蠕蟲 - 資安趨勢部落格

通常使用者將多個檔案壓縮成單一檔案是為了方便或是為了節省空間。然而，趨勢科技發現有個蠕蟲程式會自我複製加入受密碼保護的壓縮檔裡。

趨勢科技取得一個蠕蟲程式樣本（被偵測為WORM_PIZZER.A的），會利用特定的WINRAR命令列來散播（見下圖）。一旦執行，會讓WORM_PIZZER.A複製自己到壓縮檔內，特別是ZIP、RAR和RAR FX檔案。這個蠕蟲程式不會從這些壓縮檔提取密碼。上述的命令列是正常指令，使用者可以用它來將檔案加入壓縮檔內，只要系統內裝有WINRAR。然而，惡意軟體濫用這功能將自己複製到壓縮檔內。

圖一、WINRAR命令列

經過趨勢科技的測試，這種蠕蟲程式是被WORM_SWYSINN.SM從一特定網站下載而來。

這種方式讓人想起出現在二〇一〇年的WORM_PROLACO變種，其中有個變種會將某些EXE檔案和自己的複本壓縮在一起。但讓WORM_PIZZER.A特別有意思的是，它會巧妙地將自己複製進壓縮檔內，就算是有密碼保護的壓縮檔也一樣。當毫無戒心的使用者解開這些壓縮檔時，並不知道裡面已經加入了蠕蟲程式，所以可能會跟其他檔案一樣去執行這惡意程式。

圖二、WORM_PIZZER.A複本（bot.exe）出現在壓縮檔內繼續閱讀

【2013年4月18日 台北訊】波士頓馬拉松爆炸案相關連結?點選前請小心，駭客攻擊就在你身邊。趨勢科技發現在波士頓馬拉松爆炸案發生的24小時內，已經有駭客以此為誘餌，透過垃圾郵件攻擊，以及社交平台散播內含蠕蟲WORM_KELIHOS.NB的惡意連結。該蠕蟲會竊取使用者的FTP帳號密碼與存在本機的電子郵件地址，同時監控受感染裝置的網路狀態以進一步竊取資料。除此之外，該蠕蟲會感染USB等卸除式裝置，達成其擴散目的。趨勢科技呼籲民眾對於近期與波士頓爆炸案相關網路訊息與電子郵件都應該保有一定程度戒心，不要輕易點選來路不明的連結是最佳自保之道。

運用波士頓馬拉松大爆炸 散播蠕蟲以竊取資訊

波士頓馬拉松爆炸案發生後不到24小時內，趨勢科技已經偵測到超過9000封的以波士頓爆炸案為名的的垃圾郵件，更發現駭客以主旨為「Aftermath to explosion at Boston Marathon 」的垃圾郵件發動社交工程陷阱( Social Engineering)。該垃圾郵件夾帶連結https://{BLOCKED}/boston.html，使用者點選後將看到一段來自波士頓爆炸現場的影片，同時也下載了名為WORM_KELIHOS.NB的蠕蟲程式。該蠕蟲程式會透過被感染裝置竊取使用者FTP的帳號密碼與本機中的電子郵件地址，更會監控受感染裝置的網路流量以達成竊取資訊牟利的目的。為了避免被追查，駭客精心設計許多不同的蠕蟲程式下載點，下載IP位址來自阿根廷、台灣、烏克蘭、日本等地。