華盛頓郵報記者Brian Krebs 所寫的這篇文章：When Cyber Criminals Eat Their Own，很有意思的點出部份由俄國及中歐電腦罪犯集團散佈的知名惡意軟體，當偵測到可能的受害者為相同國籍用戶時，會刻意避開不去對該電腦進行感染。文中說根據Microsoft微軟工程師的分析（an analysis）指出，Conficker worm(又名Downadup)病毒的一些版本，如果偵測到使用者的系統使用烏克蘭語的鍵盤輸入，軟體就會停止安裝動作。

【2009 年 2 月24 日台北訊】資訊安全廠商趨勢科技 今日針對一波 Adobe9.0.0系列產品安全漏洞攻擊事件提出警訊，消費者於網路上進行相關文件資料搜尋時，一旦線上直接開啟文件PDF檔，即可能造成 Adobe程式使用出現當機等異常現象，並且可能遭駭客植入BKDR_NETCL.A、EXPL_EXECOD、AJS_SHELLCOD.JS、TROJ_AGENT.ZWQA、TROJ_FAKEAV.LKQQ 等五隻惡意程式，遭感染的電腦即可遠端被駭客遙控，不但個人資料遭竊，也可能成為駭客發動其它惡意攻擊行為如發送垃圾郵件的跳板。

目前發現安全漏洞攻擊之Adobe產品包含：

◎Adobe Acrobat Pro 9.0.0 and earlier versions

◎Adobe Acrobat Pro Extended 9.0.0 and earlier versions

◎Adobe Acrobat Reader 9.0.0 and earlier versions

◎Adobe Acrobat Standard 9.0.0 and earlier versions

趨勢科技 資深技術顧問簡勝財建議，除留意Adobe官方發佈的安全漏洞修補程式通知之外，避免直接於網上開啟PDF文件檔也是避免遭受攻擊的自保方案之一，另趨勢科技已可偵測到上述之惡意程式，懷疑感染的消費者可使用趨勢科技產品替自己的電腦進行安全健診。

人在軟弱的情況下最容易成為犯罪活動的受害者。厲害的社交工程手法利用可能的受害者的弱點，迫使受害者“立即行動”。在失業或不確定的時期，你的內在判斷能力受矇蔽，失去理性的決定常導致更複雜的問題。經濟不景氣的相關詐騙手法包含：股票買進賣出的假訊息、退稅詐欺（fraudulent IRS refunds）、虛構的工作機會（如由monster.com所發出的在家工作機會）、”輕鬆賺大錢”等手法。

現在已經有超過7萬1千4百人正苦惱著要如何找到新工作以養家活口，（CNN 財報相關報告）。這也使得求職網站威脅日漸浮現，要利用網站找工作得更加當心資料外洩防護等安全問題。美國著名的求職仲介網站”Monster”出現安全漏洞，駭客利用客製化電子郵件，企圖竊取資料販售。類似的求職網站例如Huxley和Jobs.Com也被駭客攻擊，藉著濫發假裝来自合法的郵件，假裝求職應徵不被錄取通知，誘使用戶打開帶有WORM_PROLACO.C.的病毒。該病毒還會透過移動式硬碟和P2P 檔案交換軟體散播，它會偽裝成電話鈴聲、影音分享檔案、密碼竊取程式等檔案吸引使用者下載。目前已發現了26 個檔案名稱，網友下載檔案時請當心（詳見附註）。

下面電子郵件樣本是冒充jobs.com發送的信件：

信件來源看似來自人力資源部門:hr@jobs.com

信件標題是：「Thank you for your application」

附件是：copy of your application.zip

以下這個是 Huxley Associates 求職網樣本:

根據Data-Breaches-Job-Loss-and-Fraud--Oh-My.個資外洩 失業！喔天阿一文所述，哈特蘭付款系統公司（Heartland Payment Systems Inc.）超過一億筆的信用卡號與持卡人姓名資料遭盜取（reported a data breach）。Monster.com也爆出該網站使用者帳號、密碼、電子郵件及其它個人資料遭入侵（reporting a compromise），通告該網站使用者立即變更密碼。不幸的是，moonster.com多數的使用者只有在找工作時才會經常性地登入網站使用帳號，這表示許多該網站的使用者將無法收到通知以便即刻變更密碼。許多的帳號因此成為身份與資料竊盜的良機。

