！想必這是很多父母每年這個時候經常做的事，但提醒您想用嚇人的裝扮要糖吃之前，別被假防毒軟體嚇到了。
在這裡小編崔嘻先祝大家萬聖節快樂，有空別忘了把以下小編整理歷年有關萬聖節病毒搗蛋的文章看完，也別忘了轉寄本文提醒其他爸爸媽媽喔….

網路犯罪份子全年無休，更不會放過任何一個重要節慶的好機會來增加收益。在西方萬聖節更是網路犯罪的好時機，常用的騙局包含以下幾種。

1. 恐嚇軟體(假防毒軟體)。就如其名稱所表示的，這是一種軟體，目的在把你嚇到去做…呃，傻事。通常是以跳出視窗訊息發佈戲劇化的警訊說你的個人電腦已遭感染。當你點擊視窗去下載「安全軟體」或進入廣告中的網站時，你所下載的正是你努力防範的病毒。

2. 「好笑的」萬聖節影片。如果你收到一封電子郵件要你觀看一個影片，千萬別照做。特別是當你不認識寄件人時更是如此。而尤其更要注意的是主題含糊不清和具話題性，如「好笑的」「萬聖節」影片。點擊觀看影片時，唯一一個開懷大笑的，將是剛剛把一堆病毒下載到你電腦內的駭客。

3. 別人的萬聖節造型就是你。不要淪為身份竊盜的受害者。在社交網路網站上不要放太多的個人資料，確定你使用安全的連結進行萬聖節造型線上採買，不要使用稍經研究就可知道的資訊來做為密碼提示。

要保護自己不受此類和其它類詐騙手法的最好方法之一，就是使用可防阻進入惡意網站，過濾可疑電子郵件，和預防資料偷盜的網路安全軟體,如PC-cillin2013雲端版。

以下我們來分享三個搗蛋病毒:
搗蛋病毒1:搜尋「萬聖節裝扮」不給錢恐嚇軟體(假防毒軟體) 就搗蛋
搗蛋病毒2 如果萬聖節糖果袋裏裝鈔票…”賺更多”垃圾郵件來搗蛋
搗蛋病毒3.分享好玩動畫，公司重要機密被看光

搗蛋病毒1:搜尋「萬聖節裝扮」不給錢恐嚇軟體(假防毒軟體) 就搗蛋

萬聖節到了,不只小孩子，大人們或許也一樣在尋找最嚇人的應景裝扮。不幸的是，使用者若是在網路上搜尋最嚇人的裝扮，極可能成為一些駭人攻擊手法的受害者。趨勢科技在 “halloween costumes” (萬聖節裝扮) 的搜尋結果中按下發現搜尋許多遭入侵的合法網頁。似乎有人將這些網頁插入合法網站中，利用先前採用過的SEO搜尋引擎最佳化(Search Engine Optimization)操控手法進行攻擊（請見：百萬關鍵字遭流氓軟體綁架）。據資安威脅研究員 Lennard Galang 解釋：「在 SEO 滲透攻擊手法中經常可見，惡意程式作者會入侵一些在搜尋引擎中排行較前面的網站，這些網站彼此之間可能並無關聯。一旦成功入侵之後，他們會在網站中插入一個特別設計的網頁，目的是利用搜尋引擎或網站搜尋功能，以增加這些網頁的點閱或轉介率。」
在此案例中，遭入侵網站被插入的網頁內含許多與”halloween costumes” (萬聖節裝扮) 相關的關鍵字，藉此讓這些網頁出現在這些字串的搜尋結果中。這些網頁內含一段 JavaScript，開頭是使用者難以察覺的一連串轉向命令，最後會指向一個網頁，顯示以下訊息方塊：

圖 1. 隱藏的轉向命令最後指向這個網頁。

不出我們所料，這波攻擊行動最後的目的同樣是安裝一個流氓防毒軟體。按下訊息方塊中的 “OK” (確定) 便會下載假防毒軟體，然後出現各種警告訊息，要你買所謂的正式版防毒軟體，這是最近所發現最惡名昭彰的流氓防毒軟體之一:Mal_FakeAV6

