趨勢科技 TrendMicro – 第 546 頁

< WS 2003 EOS >你為Windows Server 2003終止支援做好準備了嗎？

2015 年 04 月 16 日2015 年 07 月 27 日趨勢科技 TrendMicro

如果你跟其他成千上萬公司一樣正在使用著 Windows Server 2003( WS 2003)。你的業務運作很可能正依賴著它。但當微軟在7月14日停止對此平台的支援終止支援( WS 2003 EOS)後，會對你重要的關鍵系統所造成的潛在影響尚未明瞭。但至少我們預期黑帽駭客會研究新的漏洞攻擊，針對仍然繼續使用此平台的企業用戶。

所有的公司最終都必須轉移到新版伺服器上，但對於無法趕及七月期限的公司來說，趨勢科技 Deep Security 可以保護你的組織，讓關鍵系統繼續平順地運行。在你計畫轉移到較新平台（如微軟的Windows Server 2012或Azure）時，趨勢科技可以幫你保護還在使用中的Windows 2003環境 — 而當你轉移到新平臺後，我們還可以繼續保護新的環境。趨勢科技Deep Security 會在2015年7月14日終止支援期限後繼續提供Windows 2003支援和防護，我們讓你可以透過單一平台來保護現有和新的伺服器。

倍增的威脅

如果過去幾個月帶給我們任何教訓，那就是IT團隊必須將任何運行中的軟體保持在最新版本。如 Shellshock、Heartbleed心淌血漏洞和 FREAK 等知名漏洞可能會嚴重影響破壞公司對安全性所做的努力，也將敏感性資料置於危險之地。在7月14日後仍然使用Windows Server 2003的公司所要面對的問題是，微軟不再發布安全性更新以保護系統免於此類漏洞。繼續閱讀

殭屍復活：「重新導向到SMB」漏洞

2015 年 04 月 15 日2015 年 05 月 19 日趨勢科技 TrendMicro

一個已經有18年的「重新導向到SMB( Redirect to SMB )」漏洞透過新攻擊手法而復活。此漏洞可以被用來將受害者重新導到一個惡意伺服器訊息塊（Server Message Block – SMB) 伺服器，除了存取網站外，無需使用者進行任何動作。

如果SMB安全策略不夠安全，SMB客戶端會嘗試發送身份驗證請求給惡意伺服器，並透過網路發送認證憑據。即使SMB認證憑據有經過加密保護，今天的暴力破解法已經可以在許多情況下破解認證憑據。

這種舊漏洞的新攻擊方式現在使用位置標頭為「location: File://192.168.0.1/share/doc.」。file://協定標頭可以在HTTP內透過標籤使用，像是<img>和<iframe>。

重要的是要考慮到此漏洞是新手法用上已經存在很久的舊漏洞。根據我們的研究，這個漏洞會影響Internet Explorer；而使用Windows API函數（透過URLMON.DLL）的應用程式也有此漏洞。

這種攻擊現在可以無需任何使用者互動就進行。關於此漏洞重要的是要了解什麼是「HTTP重新導向」。繼續閱讀

日逾8萬台電腦感染網銀病毒,破解雙重認證,非法轉帳

2015 年 04 月 14 日2015 年 04 月 14 日趨勢科技 TrendMicro

日本「東京警視廳」「網路犯罪對策課」日前表示，他們已經發現，約八萬兩千台電腦，感染了一種叫「VAWTRAK」新型病毒，會非法轉帳網路銀行存款。

為了加強網上銀行安全，不少銀行都會要求客戶根據手機，輸入只能使用一次的驗證碼。不過東京警視廳發現有駭客利用新型電腦病毒及釣魚網站，成功盜取受害者的驗證碼，將受害者的存款暗中轉帳到其他戶口。過去一年同類個案多達一千八百宗，涉及金額共二十九億日圓。

日本石川縣一名女子去年八月舉報她遭駭客盜取驗證碼，從戶口盜走九十六萬日圓。警方發現受害者的電腦感染VAWTRAK病毒，當登入網路銀行後，畫面出現要求輸入驗證碼的假網站，只要受害人輸入相關資料便中招，在受害人毫不知情的情況下非法轉帳。

日本警視廳表示，日本感染這種新型病毒的電腦，大約有四萬四千台。其餘分佈在歐美與亞洲等幾十個國家，日方已經透過「國際刑警組織」，向各國提供相關資訊。

以下是趨勢科技在今年初對該病毒所做的分析:

銀行木馬VAWTRAK利用惡意巨集及Windows PowerShell

趨勢科技在去年看到Windows的PowerShell命令列如何被惡意巨集下載程式用來散播ROVNIX。雖然在11月的攻擊並沒有直接的利用PowerShell功能，我們現在看到銀行木馬VAWTRAK濫用此Windows功能，同時也利用微軟Word內的惡意巨集。

銀行木馬VAWTRAK跟竊取網路銀行資料有關。被針對的銀行包括美國銀行、巴克萊銀行、花旗銀行、匯豐銀行、勞埃德銀行和摩根大通。過去也看過一些變種針對德國，英國，瑞士和日本的銀行。

通過「聯邦快遞」垃圾郵件到達

感染鏈開始於垃圾郵件。大多數和此感染相關的郵件都偽裝成來自聯邦快遞（FedEX）。這些假郵件通知收件者包裹寄達，還包含了送件號碼。

圖1、「聯邦快遞」垃圾郵件

繼續閱讀

刑事局:假 Gmail異常登入通知,真騙密碼!