網站個資外洩事件不斷，再加上失業的人數急遽上揚！如CNN財報所報導（this report），某日單天就有超過7萬1千4百人失業的消息，（之前看的時候數字是6萬8千，失業的人數在一天內就急遽上揚！）這兩種情況混合之下，詐欺與詐欺受害者的危機升高！

＠原文參考來源：趨勢科技TrendMicro Malware blogWhen the Going Gets Tough, the Scammers Get Going

＠附註：
WORM_PROLACO.C.會透過移動式硬碟和P2P 檔案交換軟體散播，它會偽裝成電話鈴聲、影音分享檔案、密碼竊取程式等檔案吸引使用者下載。以下是目前發現的檔案名稱：

1. Absolute Video Converter 6.2.exe

2. Acker DVD Ripper 2009.exe

3. Ad-aware 2008.exe

4. Adobe Acrobat Reader keygen.exe

5. Adobe Photoshop CS4 crack.exe

6. BitDefender AntiVirus 2009 Keygen.exe

7. Daemon Tools Pro 4.11.exe

8. Download Accelerator Plus v8.7.5.exe

9. Internet Download Manager V5.exe

10. LimeWire Pro v4.18.3.exe

11. Microsoft Visual Studio 2008 KeyGen.exe

12. Motorola, nokia, ericsson mobil phone tools.exe

13. Myspace theme collection.exe

14. Nero 8 Ultra Edition 8.0.3.0 Full Retail.exe

15. Norton Anti-Virus 2009 Enterprise Crack.exe

16. Opera 10 cracked.exe

17. Password Cracker.exe

18. Red Alert 3 keygen and trainer.exe

19. Smart Draw 2008 keygen.exe

20. TCN ISO cable modem hacking tools.exe

21. TCN ISO SigmaX2 firmware.bin.exe

22. Ultimate ring tones package1 (Beethoven,Bach, Baris Manco,Lambada,Chopin, Greensleves).exe

23. Ultimate ring tones package2 (Lil Wayne - Way Of Life,Khia - My Neck My Back Like My Pussy And My Crack,Mario - Let Me Love You,R. Kelly - The Worlds Greatest).exe

24. Ultimate ring tones package3 (Crazy In Love, U Got It Bad, 50 Cent - P.I.M.P, Jennifer Lopez Feat. Ll Cool J - All I Have, 50 Cent - 21 Question).exe

25. VmWare keygen.exe

26. WinRAR v3.x keygen RaZoR.exec

如果你使用TrendMicro 趨勢科技WTP Add On 泡泡視窗突然出現由 :「已發現僵屍病毒!」，這表示駭客可能在背後試圖遠端連線操縱你的電腦，發動僵屍網路（或稱為傀儡網路）攻擊他人電腦，你也許查絕不出電腦有何異樣，這真的不是惡作劇。 最近崔嘻輾轉得知有位朋友，在試用Trend Micro 趨勢科技WTP Add On 網頁威脅防禦工具 之後，心情宛若洗三溫暖，剛開始崔嘻看到他說：「我這幾天安裝了 Trend Micro趨勢科技 WTP Add-On。其實整個的使用體驗算是蠻優良的，以一個免費掃除Spyware的軟體來說，實在是令人感動的臺灣廠商產品啊。」這時崔嘻也跟著感動總算有人支持台灣研發的防毒軟體。但接著他開始陳述他的憤怒，原因是他在某天上網時，WTP Add On 網頁威脅防禦工具 出現了以下畫面：

他的電腦右下的泡泡視窗突然出現由WTP Add On 網頁威脅防禦工具 所引導出的字樣：「已發現僵屍病毒!」於是他Click「最佳上網防護」出現了以下這個頁面：

誤會在這裡發生了…..他認為趨勢科技跟他開了個不好玩的玩笑。甚至以為這是個惡作劇的行銷策略。於是崔嘻走訪產品經理，經過瞭解後，發現這個「已發現僵屍病毒!」的對話框，確實是在WTP Add On 網頁威脅防禦工具 發現疑似殭屍病毒時，會彈出的視窗。而不是三不五時惡作劇跳出來要引導使用者到 PC-cillin TIS Pro 2009 這個購買頁面。