圖 2. 按下訊息方塊中的按鈕便會下載詐騙防毒軟體
這波攻擊行動宛如一波類似攻擊行動的翻版，當時在網路上搜尋耶誕節採購的禮品同樣也會傳回有害的結果。

搗蛋病毒2 如果萬聖節糖果袋裏裝鈔票…”賺更多”垃圾郵件來搗蛋

年底了，想換工作嗎？如果你也過萬聖節，這封信可能會打動你”何不讓更多的現金，讓你的萬聖節糖果袋更加甜蜜呢？” 趨勢科技攔截到一批以萬聖節包裝的垃圾郵件，不同於以往的萬聖節找樂子主旨，該垃圾郵件以在家工作為主打，並提出在家工作的種種好處，包含：「為你的家人掙更多的錢」、「獎賞自己一部新車和假期」、「睡到自然醒」，為自己工作每一天都像度假，至於怎麼做呢？當然是「欲知詳情，請按下連結」。

目前這個連結的頁面已經被移除，趨勢科技提醒想要換工作或賺外快的人，應該到合法的求職網站，不要輕易相信不明來源的工作機會。

搗蛋病毒3.分享好玩動畫，公司重要機密被看光

你知道分享一個好玩動畫，有可能讓駭客覬覦公司的重要機密嗎？答案是肯定的。

去年萬聖節當天 Robin 在上班時利用午休空檔用 MSN 傳了一個有趣的小程式：「跳舞的骷髏」”Dancing Skeleton” 遊戲網址，給他遠在國外的朋友應景，之後他的朋友警告他那個網站含有惡意攻擊行為，因為該網址被該公司安全軟體惡意網頁防護功能所攔截，並跳出惡意網頁警告視窗。不過Robin 卻絲毫沒感覺電腦有異樣，以為朋友跟他開玩笑，經分析確認該網站內的 “Halloween.exe”這個「跳舞的骷髏」遊戲（如圖），事實上是一個利用節慶活動作為掩飾的攻擊程式一旦瀏覽該網頁將會自動下載執行，使用者將不會有任何感覺。

繼續閱讀

《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送

2012 年 10 月 29 日2012 年 10 月 22 日趨勢科技 TrendMicro

企業電子郵件流量預計會在2016年底達到1430億封

在最近幾年間，因為企業有網頁應用程式、社群媒體和消費化應用的出現，提升了商務溝通的能力。但電子郵件仍然是主要用來交換重要商業資訊的媒介。企業的電子郵件流量佔了今日全球流量的大部分。根據一項研究顯示，企業電子郵件流量預計會在2016年底達到1430億封。^註1

有73％的企業表示他們透過公司電子郵件來傳送高度機密的資料

商務溝通透過電子郵件既快速又簡單，在大多數情況下只要有網路就可以了。它可以放入足夠長度的內容，也可以用正式的格式來做資料交換。電子郵件也被認同是法律文件。

電子郵件被認為是關鍵的資訊服務。^註2 員工會認為這在工作流程中是必要的，所以零電子郵件的政策難以被落實。^註3 研究顯示，有73％的企業表示他們透過公司電子郵件來傳送高度機密的資料。^註4 有些關鍵文件包括客戶資料、產品設計，企業策略和銷售報價等等。

經由電子郵件寄送的重要資訊類別:

敏感的賠償問題 47%
併購活動 33%
可能的資遣和組織重組 45%
產品規劃藍圖 63%
預算計畫 76%

來源：PhoneFactor

電子郵件附加檔案

商務人士經常會在電子郵件內附加檔案，已經成為正常商務通訊的一部分。

微軟Word檔案：Windows 已經被企業廣泛的採用。因此，唯一和作業系統完全相容的微軟Office套件也非常的普及。^註5
PDF檔案：組織會使用PDF檔案，因為它支援多個平台，可以很容易地散布、歸檔和儲存。根據研究顯示，有90％的企業將掃描文件儲存成PDF檔案。而89％的受訪者表示，他們正在把微軟Word檔案轉成PDF檔案。^註⁶

毫無疑問的，攻擊者已經了解到利用電子郵件在目標攻擊活動裡散播攻擊工具是非常有效的作法。

目標攻擊進入點

目標攻擊或APT進階持續性威脅 (Advanced Persistent Threat, APT)是指一種威脅類型，可以長時間潛伏在網路或系統內來達到它們的目的（通常是竊取資料）而不被偵測到。