資安趨勢部落格 – 第 749 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

追蹤中國地下行動經濟世界的活動

2014 年 12 月 03 日2014 年 11 月 25 日趨勢科技 TrendMicro

當人們想到垃圾簡訊服務時，他們會認為網路犯罪分子只是將訊息發送給所有可能的號碼。這並非完全正確。垃圾簡訊發送者其實會過濾未使用的電話號碼以節省時間和金錢。他們用手機掃描服務來知道電話號碼的目前狀態，包括使用者是否在線上，或是否仍在活躍使用中。通過掃描的電話號碼被稱為「真正的號碼」，會被垃圾訊息發送者和電話詐騙作為目標。

趨勢科技首先在2012年掀起了中國網路犯罪地下世界活動的面紗。自那時起，我們不斷地報導關於這黑市裡所看到的顯著變化或活動。

幾個月前，我們注意到中國地下世界在持續地成長，因為連線和硬體成本持續下降以及越來越多使用者疏於安全防範。總之，這是網路犯罪份子在中國的好時機。

中國地下世界最突出的特色之一是它的行動市場。隨著中國的行動市場在蓬勃發展，網路犯罪分子開始針對行動使用者也就不令人驚訝了。一些地下生意和服務甚至只將目標放在行動使用者。這些工具和服務是我今年在澳洲雪梨AVAR大會上演講的焦點。

行動經濟

地下世界所銷售的產品之一是加值服務濫用程式。這些應用程式會替使用者在未經他們同意或知情下訂閱加值服務。結果就是使用者會被收取訂閱費用，最終流向惡意應用程式開發者的手上。

雖然加值服務號碼通常會被分配給合格的服務供應商，這些號碼也在地下世界內銷售。一些惡意應用程式開發者從合法服務供應商手上購買加值服務號碼，並用在惡意用途。

地下市場也提供了中國特有的服務。一個典型例子是提高應用程式排名的服務。中國大多數手機使用者依賴於第三方應用程式商店來提供應用程式，特別是因為Android並沒有官方的應用程式商店。為了提高他們應用程式的排名，網路犯罪分子常常會建立虛擬帳號去下載並撰寫正面評價。看到這些評價的使用者可能會被說服下載可疑或惡意的應用程式。

當人們想到垃圾簡訊服務時，他們會認為網路犯罪分子只是將訊息發送給所有可能的號碼。這並非完全正確。垃圾訊息發送者其實會過濾未使用的電話號碼以節省時間和金錢。他們用手機掃描服務來知道電話號碼的目前狀態，包括使用者是否在線上，或是否仍在活躍使用中。通過掃描的電話號碼被稱為「真正的號碼」，會被垃圾訊息發送者和電話詐騙作為目標。

使用者在哪裡，網路犯罪份子就跟到哪裡

隨著中國行動市場的持續成長，網路犯罪的威脅也是一樣。網路犯罪份子會出現在他們使用者和潛在利益所在的地方。隨著中國行動環境的使用者數量增加，面對這些威脅風險的使用者數目也在成長。這也意味著我們可以看到威脅種類的增加，所以超出我們目前威脅環境所見的新威脅也幾乎肯定會出現。

透過提供對現有威脅環境的概述，我們希望行動服務供應商及使用者都能夠保護自己和其網路免於這些威脅。

＠原文出處：Tracking Activity in the Chinese Mobile Underground 作者：Lion Gu（趨勢科技資深威脅研究員）

趨勢科技透過安全達人來保護使用者免於行動威脅，能夠提供給iPhone、iPod Touch和iPad使用者以及Android智慧型手機和平板電腦的使用者。Android使用者可以到這裡下載此安全應用程式，而Apple使用者可以到這裡下載。

< 影片 >馬克的神奇鑰匙,讓他有家歸不得

2014 年 12 月 02 日2014 年 11 月 26 日趨勢科技 TrendMicro

想像一下，如果開你家大門的鑰匙同時也可以開你的車門，你的銀行保險箱和你的信箱。一旦你遺失了那把鑰匙，找到它的人就可以輕易地拿到你所有的私人物品。在網路上使用密碼也一樣。平均來說，人們擁有26個帳號，卻只有五組密碼。雖然要為每個帳號都建立並記住密碼似乎不大可能。但多組帳號使用相同的密碼會讓身份資訊竊賊和網路犯罪分子更容易去到手你的私人資料。

當建立密碼時，必須要長且複雜 – 混合了大小寫、數字和符號。透過建立一個困難的密碼，你就有望去阻止駭客，或至少不要讓他們可以入侵一個帳號就可以進入你所有的帳號。

你也可以使用密碼管理工具來產生困難而安全的密碼，並且為你記住所有密碼。趨勢科技PC-cillin包含了一個密碼管理程式，可以幫助你橫跨個人電腦、Mac、Android和Apple iOS設備來輕鬆地登入網站而無需記住多個密碼。所以放輕鬆和安全地享受你的數位生活，不要讓發生在Mark身上的事情發生在你身上。