在說明這個訊息跳出來的原因之前我們先來看看以下關於 Bot 殭屍電腦的描述：

什麼是bot? 所謂的 "Bot" 就是傀儡電腦，指的是已暗中被吸收成為傀儡網路成員的 PC， 而傀儡網路Botnet（也稱為 殭屍電腦)，指的是一群有組織的傀儡電腦或殭屍電腦所組成，能用以協助網路罪犯散發大量垃圾郵件、竊取身份資訊、偽造點閱數以及散播色情及其他惡意內容的龐大網路。

人人都有可能因網路行為 而成為不法集團操縱的傀儡電腦 進行網路犯罪 當一部電腦成為傀儡網路 Botnet的一部份時，意味著Bot 操縱者可將募集到的龐大網路軍團當作機器人來遠端遙控，從事各種非法入侵。非法組織僱用程式設計師撰寫 Bot 以挾持電腦，這些所謂的僵屍電腦的下場就是淪為各種犯罪活動的工具，用來散播垃圾郵件、發動網路釣魚攻擊甚至是分散式服務阻斷攻擊 (DDOS)。透過網路釣魚所取得的信用卡卡號出租或出售給其他犯罪組織，時價為十組信用卡卡號 20 美元，甚至連聊天室都有人兜售信用卡。多起案例顯示，許多人電腦被傀儡控制者當跳板盜用別人信用卡而不自知，直到警方找上門才知道自己揹黑鍋。

Bot 怎麼植入我的電腦？如果一台作業系統和瀏覽器有漏洞的PC訪問了一個含有惡意程式的網站或是部落格，可能在不知情的情況下就感染了。尤其是許多人喜歡在網路上交換影音或音樂檔，但下載同時可能不知不覺就讓電腦中毒了，駭客藉此遠端端控制你的電腦，不只會竊取個人隱私、監控上網活動，電腦還會像傀儡一樣被控制，變成駭客竊取他人電腦資料的幫兇！

全台有三分之一電腦遭植入傀儡/殭屍病毒 以下是相關統計數字

-FBI: Botnet 殭屍網路受害者超過 1 百萬人

-全台有三分之一電腦遭植入殭屍程式

-約7.5成 IT安全人員，沒有意識到殭屍網路威脅

-Gartner估計在本年度末大概會有75%的企業會感染上殭屍病毒

-根據 Marshal 的報導，有六個 Botnet 必須為現今 85% 的垃圾郵件與網路釣魚電子郵件負責。

-Shadowserver Foundation宣稱在 2007 年 5 月，Bot 數量已成長達驚人的 3 百萬。部分研究人員甚至提出與網際網路連線的 11 億部電腦中，有 11% 遭到感染而非自願地成為 Bot 網路的一部份。

再回到前述使用者跳出相關訊息的問題，在安裝WTP Add On 網頁威脅防禦工具 之後，一旦殭屍電腦的操控者試圖遠端連線操縱該電腦時，WTP Add On 網頁威脅防禦工具 就會偵測到，並發出警告訊息。也就是說該名使用者的電腦有僵屍病毒埋伏其中，在僵屍網路操控者發動遠端指令準備指揮這些毫不知情的僵屍電腦做網路攻擊行為時，WTP Add On 網頁威脅防禦工具 發現了並給予阻擋連線。

但這個試用版軟體，並無法完全替代防毒軟體，因此建議使用者升級到正式版。才可能徹底清除該病毒，否則只能在殭屍網路試圖發動連線時，予以阻擋。 當然，不得否認的這樣的訊息顯示流程是會讓使用者產生不好的觀感，因為大多數人發現中毒後都會急著點選 Click 看看下一步防毒軟體會幫我如何處理，因此讓這位網友以為自己被擺了一道。

不過真的非常感謝這位朋友的提醒，讓相關人員更瞭解使用者感受，另一方面針對更明確訊息的陳述，已請專人協助改善，新版本的WTP Add On 網頁威脅防禦工具 ，將會有所改善。若有其他意見，也歡迎透過本文留言，崔嘻也可以幫大家轉達。
多謝多謝！

＠延伸閱讀：趨勢WTP免費網頁威脅防禦工具簡測

作者：Aivee Cortez (詐騙分析員)

