尋找序號產生器,當心木馬入侵~PASSTEAL透過檔案分享網站偷偷潛入使用者的電腦

這裡是另一件值得檔案分享網站使用者警惕的事情 – 上面放有PASSTEAL病毒變種。你可能還記得PASSTEAL,這是一個會用檔案回復工具來竊取儲存在Internet瀏覽器內資訊的惡意軟體,和以前會從受感染電腦記錄鍵盤輸入以收集資料的資料竊取軟體不同。

趨勢科技主動式雲端截毒服務  Smart Protection Network所收集的資料中,我們發現許多PASSTEAL惡意軟體利用社交工程陷阱( Social Engineering)手法,像是偽裝成付費應用程式的序號產生器或是和修改過的付費應用程式安裝檔結合在一起,如下圖所示:

PASSTEAL透過檔案分享網站偷偷潛入使用者的電腦

PASSTEAL惡意軟體利用社交工程陷阱( Social Engineering)手法,像是偽裝成付費應用程式的序號產生器或是和修改過的付費應用程式

 這顯示了病毒作者的目標是那些常會利用BitTorrent或檔案分享網站來取得盜版軟體的檔案分享者和下載者。還有些其他的PASSTEAL變種會偽裝成青少年間流行的電子版小說。

趨勢科技發現了另一個被偵測為TSPY_PASSTEAL.B的變種,它使用密碼回復工具「WebBrowserPassView」而非「PasswordFox」,去偷儲存在各主要瀏覽器內的認證資訊,像是Internet Explorer 4.0到8.0,Mozilla Firefox 1.x到4.x,Google Chrome和Apple Safari。所以有特定PASSTEAL變種會使用其他密碼回復工具來針對並擷取特定網頁應用程式內的使用者認證資訊並非不可能。

很不幸地,惡意軟體出現在檔案分享網站並不是個新聞。以前也有特定ZACCESS變體被發現偽裝成序號產生器、遊戲安裝檔和電影檔。ZACCESS是以ROOTKIT技術聞名的惡意軟體家族,讓它很難從受感染電腦中移除。它同時也是2012年第三季感染數量最多的惡意軟體

很有可能網路犯罪份子是要利用這些流行的小說和電影(更別說下載盜版的吸引力)來攻擊盡可能多的使用者。因此,建議使用者從任何網站(如檔案分享網站)下載檔案時要格外小心。

大多數使用者在建立自己網路帳號的密碼時,都有「一體適用」的心態。雖然每個網站都用一樣的密碼可以幫助使用者記住密碼,不過這也增加了資料被竊的風險。為了更好的安全性,使用者必須為他們的帳號建立不同的登錄憑證,並建立強固而又容易記住的密碼

有些瀏覽器提供的功能可以幫助使用者保護他們的資料。像是Mozilla Firefox提供一個主密碼功能,可以加密儲存在瀏覽器內的帳號資料,以避免被回復工具輕易地存取。

還有一些其他服務可以幫助使用者保護和管理他們的密碼。PC-cillin 2013雲端版的密碼管理 e 指通功能可以管理多個網路服務的密碼,並有效封鎖惡意軟體竊取資料的動作,像是PASSTEAL所做的行為。趨勢科技透過主動式雲端截毒服務  Smart Protection Network來保護使用者,從使用者的系統上偵測並移除PASSTEAL變種。
PC-cillin 密碼管理 e 指通

@原文出處:PASSTEAL Sneaks into Users Systems via File Sharing Sites作者:Alvin John Nieto(威脅反應工程師)

◎延伸閱讀

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

假Windows 8金鑰產生器現身

PC-cillin 2013 雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用

PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎即刻加入趨勢科技社群網站,精彩不漏網
   

 

假Windows 8金鑰產生器現身

因為承諾了對功能和安全性的改進,Windows 8自然在科技產業和熱切Windows使用者間掀起風潮。不幸的是,我們也都清楚地知道高人氣的副作用,尤其是在涉及到網路安全時。所以網路犯罪份子利用Windows 8的受歡迎也只是時間問題而已。

趨勢科技拿到兩個偽裝成Windows 8金鑰產生器的樣本,出現在http://{BLOCKED}en2eqqh2.cloudfront.net。金鑰產生器是用來產生序號的,通常用來啟動付費軟體的盜版拷貝。根據趨勢科技的分析,我們所發現的應用程式是惡意的。趨勢科技將其偵測為TROJ_DLOADR.AADTROJ_ARCHSMS.B

一旦執行,TROJ_DLOADR.AAD會顯示出假訊息通知使用者點下「OK」去透過網頁瀏覽器下載Windows 8。而JOKE_ARCHSMS則偽裝成可以啟動Windows 8。跟TROJ_DLOADR.AAD類似,JOKE_ARCHSMS也會顯示圖片來誘騙使用者,以為只要發送簡訊到特定號碼就可以啟動Windows。它也會連到下列點擊詐騙網址:

 

  • http://{BLOCKED}rchant.net/api/open.php?aid=2102499&v
  • http://{BLOCKED}rchant.net/50qjpr21e2bd/2102499/

假Windows 8金鑰產生器現身

 

經過翻譯,第一個視窗的內容是:

選擇安裝路徑:

要開始安裝「Windows 8啟動器2011」,按下「安裝」

安裝

第二個視窗是:

安裝成功

產生個人金鑰,獲得免費啟動!

