Happppyyyyy Halllooowweeen!!!

崔嘻今天要應景一下，祝大家萬聖節上網不被搗蛋。

你知道分享一個好玩動畫，有可能讓駭客覬覦公司的重要機密嗎？答案是肯定的。

去年萬聖節當天 Robin 在上班時利用午休空檔用 MSN 傳了一個有趣的小程式：「跳舞的骷髏」"Dancing Skeleton" 遊戲網址，給他遠在國外的朋友應景，之後他的朋友警告他那個網站含有惡意攻擊行為，因為該網址被該公司安全軟體的網頁信譽評等服務（Web Reputation Services，WRS）功能所攔截，並跳出惡意網頁警告視窗。不過Robin 卻絲毫沒感覺電腦有異樣，以為朋友跟他開玩笑，經分析確認該網站內的 "Halloween.exe"這個「跳舞的骷髏」遊戲（如圖），事實上是一個利用節慶活動作為掩飾的攻擊程式一旦瀏覽該網頁將會自動下載執行，使用者將不會有任何感覺。該惡意程式屬於以寄生在惡意網頁聞名的 Storm 家族系列的最新社交攻擊模式，只要一執行，特洛依木馬程式便會下載與執行其他的惡意檔案，並連線到網站以建立點對點控制的殭屍網路 (botnet)，讓個人電腦可用來傳送垃圾郵件，或使個人電腦感染廣告軟體、間諜程式及其他惡意程式，還有可能連結到殭屍網路下載病毒下載器（ Downloader），隨時更新病毒，進一步的竊取企業機密。這個檔案的下載網址是 http://www.{省略}woogiedancingbones.com/amore.mid。

年底各種節慶特別多，除了剛過的萬聖節、接下來有感恩節、聖誕節和新年，趨勢科技提醒您惡意程式家族正利用節慶相關的遊戲小程式作為幌子來引誘受害者。惡意程式在社交工程技巧中利用這個節日的歷史最早可回溯至 1991 年出現的萬聖節病毒。這個在萬聖節當天發作的檔案感染型病毒因為內含 "Happy Halloween" (萬聖節快樂) 字串而得名。相較於純粹進行散播的玩笑型病毒，現在這些在終端用戶遊走的社交工程陷阱，除了讓個人遭遇網路釣魚、信用卡詐騙、垃圾郵件外，現階段數據更需要閘道把關防護Web 惡意攻擊，以即時阻止惡意網頁的方式代替消耗資源的即時檔案掃瞄。

一家 700 個用戶的外資企業， 從自動產生的報表數據，可發現光是單月共阻止超過52萬件違例事件（不符合企業網站瀏覽規範，如遊戲網站、股票網站等），平均每天超過1.7萬件，平均每分鐘阻止各種違例事件超過12件。

根據趨勢科技針對企業所做的調查報告指出，96%的病毒都是在「用戶端」這道安全最後防線才被發現，突顯出企業閘道端控管的不足，與員工資安認知的缺乏，尤其是對日益氾濫的 Web 威脅，更是在「不知不覺」中點按滑鼠，敞開企業網路大門給予駭客臥底的機會。真實的案件是，上述外資企業以去年11月的第一天為例，光是一個惡意網址就被 阻擋了986次之多，如果這個網址經過駭客刻意包裝，偽裝成搜尋排行榜上的關鍵字，或仿效上述萬聖節病毒的行為，以節日名義設下陷阱，那麼光是一天該企業就有 986 次被該網頁內的惡意程式進駐的機會。

近來傀儡程式已跨入 Web 繁衍的時代。傀儡程式主控者 (在幕後操控傀儡網路的個人或組織) 指揮他們的傀儡程式搜尋應用程式與 Web 瀏覽器的安全弱點，伺機入侵電腦系統。受害的通常都是未定期更新或修補系統中的應用程式與瀏覽器的使用者。一旦成功利用這些弱點，傀儡程式主控者便會在遭入侵的瀏覽器所存取的網頁中插入一小段 HTML 程式碼。當其他使用者瀏覽並按下內含惡意 HTML 程式碼的網頁時，通常就會將傀儡程式下載至他們的系統中而渾然未覺。這種方法稱為「路過式下載 (drive-by download)」。被植入傀儡程式的電腦可能會受到傀儡程式主控者控制，用以竊取資訊、散發垃圾郵件、安裝其他惡意檔案，甚至發動服務阻斷 (DoS) 攻擊等。

