搜尋超級電腦病毒Stuxnet,搜尋結果頁面夾帶更多守株待兔惡意攻擊

假 Youtube 網頁,假防毒軟體,夾帶在搜尋頁面中趁機打劫

被稱為超級電腦病毒的 Stuxnet 蠕蟲,近日肆虐全球,網路犯罪者正利用 Stuxnet 蠕蟲到處肆虐的新聞熱潮來散發惡意程式。趨勢科技資安威脅高級研究員 Ivan Macalintal 發現,許多有關此蠕蟲的搜尋結果均遭到毒化。此次遭到 Black_Hat SEO黑帽搜尋引擎最佳化的一些搜尋字串包括:「stuxnet SCADA」、「stuxnet removal tool」、「stuxnet cleanup」、「stuxnet siemens」、「stuxnet worm」等等。某些已遭毒化的搜尋字串還高居搜尋結果頂端。其中有一個搜尋字串所指到的惡意 URL ({BLOCKED}lo-canada.org/2008/stuxnet.html) 會將使用者帶到一個專門攻擊 CVE-2010-0886 與 CVE-2010-1885 漏洞的網站。此外,還有某些搜尋結果會將使用者導向專門攻擊 PDF 和 SWF 漏洞的網站。該威脅分別命名為TROJ_PIDIEF.XE 和 SWF_AGENT.WAW。

事實上,可能招來的惡意程式很多,包括會在系統上植入其他惡意程式的下載程式在內,此外也包括 TROJ_FAKEAV.SMZU 這個假防毒軟體FAKEAV 變種。假防毒軟體FAKEAV 變種特別喜歡利用搜尋結果和新聞事件來誘騙使用者購買假防毒軟體

繼續閱讀

Stuxnet 蠕蟲藉著USB隨身碟等感染電力公司等公共基礎建設電腦和個人電腦

資訊安全廠商趨勢科技2010 年 10 月 6 日針對一隻已經危害全球各地許多電腦、名為Stuxnet的蠕蟲惡意程式提出嚴重警訊。該惡意程式的特徵是會自動自我複製,其主要攻擊目標是例如發電廠、煉油廠中的自動化生產與控制(SCADA)系統,同時SCADA系統的主要製造商西門子公司亦已警告客戶該隻惡意程式會藉由 USB設備和網路共享進行漫延。

趨勢科技資深技術顧問簡勝財指出,這是世界上首隻攻擊西門子SIMATIC WinCC與PCS 7系統的病毒,目的在取得WinCC SQL Server登入SQL資料庫的權限。其利用了微軟所公告一可允許遠端執行程式碼的MS10-046 Windows 系統漏洞進行散佈。建議用戶盡快更新部署,若無法立即更新者,可參考微軟所提供解決方法

簡勝財進一步表示若為趨勢科技的用戶,只要是病毒碼已經更新至7.353.00以上或在趨勢科技「主動式雲端截毒技術」(Smart Protection Network) 的保護下即能避免被攻擊。請參考: 搜尋超級電腦病毒Stuxnet,搜尋結果頁面夾帶更多守株待兔惡意攻擊 。提醒民眾不要隨便在網路搜尋該病毒名稱「Stuxnet」,因為發現有駭客利用搜尋引擎優化的手段,將有內含病毒的網頁連結放在檢索結果之最前面幾筆以吸引點選,除非是受信任的網站否則切勿輕易點選連結。

Stuxnet 的一系列惡意程式,已經在全球各地造成許多感染。趁著 Stuxnet 的新聞熱潮,其他的網路犯罪者也發動了一波 Black_Hat SEO 搜尋引擎毒化攻擊行動,讓 Stuxnet 搜尋結果中的一些連結指向惡意網站,這些網站有些會下載假防毒軟體( Fake AV),有些則專門攻擊 JAVA、Flash、Windows、PDF 等等的漏洞。

Stuxnet 是一個蠕蟲型的惡意程式,可透過已感染的 USB 等可卸除式裝置進入電腦,專門攻擊 Windows Shell 當中的一個漏洞 (請參考 Microsoft 資訊安全公告 MS10-046)。此漏洞會讓惡意程式入侵一些所謂的「監控與資料擷取」(SCADA) 系統,如電力公司或能源煉解廠用來控制生產和營運的系統。

Stuxnet 的最主要目標是電力公司的 SCADA 系統,因此,SCADA 系統的主要製造商西門子 (Siemens) 已經對使用者發出此病毒的警告通知,因為它也會攻擊西門子的 WinCC 系統。

趨勢科技使用者只要是使用7.359.00 以上的病毒碼版本就能防止這項威脅,此外,也還可透過趨勢科技 主動式雲端截毒服務 SPN( Smart Protection Network)的檔案信譽評等服務來防止此攻擊相關的所有惡意程式執行。

趨勢科技強烈建議所有使用者務必安裝 Microsoft 的安全更新來防堵此漏洞。至於無法立即套用修補程式的使用者,Microsoft 也提供了一個替代方案,詳情請參考這篇文章

趨勢科技建議使用者養成下列二點習慣來防止電腦感染 Stuxnet 蠕蟲:

  • 在使用可卸除式裝置或提供給他人使用之前,務必先加以掃瞄,以防止惡意程式擴散
  • 僅從可信賴的來源取得 Stuxnet 的相關資訊