2015 年 04 月 14 日2021 年 07 月 15 日趨勢科技 TrendMicro

「有人已取得您的帳戶密碼請登入gmail重設密碼」「您的密碼已遭外洩，請採取行動以保護帳戶」「Facebook:最近出現一項錯誤,導致你被登出帳號。我們已經找到並修正這項錯誤。請前往fb:// xxxx 重新登入。」收到這類個通知,請務必冷靜,別急著點選連結。

建議民眾使用在接觸到可疑詐騙網址前可搶先攔阻的防毒軟體,比如跨平台的PC-cillin 雲端版，透過最新網頁偵測技術，自動封鎖惡意網頁及詐騙網址，在接觸到可疑詐騙網址前搶先攔阻，大幅減少個資外洩及錢財損失的風險！🔻 即刻免費下載試用

刑事警察局165反詐騙諮詢專線近期接獲檢舉，指稱其Google電子郵件( Gmail )接獲疑似假冒以 Gmail 名義發送之釣魚信件，內容為「已經成功攔阻帳號免遭到駭客入侵，並明確標明入侵時間、IP與地點」，要求郵件使用者點選信件下方【重設密碼】選項，實為竊取民眾帳號、密碼。由於近年Google服務跨越電子郵件、行動電話作業系統、行動軟體(Google Play)及電子錢包(Google Wallet)等領域，均由帳號、密碼控管，遂成駭客覬覦目標。

Google 官方網站說明:某些駭客會偽造「系統已阻止可疑的登入」電子郵件的內容，藉此竊取他人的帳戶資訊。目前沒有確切方法能確認這封郵件的來源，對於這點我們深感抱歉。收到下列電子郵件時，建議您提高警覺：要求提供個人資訊 (例如使用者名稱、密碼或其他身分識別資訊)，或是將您導向必須提供個人資訊的網站。」

刑事局建議:

收到異常登入訊息的電子郵件時可檢視Gmail下方的「上次帳號活動時間」，查看詳細資料以瞭解最近登入IP及使用情形，核對帳號是否真的被盜用登入。
善用Gmail的雙因素認證工具，加強對帳號的防護。
接到疑似釣魚郵件，可利用Google官網查證，並檢舉釣魚郵件申請停權
未經查證不要點入陌生網址輸入帳密，以免造成隱私、財產的損失。

GOOGLE — Google 官方網站說明:某些駭客會偽造「系統已阻止可疑的登入」電子郵件的內容，藉此竊取他人的帳戶資訊。目前沒有確切方法能確認這封郵件的來源，對於這點我們深感抱歉。收到下列電子郵件時，建議您提高警覺：要求提供個人資訊 (例如使用者名稱、密碼或其他身分識別資訊)，或是將您導向必須提供個人資訊的網站。

繼續閱讀

趨勢科技協同 INTERPOL 國際刑警組織破獲SIMDA殭屍網路行動

2015 年 04 月 14 日2015 年 04 月 14 日趨勢科技 TrendMicro

趨勢科技資安專家也將於 INTERPOL World 2015 世界大會發表演講

【台北訊】全球資安軟體領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 長久以來致力提倡全球公私部門合力打擊網路犯罪，今日公開表示參與了國際刑警組織 (INTERPOL) 的 SIMDA 「Botnet傀儡殭屍網路」

破獲行動，與其他資安及科技領導廠商共同協力鏟除一個大型的「Botnet傀儡殭屍網路」。除參與這項行動之外，趨勢科技專家也將於 4 月 14 至 16 日在新加坡舉行的第一屆 INTERPOL World 2015 大會當中，為全球執法及安全機關介紹最新的防護技術。

趨勢科技執行長暨共同創辦人陳怡樺表示：「想要掌握並遏止有特定組織在背後支持的縝密網路犯罪攻擊，最重要的關鍵就在於科技、資安與執法專家之間的協同合作。SIMDA 殭屍網路破獲行動再次突顯我們長久以來盡力與其他機關團體建立聯合陣線的主張，共同防止科技被用於不當用途。除此之外，我們也很榮幸能參與 INTERPOL World 2015 這場冠蓋雲集的歷史盛會，為建立一個更安全的資訊交換世界的理念而努力。身為資安威脅防禦專家，我們將繼續分享我們的知識和經驗來支援打擊網路犯罪的行動。」

SIMDA 破獲行動鏟除了一個感染超過 770,000 台電腦的大型全球「Botnet傀儡殭屍網路」。SIMDA 是一個能讓網路犯罪集團從遠端存取電腦的工具，可讓歹徒竊取銀行帳號密碼等個人資訊，而且還能安裝並散布其他惡意程式。所謂的殭屍網路，是一群感染惡意程式的電腦所組成的動態網路，可從遠端遙控並發動網路攻擊或散發垃圾郵件。要鏟除殭屍網路需要掌握精密的技術和時機，才能確保威脅不會擴散。除了趨勢科技和 INTERPOL 之外，共同參與這項聯合行動的還有 Microsoft 和 Kaspersky Labs。

繼續閱讀