我的阿嬤前一陣子離開了生活了97年的地球，如果現在她突然寫 eMail 給我，我應該不會被嚇到。原因有兩個：
1.阿嬤不識字，更別提 eMail 了2.我看過以下的故事

有一位紐約藝術家，突然收到一位已故多年老有的 email 問候，還充滿玄機地表示：「 eager to see you」，讓他嚇出一身冷汗。還有人收到色情圖片，居然是來自某宗教團體，這些都是病毒從中搞鬼。難怪有 25 年網路安全實戰經驗的老兵趨勢科技David Perry 感慨地說：「即使是我的至密好友，我也僅相信紙張和墨水呈現的親筆信。」

你可以快速用鍵盤輸入你的名字，卻忘了如何用筆紙順暢地寫自己的名字嗎？勸你閒暇時多加練習，因為網路病毒已讓信任崩盤，你的朋友可能不再相信你的電子信。

2002年有一隻著名的病毒叫Klez求職信，曾使得超過千萬台電腦被感染。到處找工作的求職信，冒用寄件者帳號大量發垃圾信。垃圾郵件業者為了更有效率的發信，現在有了新方法，那就是投遞回條。

請參考以下文章：投遞回條要求 讓垃圾郵件業者掌握 eMail 帳號是否有效

「投遞回條要求 (delivery receipt request)」的功能被垃圾郵件業者用來確認郵件地址是否存在。投遞回條是傳送給郵件原始寄件者的郵件，用以確認寄出的郵件已經傳送給預定的收件者。

雖然許多受歡迎的桌上型電腦郵件用戶端都具備郵件投遞回條確認功能 (如 Microsoft Outlook)，並且能選擇不予理會，但只要收件帳號存在，大多數 Web 郵件平台在接到這類要求時，都會自動傳送一份投遞回條。

Microsoft 提供了一個網頁說明如何在各版本的 Outlook 中開啟及使用這項功能，請參閱此處。

若開啟這項功能，垃圾郵件散播者便能散發垃圾郵件至大量郵件地址，然後輕易過濾出有效的地址 — 也就是說，如果收件者選擇確認所有內含投遞回條要求的郵件，或選擇性確認內含投遞回條要求的特定郵件。垃圾郵件散播者可以依據最初散發的垃圾郵件的確認回條，將收件者加入未來受害者清單中。

理論上，投遞回條功能是極為實用的功能，尤其是對想要百分之百確定訊息已成功投遞的人而言。不幸的是，這項功能，就像我們所熟知的其他許多功能一樣，已被用於從事惡意活動。

＠本文歡迎摘錄轉載，但務必註明出處與網址連結

病毒不但能對電腦搞破壞，現在還要破壞人們好不容易建立的感情。

「阿嘉，我告訴你，友子在部落格講你的壞話」

試想海角七號的主角阿嘉收到訊息，你想他還會愛友子嗎？如果你是 Facebook 會員最近收到這個訊息，大意是說你的好朋友在詆毀你，在懷疑你們的友誼之前，請先懷疑是不是病毒在惡搞。 我在北京工作的同事告訴我這個社交網站在大陸的白領間相當流行，也許哪天在台灣也會開始大流行。不過在這之前病毒已經開始流行一陣子了。過去幾個月內，我們已發現許多鎖定使用者為目標的資安威脅，包括垃圾郵件蠕蟲網路釣魚詐騙圈套等。而且用的是永不退流行的「社交工程」手法。

由於 Facebook 的訪客數量持續穩定成長，可以想見將有更多的惡意活動不斷滲透這個社交網路媒體。因此，Facebook 使用者對於在 Facebook 所收到的訊息應隨時提高警覺，即使是好友傳來的訊息也一樣。

以下文章節錄至趨勢科技 Malware blog

「惡意部落格」除讓 Facebook 使用者背負惡名以外，還可能帶來其他不良影響

如果你是Facebook 社交網站的使用者，當你收到好友寄來聲稱有人在部落格說你壞話的訊息時，別急著點選連結，因為裡頭藏有一支木馬。一旦點選即會再度發送該訊息給被入侵者的Facebook 好友名單，除此之外還會被植入木馬下載器，下載其他更具破壞力的惡意程式。最近趨勢科技發現一則內含惡意程式下載連結的偽造訊息正散播給遭入侵 Facebook 帳號的好友。訊息內容如下：