(自動啟動保護)

國家:

電信商:

簡訊文字:

號碼:

輸入你的啟動碼:

 

這些惡意程式背後的黑手就是想利用Windows 8的知名度和使用者想嘗鮮的心理。到目前為止,利用新程式、軟體或應用程式來作為社交工程陷阱( Social Engineering)的誘餌,對攻擊者來說是非常有效的。還記得惡意Instagram應用程式就是因為Facebook收購消息的傳出而跟著爆發嗎?同樣的,惡意版本的壞蛋豬和憤怒鳥上太空也都是緊跟著這些應用程式的發布。

繼續閱讀

認識電腦病毒:什麼是木馬(Trojan)?遠端存取木馬(RAT)?

 為什麼到處都是木馬,我要如何阻止他們?

想要在網路上保持安全、不受傷害可能是個艱難的任務。網絡上有許多很棒的東西,不過同樣地,對初學者來說也可能是個地雷區,充斥著網路釣魚(Phishing)詐騙、垃圾郵件(SPAM)和惡意軟體。

在資訊安全產業中,我們可能難以避免地去使用一些難懂的術語。你可能已經在一些新聞報導裡聽過木馬程式,如果他們詳細的介紹網路攻擊。因此,讓我們用白話來介紹,來看看最常見的威脅之一:木馬(Trojan)。

所以它跟蠕蟲(Worm)一樣嗎?或病毒(Virus)?嗯,不完全是

他們都是惡意軟體的一種,或說是惡意程式。但是和病毒或蠕蟲不同,木馬並不進行自我複製。簡單的說,它們是偽裝成無害軟體的惡意程式,這個詞源自於經典的特洛伊戰爭故事,一群希臘士兵藏在一個巨大的木馬以進入特洛伊城,然後跳出來大肆攻擊敵人。

而在電腦世界裡,木馬是種惡意軟體,透過電子郵件或惡意網頁來偷偷地進入並安裝在你的電腦上。一旦進入後,惡意軟體就可以做各種壞事了。

什麼是遠端存取木馬(RAT)?

有些木馬程式被稱為遠端存取木馬(RAT),設計用來遠端操縱使用者的電腦,讓駭客可以完全控制。有些則可能有不同的目的,像是竊取個人資料,側錄鍵盤,甚至將受害者電腦作為殭屍網路/傀儡網路 Botnet的一部分。

P2P和社群媒體攻擊

不幸的是,木馬攻擊已經變得越來越普遍。在網路上就可以買到工具包,像是黑洞漏洞攻擊包(Blackhole Exploit Kit),讓壞蛋們只需要具備有限的技術能力,就可以幫他們把製造和發動惡意軟體最難的部份做掉。通常木馬會偽裝成看似正常的檔案夾帶在不請自來的電子郵件中,不然就是被隱藏在被入侵的一般網站上,或偽裝成一般檔案放在P2P網站,甚至潛伏在社群網站上的連結裡。

繼續閱讀

更新Firefox、Chrome和 IE,還附贈防毒功能?!當心首頁被綁架

想更新瀏覽器嗎?要先確認是從合法管道下載,不要下載到偽裝成瀏覽器更新程式的惡意軟體到電腦上。

趨勢科技最近看到一篇報導指出,有許多網站提供瀏覽器更新程式,像是Firefox、Chrome和Internet Explorer,還有其他更多版本。使用者點到惡意廣告就有可能進入這些網頁。

這惡意威脅的幕後黑手想盡辦法讓這陷阱看起來像是真的。這些網頁就如下圖所示,看來就像是瀏覽器的官方網站。為了進一步引誘使用者下載假更新程式,這網站甚至還提供了整合的防毒保護:

 

更新Firefox、Chrome和 IE,還附贈防毒功能?!當心首頁被綁架
更新Firefox、Chrome和 IE,還附贈防毒功能?!當心首頁被綁架

只是使用者下載的並不是更新程式,而是被偵測為JS_DLOADR.AET的惡意程式,它會改變下載的二進位檔案而有不同的惡意行為。

接下來,惡意JavaScript會下載TROJ_STARTPA.AET,並儲存成瀏覽器下載目錄內的 INSTALL.EXE。根據趨勢科技的初步分析,這木馬程式會修改使用者的IE瀏覽器首頁為http://{BLOCKED}rtpage.com,這是一個可能含有其他惡意程式的網站,好進一步感染使用者的電腦。 繼續閱讀