作者：Shannon McCarty-Caplan （消費者安全宣導者）

延伸閱讀:「不要成為這傢伙」系列影片

@原文出處：Think Before you “Share” to Prevent Identity Theft 作者：Shannon McCarty-Caplan（趨勢科技消費者安全宣導者）

PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用

趨勢科技與 FBI 共同舉辦網路研討會摘要

2014 年 12 月 01 日2014 年 11 月 26 日趨勢科技 TrendMicro

FBI關於打擊網路犯罪的見解

趨勢科技的很幸運地跟美國聯邦調查局（FBI）網路調查科特別探員一起舉辦網路研討會在這次網路研討會中，他分享了以下幾點：

識別與應對進階網路威脅
透過合作來加以消弭

趨勢科技安全技術專家Jon Clay在本文中和大家分享觀眾們所問的許多問題和回答。

冒充微軟等合法組織的”假好心”來電

美國聯邦調查局分享了在許多案例裏，他們看到了混合模式的攻擊，惡意分子透過電話聯絡目標組織，試圖收集潛在目標受害者的資訊，或試著冒充合法組織（如微軟技術支援）來騙取存取能力。我們有許多問題都是關於這些情況：

問：當接到假冒來自微軟的攻擊者電話並要你連上惡意軟體網站時，對付他們最好的方法是什麼？

問：美國聯邦調查局對於那些不斷會打電話給我們來聲稱自己是誰且用著各種頭銜的人們感興趣嗎？昨天是「微軟技術人員」告訴我說我的電腦連上了微軟，因為它感染病毒云云。然後，他們試圖讓受害者執行幾個指令，最終達到讓他們可以遠端控制的目的。

問：你看到惡意份子們開始使用混合式攻擊，比方說，透過電話來為之後的電子郵件設置好舞台，好強化目標信任度以增加電子郵件攻擊成功的機率？

所以要提供需要接外部電話的員工關於這類騙局的教育訓練，確保他們至少都懂得懷疑這類來電。微軟已經發表過關於這點的文章，包含了一個連到美國聯邦貿易委員會來回報案例的連結。這些社交工程攻擊可能很難發覺，因為犯罪份子越來越善於模仿與濫用人們的信任關係。最好的防禦是利用技術和知識來加強你的員工和灌輸他們對這類來電該有的警覺心。

要如何起訴由他國政府所撐腰的攻擊？

正如你可以想像得到，有幾個問題關於責任歸屬以及如何應對來自很難採取行動之國家的惡意份子。繼續閱讀

ROVNIX利用密碼保護巨集, 竊取密碼和記錄按鍵資訊

2014 年 11 月 28 日2014 年 11 月 26 日趨勢科技 TrendMicro

趨勢科技最近發現 ROVNIX 惡意軟體家族能夠透過巨集下載器來散播。這種惡意伎倆之前在DRIDEX惡意軟體上見到，它以使用相同招數著稱。DRIDEX同時也是CRIDEX銀行惡意軟體的後繼者。

雖然感染方式相當古老，網路犯罪分子了解使用惡意巨集也能夠達到想要的目的 – 甚至可以對抗複雜的防禦措施。

ROVNIX惡意軟體行為

根據趨勢科技的分析，ROVNIX會將 rootkit 驅動程式寫入 NTFS 磁碟機未分割的空間。這可以有效地隱藏該驅動程式，因為這個未分割空間不會被作業系統和安全產品所看到。

為了載入惡意驅動程式，ROVNIX會修改IPL的內容。這程式碼被修改以讓惡意rootkit驅動程式在作業系統前被載入。這做法主要有兩個目的：逃避偵測，並且在Windows 7及之後的版本載入未簽章過的驅動程式。

ROXNIX感染鏈

在此攻擊中，惡意文件包含一個社交工程誘餌，特製成來自微軟Office的假通知來指示使用者啟用巨集設定。

圖1、帶有惡意巨集文件的螢幕截圖

啟用巨集會去執行惡意巨集程式碼，被偵測為W97M_DLOADER.AI。這個惡意巨集和之前CRIDEX所用的不同之處在於ROXNIX有加上密碼保護。這讓分析此惡意軟體變得困難，因為沒有密碼或特殊工具就無法檢視或打開巨集。

圖2、惡意巨集ROVNIX需要密碼

圖3、該腳本的程式碼片段

這個惡意軟體腳本使用簡單的字串拼接和多個變數替換，企圖混淆程式碼以躲避防毒偵測。當巨集被執行，會植入三個不同類型的隱藏腳本，包括一個Windows PowerShell腳本。這策略意味著網路犯罪分子會去針對Windows 7，開始預設安裝了Windows PowerShell。