(崔嘻(隨著好友姓名更動)，你知道有人在部落格中說你的壞話嗎?真的非常惡劣；(我認為你和其他人都應該看看... s{省略}b.cn/video/?about={好友姓名} (請把連結複製到網址列))

{Friend’s name}, have you heard about that blog that was about you?
apparently its pretty bad ;(
i think you and everyone should read it…
s{BLOCKED}b.cn/video/?about={Friend’s name}
(copy this link into address bar)

使用者若存取訊息內含的連結，會被轉往他處下載惡意檔案 UPDATE.EXE。這個檔案已經被趨勢科技定義為 TROJ_AGENT.ASLV。這個木馬程式下載到遭感染的系統中之後，會再安裝廣告軟體或傀儡程式，例如 TROJ_DROPPER.FI。

過去幾個月內，我們已發現許多鎖定 Facebook 使用者為目標的資安威脅，包括垃圾郵件、蠕蟲以及網路釣魚詐騙圈套等。就像在這個案例中所見，傳送垃圾訊息給您的朋友極可能會讓您背負惡名，所以千萬不要在意別人對你的詆毀。

由於 Facebook 的訪客數量持續穩定成長，可以想見將有更多的惡意活動不斷滲透這個社交網路媒體。因此，Facebook 使用者對於在 Facebook 所收到的訊息應隨時提高警覺，即使是好友傳來的訊息也一樣。

昨天在外面上課老師才跟我們分享說，SEO 搜尋引擎最佳化(Search Engine Optimization)已經厲害到輸入「第X銀行」會跑出「彰X 銀行」的不相干結果。當然這是被有心人士操縱的不光明行為。今天我訂閱的 Malware Blog 出現了這個標題：Halloween Costumes’ Bring More Fright Than Expected ，點進去一看居然是 SEO 被病毒拿去利用的報導，而這個受害者可能是像我這樣為幼兒準備萬聖節造形而上網找靈感的父母。
正在為孩子的萬聖節裝扮傷腦筋嗎？上網搜尋"halloween costumes"看看有什麼最酷的造型吧！想必這是很多父母每年這個時候經常做的事，但提醒您想用嚇人的裝扮要糖吃之前，別被假的防毒軟體嚇到了。在這裡崔嘻先祝大家萬聖節快樂，有空別忘了把以下的文章看完，也別忘了轉寄本文提醒其他爸爸媽媽喔....

圖 2. 按下訊息方塊中的按鈕便會下載詐騙防毒軟體

針對微軟今日發佈的「MS08-067伺服器服務中的弱點可能允許遠端程式碼執行重大弱點」修正程式通知，目前已經出現了第一隻針對該弱點攻擊用戶端的木馬間諜程式 TSPY_GIMMIV.A，並藉由9個網站散播。該惡意程式會竊取使用者帳號密碼、系統資訊，並可能造成相關資安程式無法執行。

由於該病毒會自動連上其他網站下載惡意程式，甚至將竊取的機密加密後回傳至特定網址，這些不正常的下載和上傳動作，會造成連線速度變慢或是重新開機等現象。因此呼籲使用者若有發現上述情形，極有可能已經中毒，請即刻執行下列建議事項：

1. 儘速更新MS08-067

2. 趨勢科技用戶請更新至最新病毒碼5.615.00,以及啟用WRS網頁信譽評等以攔截惡意網址

3. 非趨勢科技用戶，請使用WTP Add-On（Web Threat Protection）免費防禦工具， http://www.trendmicro.com.tw/wtp/