在現在這個經濟危機中，人們會比較相信政府可以提供可能的就業機會。不幸的是，網路罪犯也知道這一點，而且還利用這個情況攻擊與求職有關的政府網站。

巴西的 Ministerio do Trabalho e Emprego (勞工暨就業部) 就遭到網路罪犯偽造，用來散佈惡意檔案：

圖表 1. 偽造的巴西「勞工暨就業部」網站

會導向可下載連結的連結顯示於網站的左下角：

圖表 2. 巴西「勞工暨就業部」網站

可下載的檔案 despacho_artigo987221.scr 已經被趨勢科技 (Trend Micro) Smart Protection Network 定義為 TROJ_BANLOAD.JMO。TROJ_BANLOAD.JMO 會藉由搜尋具有下列副檔名的檔案，來收集中毒電腦中的電子郵件位址：

• .dbx

• .eml

• .mai

• .mbox

• .mbx

• .tbb

• .wab

收集到的電子郵件位址會儲存在中毒系統上的文字檔中，然後透過 FTP 傳送給遠端「投寄箱」(Drop Box)。這個計謀可能是一個收集電子郵件的技術，而收集到的電子郵件位址將會用於未來的垃圾郵件傳送活動中。

TROJ_BANLOAD.JMO 也會連線至特定的 URL 下載定義為 TSPY_BANKER.MOA 與 TSPY_BANKER.MOB 的惡意檔案。TSPY_BANKER 變體是惡名昭彰的資訊竊取程式，專門從中毒系統上竊取銀行服務相關的資訊。

文中的這項攻擊行動使巴西求職者面臨其銀行服務資訊遭竊的風險，這只會使中毒使用者目前的處境更加惡化。

趨勢科技 (Trend Micro) Smart Protection Network 已經偵測並封鎖上述偽造網站與惡意檔案。

@免費防毒軟體

iClean 解毒快手懷疑中毒嗎？解毒我最快

WTP Add On 零干擾 免費拆除黑心連結

免費試用TIS 「秒殺毒駭 精準輕快」防毒軟體

今天崔嘻看到這則新聞，太陽集團隨身碟 疑有毒（蘋果日報），話說有位小姐指她花費一千八百元購買太陽劇團周邊商品中的隨身碟，結果隨身碟裡有電腦病毒。崔嘻覺得這則新聞似曾相識，其實趨勢科技 TrendLabs 在2006年也報導過類似案例，只是當時不是發生在台灣，媒體的關注度沒有很高。以下是兩個案例：

＠案例一：麥當勞回收含毒的贈品MP3 播放器

話說日本麥當勞在 2006 年 10 月 13 日星期二發布的聲明中，將收回近 10,000 台作為促銷獎品的 MP3 播放器。原因是因為部分 MP3 播放器被發現感染了 WORM_QQPASS.ADH。這隻蠕蟲會透過卸除式磁碟機散佈，而這很可能就是感染原因。

一旦遭感染的 MP3 播放器插入使用者的 USB 插槽之後，這隻蠕蟲惡意程式會自動執行。這項行動是由惡意程式植入的 autorun.inf 檔所造成的，這個檔案的目的就是執行這隻蠕蟲。此外，據稱在一些 MP3 播放器上還發現了另外兩個木馬程式 - TROJ_AGENT.FAO 和 TROJ_BANLOAD.BGE。這兩個惡意程式的存在顯示 MP3 播放器供應商所使用的映像檔可能已經遭感染。日本麥當勞立即召回這些促銷的 MP3 播放器，並開放專線提供查詢。

＠案例二：部分 Video iPod 出貨時暗藏 Windows 病毒

2006 年 9 月 12 日之後上市販售的 Video iPods 在工廠出貨時不慎夾帶 Windows RavMonE.exe 病毒。可能感染病毒的型號包括 iPOD 30GB (5.5G 最近升級的版本)。 iPod nano、iPod shuffle 與 Mac OS X 並未受到影響，而 Apple 表示，目前市面上所有的 Video iPods 均未受任何病毒感染。此問題可能是因為受影響機型的製造工廠未使用最新的防毒產品而造成。

這隻名為 WORM_SIWEOL.A 的病毒會感染 Windows 98、ME、NT、2000、XP 與 Server 2003 系統，它會透過卸除式磁碟機四處散播，將病毒複製到所有可用的實體磁碟機上。WORM_SIWEOL.A 還具備後門功能，可讓遠端使用者取得受感染電腦的控制權，使其變成僵屍電腦，成為傀儡網路的成員之一。

趨勢科技資深威脅分析師 Jamz Yaneza 表示。「般消費者應持續更新他們的安全防護與防毒產品/服務，尤其因為目前產品大多都委外生產，有時產品出貨的品質控管可能不夠周全。」

