隨著勒索病毒Ransomware的數量持續下滑,虛擬加密貨幣挖礦惡意程式似乎開始崛起並取而代之。除了虛擬加密貨幣在真實世界逐漸受到關注之外,這類貨幣對網路犯罪集團還有另一項優點,那就是能讓他們躲在體制當中永遠不被發現的隱密性。
事實上,許多今日的挖礦惡意程式甚至有辦法透過無檔案的方式來感染系統。無檔案式攻擊能讓駭客將惡意程式隱藏在記憶體中,讓資安研究人員更難加以鑑識分析。
今年二月,趨勢科技發現了一個無檔案式虛擬加密貨幣挖礦惡意程式 (Fileless-DASKUS) 會利用 PowerShell (PS) 工具來感染系統。有別於 2017 年 8 月所發現的 TROJ64_COINMINER.QO,這個挖礦惡意程式並非透過 Windows Management Instrumentation (WMI) 來感染系統。而是像過去看到的 KOVTER 和 ANDROM 這兩個知名的無檔案式惡意程式一樣,利用系統登錄為感染媒介。
下圖顯示此挖礦惡意程式的感染過程:
此惡意程式與 KOVTER 及 ANDROM 利用系統登錄的方式比較如以下三圖所示: 繼續閱讀
【2018年9月12日,台北訊】由趨勢科技與關懷台灣文教基金會合作,歷時將近兩年的趨勢科技VR星際魔法巴士,正式於2018年8月底完成巡迴任務!這台由趨勢科技費時六個月精心打造的虛擬實境(VR)星際魔法車,成功將VR應用轉化為數位教育工具,以太空探索為主題,透過數位科技帶領學生跳脫二維的學習模式,化身太空人親身遨遊宇宙,從玩樂中領略天文知識。魔法VR巴士自2016 年12 月起開進台灣偏鄉,共巡迴13 個縣市、315 所學校,有近3萬人體驗。根據參與活動小朋友的問券回饋,八成以上”00後”的小朋友喜歡本次的VR體驗,並且認為擁有一技之長是件重要的事,更有超過六成的小朋友表示會主動使用VR來學習新知識。
關懷台灣文教基金會終身志工李濤指出:「世界正以難以想像的速度發展,但台灣的教育卻跟不上腳步,在教育資源相對缺乏的情況下,有許多學生在考試壓力下抬不起頭,偏鄉孩子要從傳統學科翻轉更是不容易,在台灣每五個孩子裡面就有一個,在考試成績壓力下放棄學習,尤其台灣偏鄉孩子,幾乎國中畢業就已世襲貧困。我們試圖協助在偏鄉放棄學習的孩子,用好玩的學習方式,徹底改變傳統教育的學習方式。在巴士這近兩年的巡迴中,很高興看見孩子因著好玩的方式,對學習產生興趣,透過遊戲即學習、好玩長知識的方式,讓孩子能夠從分數中解放,快樂學習,魔法VR巴士不僅大幅提升學習動機,也翻轉了以往以成績為導向的教育目標,讓生命體驗與資訊科技做結合,為偏鄉的孩子開啟了無限希望,更是為數位教育建立一個重要的里程碑,未來亦將為了能看見孩子們快樂地學習笑容,繼續耕耘努力。」 繼續閱讀
1999年美國西岸時間 3 月27日晚上 9 :00, CNN 與 NBC 電視臺大幅報導Melissa (梅莉莎) 病毒攻陷美國各大企業電子郵件伺服器的新聞。而早在電視臺公佈前的 3 個小時,也就是梅莉莎病毒出現後的1 2 小時內,趨勢科技已經最新的解毒程式放置於趨勢科技網站,同時全產品線更新完成。而其免費提供的線上掃毒服務,也在一天當中湧進 1 0萬人次。由於這在當初是前所未有的病毒型態,全球的防毒廠商除了趨勢科技,全都措手不及難以應付。這不但奠定趨勢科技在全球閘道市場的知名度,更讓企業意識到唯有閘道防毒,才能降低桌上防毒的負擔。 Mellisa 爆發以來,暴增的電子郵件病毒,突顯出傳統的單機版防毒已經不敷使用,唯有在 email 進入企業的第一道關口設置防毒牆才是關鍵。
據報導微軟、 Intel 都遭受感染,病毒擴散後的一小時內,伺服器即超過 2萬封信件。其中美國微軟採用趨勢科技的 InterScan VirusWall 成功掃毒
1988 年趨勢科技成立之初,你知道當年出現的病毒,是靠 5.25 英吋的磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史。
Melissa 是第一個利用電子郵件自動大量散播、癱瘓網路的始作俑者,於 1999 年造成全球企業 email 系統集體停擺。並提供後繼病毒作者一個依樣畫葫蘆的不良範本。過去,Internet尚未起飛的年代,一隻病毒從美國傳到台灣,可能要花上好幾個星期的時間,至此只需要 Click一下滑鼠,病毒就在瞬間傳到全球各大洲了。