TSPY_GIMMIV.A 的相關惡意行為：

開機自動執行：病毒會修改機碼，以便每次開機皆可執行

自動下載惡意檔案：病毒會持續至數個網站下載惡意檔案

竊取資訊：病毒會竊取下列資訊，並加密回傳至特定網址

防毒軟體相關資訊

Outlook Express Credential Information

Protected Storage Information

系統資訊

個人帳號和密碼

安全防護軟體無法運行：該病毒會搜尋並刪除機碼，造成相關資安程式或防毒軟體無法運行

我的朋友在我的旅行備忘清單裡，看到你的名字。他訕笑著說：「拜託，出國玩還帶著拖油瓶，有沒有搞錯阿！」我說不能一刻沒有妳，這些年工作時跟妳我在一起、下班時也跟妳在一起，連去 Starbucks 喝咖啡，也要帶著妳。一年難得一次的出國旅行，更是不能沒有妳，我理直氣壯地跟朋友說：「旅途中用數位相機拍下的珍貴回憶，要每日PO到部落格即時與網友分享;回到旅館，還要隨時與親友 MSN 報告異國見聞，甚至隨時上Google 找到當地的特色小店。」

我終於知道為什麼會得乾眼症了，這一切都是因?太愛妳，而始終盯著妳看的緣故。

想想看那些美好的日子，我們一起去亞瑪遜尋寶，

挖到了許多知識寶藏;我們一起逛 eBay，找到了那套酷斃了的萬聖節海盜裝;我們還一起上戰場廝殺，賺了好多天幣;我們利用 Peer to Peer 跟志同道合卻未曾謀面的網友，交換了許多私家搜藏檔案;我們一起用 Skype 跟美國求學的 May 聯絡感情;最酷的是，我們居然利用社交網站找到了失聯多年的小學同學！

親愛的，我不能一刻沒有妳，可是自從旅行回來後，我發現妳有點意興闌珊，下載孫燕姿新歌 MP3 時，妳居然顯得有氣無力;好幾次我正在線上廝殺，妳居然沒有預警地關機。親愛的，以妳花容月貌的年紀，應該還不至於有更年期的症狀，我到底做錯了什麼，妳要如此懲罰我？

我最近懷疑狗仔隊可能找上我了！我放在保險箱，只有妳我知道的秘密檔案，一覽無遺地被曝光，其中包括我的銀行帳號。這害我損失慘重，連要給妳擴充空間的購屋基金都沒了。

我真的對妳很抱歉，只得暫時委屈妳，在擁擠的小屋裏多待一陣子了！我必須坦白招認，這都怪我不小心，在旅途中的飯店開了那封生日電子賀卡，當假情假意的電子聲音唱完最後一句生日快樂後，我發現妳開始不太對勁。我向妳保證以後不會再讓第三者有機可乘，在我們的小天地翻箱倒櫃。

你的主人 上

親愛的主人，

這是我給你的公開分手信。

你說你不能一刻沒有我，但你卻沒有一刻保護我。

那年來自德國的 NetSky 小子，把我們的小天地弄得烏煙瘴氣，還來不及收拾善後，你卻說你又不小心犯下「全天下男人，都會犯的錯誤」，一時意亂情迷相信 Bagle 那只劈腿毒蠍的 ” Let’s socialize, my friend (我們來交個朋友)”的 email 謊言。年初你為了聽周杰倫新歌 MP3，點下冒名發送的 MSN訊息的網址連結，就像那封不懷好意的生日電子賀卡一樣，結果又再度被間諜軟體附身。夏天月為了貪圖奧運的入場卷，居然又上了病毒的社交工程陷阱。

這次你帶我去旅行，原本是愉快的經驗，卻又讓我傷痕累累，我不敢相信你會為我而改變。以下是我在這次旅行的驗傷清單：

1. NoteBook 的泣訴.：”居然害我差點被拍賣”

傷害地點：機場貴賓室

傷害行為：險被遺棄

狀況描述：你離開機場貴賓室前往候機室時，居然只拎起隨身行李，把我孤伶伶地丟在沙發上。時間一分一秒過去，你的背影離我愈來愈遠。一個看起來很像恐怖份子的外國人端著咖啡注視著我，「不要碰我！」我恐懼地吶喊，「把那杯黑漆漆的咖啡離我遠一點。」在短短的30秒，我心裡想的盡是我幫你保管的客戶名單、業務提案、預算編列。還好這個男人面惡心善，他把我轉交給服務人員，讓我重回你的身邊。