圖4、W97M_DLOADER.AI植入的檔案

名為adobeacd-update.bat的腳本會執行adobeacd-update.vbs（VBS_POWRUN.KG），提升使用者權限，然後再執行另一個名為adobeacd-update.ps1（TROJ_POWDLOD.GN）的腳本。TROJ_POWDLOD.GN接著會從http//185[.]14[.]31[.]9/work.exe下載並執行TROJ_ROVNIX.NGT，這是一個ROVNIX載入器。

根據趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料，德國出現了最多使用者有著受感染系統。

表1、2014年11月6日到2014年11月18日最受影響的國家

結論

ROVNIX對使用者和企業都會造成危險，因為除了其後門能力外，它還可以竊取密碼和記錄按鍵資訊。這種攻擊可能被用在資料入侵外洩上，因為資料竊取是其主要行為。此外，這攻擊突顯出有更多惡意軟體可能會去利用巨集文件來濫用PowerShell以散播其惡意程式。不過要注意的是，在此次攻擊中，PowerShell功能並未被濫用。

使用者可以輕易地將其巨集設定設到最大安全性以保護其系統。如果檢視文件需要用到這功能，請確保檔案來自可信任的來源。趨勢科技透過主動式雲端截毒技術來偵測惡意檔案以保護使用者免受此威脅。

相關雜湊值如下：

92C090AA5487E188E0AB722A41CBA4D2974C889D
4C5C0B3DCCBFBDC1640B2678A3333E8C9EF239C5

＠原文出處：ROVNIX Infects Systems with Password-Protected Macros作者：Joie Salvio（趨勢科技威脅回應工程師）

PC-cilin 2015台北資訊月超值回饋現場加贈多重好禮 (攤位號碼：世貿一館B911，C1215，D200)

2014 年 11 月 27 日2014 年 11 月 27 日趨勢科技 TrendMicro

PC-cilin 2015氣勢驚人 雲端截毒全球最快 防毒測試勇奪第一
台北資訊月超值回饋現場加贈多重好禮獨家優惠不容錯過

【台北訊】每年年底最重要的資訊消費展「台北資訊月」，即將在十一月二十九日至十二月七日於台北世貿展覽館盛大展出。全球網路安全領導品牌趨勢科技最新產品「PC-cillin 2015雲端版」，獨家雲端截毒技術提供領先業界平均50倍的防禦速度，更勇奪AV-Comparatives防毒軟體測試第一，傲視全球競品。在資訊月期間為回饋消費者，趨勢科技團隊祭出大手筆現購優惠，眾多超值獨家贈品只在台北資訊月攤位(攤位號碼：世貿一館B911，C1215，D200)，千萬別錯過！

趨勢科技產品行銷經理朱芳薇表示：「過去全球每秒新增1個資安新威脅，現已成長至每秒3.5個，面對驚人成長的資安威脅數量，『PC-cillin 2015雲端版』擁有雲端截毒全球最快的超強防護，提供領先業界平均50倍的防禦速度，不但能在病毒入侵電腦前即已預先攔阻，更將80%的病毒碼儲存於雲端，大幅降低電腦負擔，讓用戶同時享受超強防禦力與輕快效能。」此外，由於跨裝置上網已成為全民運動，惡意威脅因應平台種類不斷衍伸變種，使得資安攻擊管道大幅增加。「最新『PC-cillin 2015雲端版』的序號可同時支援安裝於Windows、Mac電腦及Android、iOS智慧型手機與平板電腦，提供每一位使用者跨平台的全面防護，無論使用何種上網裝置，都能安心享受數位生活。」朱芳薇補充。

趨勢科技「PC-cillin 2015雲端版」安全防護獲獎無數，最近更於AV-Comparatives機構的防毒軟體測試中以100%的防護效率獲得滿分，在諸多競品中勇奪第一！為了與大家分享這份榮耀，趨勢科技在世貿一館的攤位上，準備各項獨家優惠與豐富的贈品內容，超級回饋給現場的消費者，讓您擁有最輕鬆、安全的數位生活！

「PC-cillin 2015雲端版」超強特色如下：

跨平台防護：同時支援安裝於 Windows、Mac、Android及iOS裝置上。
安全輕快：「主動式雲端截毒技術」提供領先業界平均50倍的速度防禦惡意威脅，更將80%的病毒碼儲存於雲端，大幅降低電腦負擔。
社群隱私防護：獨家社群隱私防護能主動預警惡意網頁，協助使用者檢查Facebook、Google+、Twitter與Linkedin的隱私設定漏洞。
密碼管理：透過一組超級密碼即可自動登入使用者經常造訪的網站，跨平台支援Windows、Mac、Android及iOS裝置，更提供安全流覽器與鍵盤加密的雙重防護。

資訊月PC-cillin 2015雲端版活動方案：