Melissa (梅莉莎)不像大多數的文件巨集病毒感染模式,僅限於用戶端感染,它的目標獵物更鎖定了exchange server ,瞬間灌爆了信箱,傳播速度更令人大開眼界。
該病毒可以同時感染 Microsoft Word 97 及 Word 2000 的文件,並自動經由被感染者的 Microsoft Outlook的通訊錄發出 50 封自動郵件,藉以連鎖性的大規模散佈。當時幾乎所有的信箱都塞滿了這樣標題的信件:「 Important message from < somebody>」(PS. Somebody 是寄件人的名字) ,信件內容為:「 Here is that document you asked for….don’t show anyone else:-)」並有一個內含80個色情網站 Word 附件檔。由於這些寄件人幾乎都是公司內部的同事,或是熟識的朋友、甚至是客戶。很多人收到這些信腦中閃過的念頭是:「誰在惡作劇?!」
關於近期報導趨勢科技「竊取用戶資料」並將其傳送至未經辨識的中國伺服器,這項指控是錯誤的。
趨勢科技針對在 MacOS 上產品的隱私疑慮進行瞭解及調查,確認 Dr. Cleaner、Dr. Cleaner Pro、Dr. Antivirus、Dr. Unarchiver、Dr. Battery和 Duplicate Finder 會一次性的蒐集瀏覽器歷史快照,此快照包含下載App前24小時內的紀錄。這項一次性的資料蒐集,出於安全性目的,為了分析使用者是否曾於前述時間中遭遇惡意廣告軟體或其他威脅,並藉此提升產品與服務。這項潛在的資料蒐集與瀏覽器歷史資料使用權限,明確地於最終用戶授權協定(EULA)和資料蒐集聲明中說明,並為用戶所同意 (請參考範例 Dr. Cleaner資料蒐集聲明)。瀏覽器歷史資料係回傳至美國AWS伺服器,並由趨勢科技所管控。
趨勢科技無論任何時刻都極度重視用戶回饋意見,並決定將此瀏覽器歷史紀錄蒐集的功能從上述的產品中移除。
9/10(美國時間)更新資訊 :
對於我們社群可能產生的疑慮,我們深感抱歉。不過請放心,您的資料是安全且沒有外洩的疑慮。
我們已採取對應處理並有三點與大家說明:
第一, 我們已將有疑慮的MacOS之消費性產品(即前述之 Cleaner、Dr. Cleaner Pro、Dr. Antivirus、Dr. Unarchiver、Dr. Battery和 Duplicate Finder)中的瀏覽器資料蒐集功能徹底移除。
第二, 我們已將之前累積的所有記錄從美國的 AWS 伺服器上徹底清除。其中包括使用者在安裝時同意保存三個月的一次性瀏覽器 24 小時瀏覽記錄。
第三,我們相信問題在於這些應用程式所使用的共用程式庫當中。目前發現這項瀏覽器資料蒐集功能是設計在我們數個應用程式所共用的程式庫當中,並且以相同的方式部署,不論是資安相關或非資安相關應用程式,例如前述所討論的應用程式,對於這一點我們已經修正。
9月11日(美國時間)更新資訊:
我們確認了此狀況只出現在上述的消費性軟體。其他的趨勢科技產品(包括消費者、中小企業或大型企業軟體)都沒有使用這些消費性軟體內的瀏覽器資料收集模組或行為。 我們在收集和使用客戶資料方面一直致力於完全地公開透明,此次事件突顯出我們仍有改進的空間。為此,我們目前正在重新檢視並確認所有趨勢科技產品的使用者告知、同意流程以及所發布的資料。
9月12日(美國時間)更新資訊:
請注意,“Open Any Files” 應用程式使用上述共用程式庫。此後,我們將不再發佈或支援此產品。我們已經更新了我們前述消費者應用程式,以完全符合Apple的要求,並且正在重新提交給Apple。我們知道我們的其他應用程式也已被暫停,我們正在努力盡快解決此問題,但到目前為止,這些應用程式被暫停的依據尚未釐清。我們正在積極尋求與Apple合作的機會,以進一步了解他們的決定並解決任何問題。
在我們閱讀您的問題時,首先我們必須說明,Adware Doctor 不是趨勢科技的產品。在您的問題與某些媒體的文章中,我們意識到Adware Doctor 與趨勢科技的消費性產品被混為一談。
| 問題 | 回覆 | |