你知道嗎？我的好朋友前陣子在機場被遺棄，因為沒人認領，她因此被公開拍賣了。

——————————————————————————————

辯解：我只是一時忘了，事情沒那麼嚴重啦

答辯：根據報導指出，瑞典有一家銷售加密軟體的公司透露，他們曾在英國機場拍賣會中購得三台筆記型電腦，並以網路上取得的免費軟體，成功地將其中一台原本刪除的硬碟資料恢復。另外，該公司也從買來的 100 台二手電腦中，從 70 台取出私密的資料。其中一台從 eBay 拍賣網站買到的筆記型電腦，前主人為歐洲某大保險公司，硬碟裏鉅細靡遺的記載客戶的聯絡地址、生日電話等個人基本資還有公司網路的登入密碼。

可見丟掉筆記型電腦不打緊，要是洩漏商業機密可就損失慘重了。

————————————————————————————————

2. NoteBook的泣訴.：”居然把購屋基金給了不認識閃靈刷手”

地點：露天咖啡座

傷害行為：信用卡遭盜刷

狀況描述：自助旅行的第 3 天，你在露天咖啡座無線上網時，發現有人在 eBay 跟你競標美國大聯盟全壘打簽名球，於是你迫不及待的以直接購買價，用信用卡付清款項。當你在用筆記型電腦無線上網的同時，已經有「鄰居」把你的信用卡帳號密碼全都偷走了，難怪你會收到一堆天文數字的盜刷帳單。

現在不要再提幫我擴充空間的事，先把閃靈刷手盜刷的那一屁股債，趕緊還清吧！

————————————————————————————————

辯解：我不知道坐在我隔壁的那個人，會偷窺我的密碼和帳號

答辯：駭客不需要坐在你隔壁偷看也可以進行無線網路入侵。如果提供無線連線的公共場所，沒有採取網路安全防範措施，駭客只需要一張廉價的無線網卡、強波器加上免費下載的軟體，就可以探測無線電訊號，以頻率相同的訊號截獲傳輸資料。

————————————————————————————————

3. NoteBook 的泣訴：”居然和別人分享我們的秘密”

傷害地點：黑心旅店101房

傷害行為：被植入后門程式，監控行動

狀況描述：自從買了新數位相機，你逐漸迷上攝影，總是急著要把照片 PO 上部落格，連出國旅行都不例外。那天到了飯店的101房，無線上網的設施讓你喜出望外地盡情分享你用照片紀錄的旅遊見聞。不過，你可知道當你鎖上了房門，卻為網路小偷開啟了隱形的門。因為你的 Windows 作業系統不但沒設密碼權限，還將檔案共享功能開啟，這使我毫無防備地被駭客一覽無遺。

那個小偷，還利用網路管理員用來稽核網路安全的管理工具 NMAP 或 Stiffer 在飯店各樓層閒逛，就像尋找沒上鎖的房門般，一一地掃描端口，進行漏洞攻擊、密碼猜測，臨走前還植入後門程式，以便天涯海角地跟著你，隨時再度光臨。

我就這樣被 Bot 這個皮條客，秘密地許配給駭客老大。不但抽不到傭金，還像機器人一樣，被遙控執行地下任務。在人家信箱塞滿壯陽藥、A片等垃圾信函，還被迫與其他殭屍機器綁架人家網頁。

嗚嗚～我堅決跟你分手，不再留戀你所謂的那些美好的網路生活！

筆記型電腦 上

———————————————————————————————–

辯解：我不知道檔案共享功能是開啟的

答辯：檢查資料夾是否預設為開啟的方法，在”我的電腦”按右鍵選"管理" ，可以用停止分享或是設定管理者密碼，以防病毒藉由檔案分享，進入系統，然後將正常檔案覆寫改成病毒執行檔。

提醒你，分享檔案目錄預設是開”允許最大數”的權限，一般人會疏忽此點，正好給了駭客共享的機會。所以最好指定開放權限。否則除非你服務的單位有弱點掃描工具，不然你可能在無意間成為給駭客開後門的共犯。

P.S. 對了，最近有份新的調查報告出爐，顯示駭客已經開始利用Blog散佈間諜軟體。只要造訪者的瀏覽器有安全漏洞，就容易淪為間諜軟體散播平台，你分享照片時，可別把親友團全都荼毒了。這是我給你最後的叮嚀。

駭客使用教科書中最老舊的手法之一 - 利用密碼重設功能 - 入侵了美國副總統候選人莎拉裴琳(Sarah Palin)的 Yahoo! 個人帳號(請參考:Sarah Palin's E-Mail Hacked )，還把他入侵成功的證據公諸於世。如果連美國副總統候選人都會發生這種事，你能夠倖免嗎?當然不可能。