| 趨勢科技會收集會一次性的蒐集下載App前24小時內的瀏覽器記錄的App包含哪一些? | 是MacOS上的消費性應用程式,包含 Dr. Cleaner、Dr. Cleaner Pro、Dr. Antivirus、Dr. Unarchiver、Dr. Battery、以及Duplicate Finder。 | |
| 上述MacOS上的應用程式會收集什麼資料?蒐集原因為何? | 會一次性的蒐集瀏覽器歷史快照,此快照包含下載App前24小時內的紀錄。這項
一次性的資料蒐集,出於安全性目的,為了分析使用者是否曾於前述時間中遭遇惡意廣告軟體或其他威脅,並藉此提升產品與服務。 |
|
| 截至目前為止,趨勢科技採取哪些處理措施? | 我們已將前述MacOS之消費性產品中的瀏覽器資料蒐集功能徹底移除。同時也已經停用要啟動資料蒐集功能必備的後端API。更進一步,我們已將之前累積的所有記錄從美國的 AWS 伺服器上徹底清除。其中包括使用者在安裝時同意保存三個月的一次性瀏覽器 24 小時瀏覽記錄。同時也更新Dr. Unarchiver,舊版本Dr. Unarchiver 在安裝時缺少明顯的彈出式對話框讓使用者可以連接到網站上趨勢科技的使用者授權、隱私政策與資料蒐集聲明。 | |
| “Open Any Files” 是趨勢科技的應用程式嗎? | 是的,但我們已決定不再發佈或更新此應用程式。 | |
| 這些應用程式蒐集什麼資訊? | 我們的資料蒐集聲明中完整且透明地提供了有關應用程式所蒐集資料的說明。 | |
| https://success.trendmicro.com/data-collection-disclosure | ||
| 這些應用程式是否獲得使用者對資料蒐集的同意? | 是的,在安裝過程中,用戶同意終端使用者授權合約(EULA),也提供載明產品資料蒐集聲明的網頁連結。 | |
| 請注意,Dr. Unarchiver 雖然在產品介面中缺少包含終端使用者授權合約的彈出式視窗。但App商店的產品下載頁面中是包含了終端使用者授權合約的。針對這一點我們已進行改善,當此應用程式在App商店中可供下載時,即為調整後的版本。 | ||
| 媒體報導聲稱趨勢科技『竊取用戶資料』、且將資料傳至一個位於中國的伺服器,這是真的嗎? | 這是錯誤的。任何關於趨勢科技「竊取用戶資料」並將其傳送至未經辨識的中國伺服器的報導都是錯誤的。瀏覽器歷史資料係回傳至美國AWS伺服器,並由趨勢科技所管控。 | |
| 為什麼趨勢科技的應用程式會從Mac App商店中移除? | Apple 目前暫停我們的應用程式,我們正透過正式的爭議處理程序與 Apple 合作處理。我們已更新前述消費者應用程式,以完全符合 Apple 的要求,並且正在重新提交給Apple。我們知道我們的其他應用程式也已被暫停,我們正在努力盡快解決此問題,但到目前為止,這些應用程式被暫停的依據尚未釐清。我們也正在積極尋求與 Apple合作的機會,以進一步了解他們的決定並解決任何問題。 | |
10月4日 (美國時間) 更新資訊:
近幾個禮拜以來,對於趨勢科技在Apple App Store 商店上架的應用程式的後續作業, 我們持續秉持著嚴謹態度並與Apple進行密切的溝通。隨著逐步深入掌握問題的情況,在此與大家說明最新的狀況。
在9 月 10 日Apple 基於資料隱私與揭露的考量,將我們某幾款應用程式從 App Store 下架,包含6 款會蒐集瀏覽器歷史記錄的 MacOS 應用程式。我們必須再次重申,這個蒐集上傳的動作只會在安裝時執行一次,蒐集內容為安裝前 24 小時的歷史記錄,目的是為了進行安全掃瞄。因為根據我們的經驗,有很高比例的客戶都是在瀏覽惡意網址遭感染之後才去下載資安產品來安裝。所以,搜尋新的感染途徑是一項很合理的保護動作,同時也能保護使用者並防範惡意程式或廣告程式進一步擴散。這些蒐集到的瀏覽器歷史記錄檔案會經由安全的方式上傳至位於美國的一台 AWS 伺服器,並由趨勢科技負責管理與掌控,這些收到的歷史資料檔案會隨機命名,因此無法透過使用者的身分來編製索引或進行搜尋,且會根據我們的 GDPR 政策在三個月後自動清除。這些資料從未與任何第三方對象分享,更不會用來賺取廣告利潤,或者用於任何其他非保護使用者相關的用途。