密碼重設功能可讓你變更遺失或忘記的密碼，只要回答一些問題即可，而你應該已經知道這些問題的答案。不過，如果你選擇了別人也能回答的身分確認問題，他們就能輕易重設你的密碼。然後，要求重設密碼的人便能取得帳戶的完整存取權限 — 這就是莎拉裴琳遭遇的問題。據新聞報導指出，駭客在 Yahoo! 的身分確認問題清單中正確地選擇了「你在何處遇見未來的另一半？」這個問題，然後試過一些 "Wasilla High School" 的不同表示方式之後，最後成功猜出 "Wasilla high" 這個答案。

 

圖 1.假的BSOD 事實上只是螢幕保護程式 ，還插入文字嚇你說你使用的防毒產品未註冊。

圖 2現在甚至連重新開機畫面同樣也是螢幕保護程式中假裝的，其中都被插入文字 這個流氓軟體感染的途徑可能是透過垃圾電子郵件、垃圾即時訊息，甚至是社交網路網站上的廣告。 

當使用者按下惡意連結之後，他們就下載了這個流氓程式。這些連結會指向惡意程式，該惡意程式會導致 PC 上出現各種訊息，曾經使用過的包含彈出式視窗或修改過的背景， 指出系統已遭病毒感染若要移除中毒感染，使用者必須花錢購買完整的間諜程式防護軟體。像連續劇一般，這次使用的手法是警告你目前使用的防毒軟體版本為未註冊版，目的是要你掏錢購買所謂的正式版。


相關報導： 百萬關鍵字遭流氓軟體綁架 Antivirus 2009 造假搶先發佈
IE7.0、Yahoo Messenger 最新版本下載，有詐

雖然觀察社交工程攻擊動態的專家預期在金融危機爆發之際，可能出現一波攻擊熱潮，但無論是否遭金融危機波及，銀行現已成為社交工程圈套的一項標準.。然而，由於此刻正面臨風暴的金融業者已成為社會大眾關切的對象，因此使用者成為銀行相關詐騙圈套受害者的可能性也愈來愈高。線上銀行使用加密通訊協定來保障網路傳輸資訊的安全，而駭客也不放過利用這項技術為非作歹的機會。根據「 Trendlabs 趨勢科技全球網路安全實驗室」近日的報告指出，繼四月及五月出現的網路釣魚圈套(請參閱假數位憑證、 Rock 網路釣魚工具套件)之後，在新聞浪頭上的美林集團(Merill Lynch)也先後遭受駭客利用，首先是5月發現一波鎖定美林商務中心 (Merill Lynch Business Center) 客戶散發的網路釣魚郵件後(Merrill Lynch’s Rock Phish Digital Certificate)，9月底又發現一個詐騙圈套鎖定了美國第四大的連鎖銀行 Wachovia，不到一周有一個極為雷同的圈套利用美林集團作為誘餌，該公司最近才因為美國銀行 (Bank of America) 備受矚目的脫困收購案而受到媒體高度關注。該信件聲稱為了提升帳號安全性，必須點選信中所附連結，填寫5個私人相關問題，以便將來登錄時進一步安全驗證。當使用者因懼怕財產因安全性不足而蒸發，往往會按下連結，如此一來便會下載名為 BKDR_AGENT.AWAF 的惡意程式。它會破壞系統安全性，允許遠端使用者在遭感染系統上執行命令，還會植入具有 Rootkit 功能的 TROJ_ROOTKIT.FX，以便於隱用於隱藏惡意檔案與執行程序。

雖然觀察社交工程攻擊動態的專家預期在金融危機爆發之際，可能出現一波攻擊熱潮，但無論是否遭金融危機波及，銀行現已成為社交工程圈套的一項標準.。然而，由於此刻正面臨風暴的金融業者已成為社會大眾關切的對象，因此使用者成為銀行相關詐騙圈套受害者的可能性也愈來愈高。線上銀行使用加密通訊協定來保障網路傳輸資訊的安全，而駭客也不放過利用這項技術為非作歹的機會。