儘管我們相信這資料蒐集動作和使用方式完全合乎 GDPR 以及其他隱私權法規的規範,但我們也在初步調查之後發現了少數幾項問題,包括導致某些非資安相關應用程式也會蒐集瀏覽器記錄的共用程式碼模組的問題,以及付費應用程式沒有再次提供同意蒐集匿名使用者資料的選項給使用者進行同意確認,為此我們立即在更新版本中加以修正。針對以上的問題,我們再次感到抱歉,也希望客戶能了解這些資料從未外流或用於其他非資安相關的用途。
至目前為止我們已經採取的動作
因應 Apple 的決定以及社會大眾關於瀏覽器歷史資料的疑慮,我們已立即停用了歷史資料蒐集的應用程式開發介面 (API),並且刪除了 AWS 上所有已蒐集的資料,此外也從有疑慮的相關應用程式當中移除了資料蒐集模組。此外,我們也在所有上架到 App Store 的適用產品當中都增加了一道讓使用者同意我們蒐集匿名資料的程序,並在一開始遭到下架後的幾天之內便將新版的應用程式重新送交 Apple 審查。但新版應用程式須等到Apple完成應用程式審核後才能提供使用者使用,我們相信此問題目前已有不錯的進展,也相信部分的應用程式很快就能重新上架。
自從我們的應用程式遭到下架以來,我們一直透過 Apple 的正式申訴管道來讓我們的應用程式能重新在 App Store 上架。過去幾週以來,我們已和 Apple App Store 負責審查的團隊代表直接接洽以確保雙方對於該如何讓應用程式重新上架都有清楚的共識。同時,我們內部也在同步進行一些改進,以提升我們所有 App Store 上的產品透明度。
著眼未來
身為一家資安廠商,我們非常嚴肅看待隱私和法規遵循的問題,並且一向秉持客戶優先的原則。對於 Apple 致力保障消費者隱私的做法我們相當支持,並且也會藉由這次的機會,進一步改善我們自己的作業方式,不單只為了達成法規的基本要求,更為了提升客戶的信賴與使用體驗。
為了提升使用者的信賴與體驗,我們將採取以下幾項作法:
由於應用程式審查與更新流程需要一段時間,因此,非常感謝您的耐心和支持。我們有信心已清楚明瞭該做哪些更新才能符合(並且希望能超越) Apple 與客戶的期望。
1988 年趨勢科技成立之初,你知道當年出現的病毒,是靠5.25英吋的磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史。
我們將分期為大家介紹《1988-2018 資安威脅演變史 》中,造成全球重大損失的病毒與攻擊手法事蹟
本期介紹暗黑台灣之光:1999年上遍全球各種語言版本媒體的 CIH 病毒
1999年台灣有兩件災難事件上了國際版面,一個是921大地震,另一個就是被形容為「 電腦大屠殺」的CIH 病毒。1999年4 月一張似笑非笑的台灣人臉孔上遍各種語言版本的報紙,他就是陳盈豪,1998年製造出以他英文名字縮寫CIH(Chen Ing Hau )為名的病毒。由於CIH 設定在4/26 為發病日,當天正巧也是俄羅斯車諾比核電廠爆炸的日子,國外媒體便稱此病毒為「車諾比病毒」。
CIH 病毒, 不僅會格式化硬碟、還會破壞開機區的 BIOS,在潛伏近一年後攻陷歐亞美洲,尤以盜版猖獗區域尤甚。原本陳盈豪將會覆寫磁碟開機磁區的 CIH 病毒,儲存在當年就讀大學的校內電腦,因同學使用了電腦而將病毒攜出。一般認為後來經由盜版軟體散布,但也有可能因為人為疏失而隨一些商用軟體出貨。
該病毒光在南韓就造成了 25 萬台電腦感染與 2.5 億美元的損失。這起案件被形容為「電腦大屠殺」。由於台灣當時並無相關法令能夠處罰他,陳盈豪獲不起訴處分,此事件後台灣刑法修訂了第36條規範駭客的網路破壞行為,又稱為「陳盈豪條款」。
1998年 6月初 CIH 僅在台灣現身時,當年大四的陳盈豪在 BBS 承認自己是該病毒的始作庸者時,便開始遭到如下的撻伐:
「希望這位作者以後多積點陰德.
在這種期末報告最多的時候,很多人幾乎天天要用電腦趕報告
可知道這樣會造成多嚴重的影響嗎?
一堆重要的資料都存在電腦裡.
掛掉了一大半,後天就要交件,全部都要重做!(之前花了兩週的時間寫的)
現在已經在被當掉的邊緣了.因為那是期末作業!
本來我是 2002 年的畢業生.現在不知道還是不是了!
混蛋….多積點德吧你..]
「在大同資工的板子上看到的。這個變態當初還得意洋洋的!
對!我真想砍他,忙著趕東西時,害我不敢在電腦上工作一個多星期!
想打電話給大同校方,看他們怎麼處理這個唯恐天下不亂的混帳。
還將校名用上去,構成破壞校譽了吧?」