根據「 Trendlabs 趨勢科技全球網路安全實驗室」近日的報告指出，繼四月及五月出現的網路釣魚圈套(請參閱假數位憑證、 Rock 網路釣魚工具套件)之後，在新聞浪頭上的美林集團(Merill Lynch)也先後遭受駭客利用，首先是5月發現一波鎖定美林商務中心 (Merill Lynch Business Center) 客戶散發的網路釣魚郵件後(Merrill Lynch’s Rock Phish Digital Certificate)，9月底又發現一個詐騙圈套鎖定了美國第四大的連鎖銀行 Wachovia，不到一周有一個極為雷同的圈套利用美林集團作為誘餌，該公司最近才因為美國銀行 (Bank of America) 備受矚目的脫困收購案而受到媒體高度關注。該信件聲稱為了提升帳號安全性，必須點選信中所附連結，填寫5個私人相關問題，以便將來登錄時進一步安全驗證。當使用者因懼怕財產因安全性不足而蒸發，往往會按下連結，如此一來便會下載名為 BKDR_AGENT.AWAF 的惡意程式。它會破壞系統安全性，允許遠端使用者在遭感染系統上執行命令，還會植入具有Rootkit 功能的 TROJ_ROOTKIT.FX，以便於隱用於隱藏惡意檔案與執行程序。

日前又再發現利用假的網路傳輸安全加密機制 SSL (Secure Sockets Layer) 憑證進行詐騙的新案例。這一次惡意程式作者使用 Rock 網路釣魚工具套件偽造了 Open Banks Enterprises 網站。在下圖顯示的偽造網站中，我們可以看到加入這個開放性銀行社群的數家銀行。

和類似的網路釣魚及惡意程式散播圈套一樣，這個詐騙網站會要求使用者下載一個新的安全憑證。網站中甚至還針對 Windows 使用者與 Mac 使用者分別提供不同的選項，將使用者引導至他處下載 .EXE 檔案，這些檔案會在系統上進行惡意活動，破壞系統安全性，而非像安全憑證一樣可保障線上交易安全。

日前又再發現另一波數位憑證攻擊，這一次被捲入其中的是 Standard Bank。 詐騙網頁 (同樣也是使用 Rock 網路釣魚網址) 要求使用者下載一個 128 位元的升級憑證。而下載的 .EXE 檔也是屬於惡意性質。兩個下載檔案分別為 TROJ_SMALL.MJZ 與 TROJ_AGENT.ARNU。TROJ_SMALL.MJZ 會下載一個偵測名稱為 TSPY_PAPRAS.AR 的間諜程式。而 TROJ_AGENT.ARNU 則會下載 Possible_Crypt，這是一個具有變更 DNS 目錄功能的惡意程式。

註：垃圾郵件的樣本：

假造的美林集團來函

＠參考原文：In The Virtual Crime World, Merrill Lynch Follows Wachovia’s Fate （美林 (Merrill LynchIn) 集團在虛擬世界中面臨與 Wachovia 銀行相同的命運）

Fake SSL Certificates Seen Again （又見假 SSL 憑證）

研究人員發現一個新的 ZLOB 木馬程式變種會設法取得使用者路由器管理功能的存取權限，以修改遭感染使用者的 DNS (網域名稱系統) 設定。DNS 可將人類可辨識的電腦主機名稱轉換為相對應的 IP 位址。而路由器則是用於將 LAN (區域網路) 要求轉向適當的遠端目的地 - 基本上就是通往網際網路的閘道。從這個木馬程式所呼叫的檔案名稱即可看出惡意程式作者鎖定的是哪些路由器。其中一些網址的結尾為 以及 ，這些都是熱門品牌路由器所使用的檔案名稱。

研究人員發現一個新的 ZLOB 木馬程式變種會設法取得使用者路由器管理功能的存取權限，以修改遭感染使用者的 DNS (網域名稱系統) 設定。DNS 可將人類可辨識的電腦主機名稱轉換為相對應的 IP 位址。而路由器則是用於將 LAN (區域網路) 要求轉向適當的遠端目的地 - 基本上就是通往網際網路的閘道。從這個木馬程式所呼叫的檔案名稱即可看出惡意程式作者鎖定的是哪些路由器。其中一些網址的結尾為 以及 ，這些都是熱門品牌路由器所使用的檔案名稱。

使用遭感染路由器的所有 PC 都會面臨風險，因為它們的要求會經由路由器而轉向他處。因此，此一攻擊的影響層面比在桌上型電腦層級綁架通訊活動的 DNS 變更程式更深遠。以路由器為攻擊目標的 TROJ_ZLOB.CCT 能一網打盡更多受害者，即便網路環境中只有一個使用者遭感染。

除此之外，這個木馬程式會將程式碼植入正常的系統處理程序 (svchost.exe) 中，以便常駐於電腦的記憶體。使用者無法藉由從工作管理員中終止惡意程式處理程序的方式來阻止這個木馬程式。

這個木馬程式只要一執行就會變更路由器設定；因此即使將惡意程式完全移除，系統的通訊活動仍會受影響。所以清除工作應從兩方面著手：PC 上的木馬程式必須徹底清除，而路由器本身的設定也必須加以重設 (包括密碼與/或使用者名稱)。 在這個案例中，木馬程式並非依賴特定應用程式的安全弱點，而是利用網路管理作業中經常被忽略的一點：未定期變更路由器管理員使用者名稱與密碼。使用者通常不知道他們的路由器也可能遭遇這類攻擊，或者他們事實上能夠修改路由器的設定，而非開箱後直接使用 (有線) 或安裝 (無線)。

使用者面臨的風險與資料外洩問題

遭遇這個資安威脅的使用者會在他們不知情或未同意的情況下被轉向非預期的目的地。不知已遭感染的使用者可能按下網站中的連結，信賴其內容，或提供隱私資訊，以為他們正在瀏覽的是已知或安全的區域。

未安裝內容安全解決方案的 PC 使用者的數位資產、隱私以及聲譽可能因此而面臨風險。對企業網路而言，應注意一台路由器遭感染同樣也會導致經由此處的所有通訊活動被轉向遭竄改的 IP 位址。而使用同一台路由器的所有電腦也將因此而面臨風險。截至本文撰稿時，絕大多數遭感染的使用者均位於北美地區。

相關資安威脅的技術資訊，請參閱：http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ZLOB.CCS

http://blog.trendmicro.com/new-zlob-rigs-routers/

以下文章中有其他會變更 DNS 設定的木馬程式的相關討論：

http://blog.trendmicro.com/more-than-a-half-a-million-web-sites-compromised/

http://blog.trendmicro.com/blended-targeted-attack-in-mexico-now-a-dns-changer-and-a-botnet/

http://blog.trendmicro.com/rogue-domain-name-system-servers-part-2/

在 TROJ_ZLOB.CCT 的詳細技術資訊中可找到它所使用的使用者名稱與密碼清單： http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FZLOB%2ECCT&VSect=T

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ZLOB.CCT

請參閱以下惡意程式部落格文章中有關這個資安威脅攻擊的討論：

TROJ_ZLOB.CCT 偽裝成解碼程式，並可透過多種途徑散播，以感染目標系統。它可由 PC 所感染的另一個惡意程式由其他網站下載，也可趁著使用者瀏覽網站時暗中下載。值得注意的是，使用者通常是因為誤信他們需要某種解碼程式才能播放垃圾郵件中所提供的影片，所以才下載 ZLOB 變種。 這個木馬程式執行之後，會呼叫路由器首次使用時用以設定各項參數的檔案 (通常是路由器安裝套件中所含的內部網頁檔案)。接下來它會測試幾組使用者名稱與密碼，設法存取設定功能。一旦成功猜出正確的使用者名稱與密碼之後，這個木馬程式便會修改遭感染系統所使用的路由器的 DNS 設定。DNS 設定遭竄改之後會將使用者轉向完全不同的伺服器 (非預設或服務供應商所設定的伺服器)。這台伺服器可能將使用者引導至不同的網址，或許是惡意或釣魚網頁，而非預期的目的地。

使用者若曾遭這個資安威脅感染，必須將他們的路由器設定重設為出場預設值，並將登入資料安全性調整至更高層級。請參閱製造廠商技術文件中的說明，以瞭解實際的操作方式。建立高安全性密碼的最佳方式包括在密碼中混用英文字母、數字、符號以及大小寫字母。密碼至少應包含八個字元，並且應定期變更。

以上文章來源： TrendLabs 趨勢科技全球病毒實驗室