@延伸閱讀：USB病毒防治重點

＠免費防毒

攔截傀儡網路所發出的垃圾郵件惡意連結WTP Add On 免費拆除黑心連結

智慧型啟發式掃瞄技術可偵測出大多數傀儡網路變種：免費試用PC-cillin TIS Pro 2009「秒殺毒駭 精準輕快」防毒軟體

2004年美國總統布希的官方競選網站遭到駭客，一度癱瘓達數個小時之久。當時，有網友利用GOOGLE搜尋“布希”，也總會出現大量虛假網站與資訊，裏面充斥著編造的故事與尖刻的諷刺。駭客在網站上貼上自己編造的新聞，如“總統闡述經濟奇蹟，失業與財政赤字”等。美國另一個總統柯林頓也被駭客惡作劇，他的漫畫頭像右眼被黑眼罩蒙住，並警告網友不可碰他的左眼。很多不信邪的網友就是偏要用滑鼠試試看會發生什麼事，結果導致電腦會立刻重新開機，硬碟被格式化！
　最近也有一個好玩的政治人物遊戲在網路上流傳，看起來像是我們小時候玩的圈圈叉叉遊戲。同樣的，這裡也暗藏陷阱。

2009年以色列立法委員選舉，被垃圾郵件發送者用來做為讓使用者下載惡意軟體到系統中的誘餌。這個選舉原本應於2010年舉行。但由於總理埃胡德Ehud Olmert辭去Kadima前進黨黨魁一職，和新任總理莉芙妮Tzipi Livni未能組成了聯合政府之故，該項選舉將會提前舉行。 - informs BBC .

這種垃圾郵件利用名為以色列選舉競賽（Israeli Election Competition）的遊戲，誘騙收件者下載惡意軟體。

圖一．邀請收件者玩選舉遊戲的電子郵件

圖二．惡意檔案偽裝成遊戲

被下載的檔案是zip壓縮檔，使用檔名為game1.exe和game2.exe，含有Flash圖像。這是個惡意檔案（TROJ_DROPPER.JCM），會放置收集電子郵件帳號的程式（TROJ_MYDOOM.CV）。

其它消息告知（未經證實）據信俄國駭客行動份子佈局（believed to have staged）攻擊吉爾吉斯Krygyztan共和國。安全研究人員發現數個位於吉爾吉斯的網路服務供應者曾遭到DDoS攻擊。幕後主導威脅的駭客推測使用了俄國的伺服器。

駭客行動主義（Hacktivism）簡單而言就是駭客技術（hacking techniques）與行動主義（activism）的結合，是一個正在成長中的趨勢，涉及了網路安全及全球政治關係。

趨勢科技Trend Micro先進威脅研究員Paul Ferguson在部落格（this blog post.）中討論了駭客行動主義和其它知名案例，

· New Year Ushers in New Waves of Hacktivism （新年帶來新一波駭客行動主義）

· Defacers UNmask the UN （聯合國網站受“變臉defacer”遮面）

· Web War Erupts between Sweden and Turkey （瑞典與土耳其間爆發網路戰爭）

貼文來源 TrendLabs | Malware Blog - by Trend Micro
Political Issues Bleed Through the Web

@免費防毒軟體：

iClean 解毒快手懷疑中毒嗎？解毒我最快

WTP Add On 零干擾 免費拆除黑心連結

免費試用TIS PC-cillin 2009「秒殺毒駭 精準輕快」防毒軟體

閒暇之餘我常在佈告版貼文和協助網路佈告版的運作，今早在做這樣的事時，有趣的事發生了。在這個網站我安裝了PHPBB（網路佈告版市佔率最高的一種），由於版本過時，所以我就登上http://www.phpbb.com以便下載最新版本。讓我訝異的是讀到下方的公告文字：

“維修通告

很抱歉通知您，我們從過期的PHP安裝版本上的弱點處遭受攻擊。phpBB.com和相關網站在我們修護過程中都將暫時關閉。phpBB軟體本身並未發現有任何問題。

您可從http://www.ohloh.net/p/phpbb下載 php88

您可自temporary support forums或IRC: chat.freenode.net#phpbb處取得支援

- phpBB 團隊”

圖一．PHPBB的警告訊息

我的直覺反應是嗯，事情大條了，從其它網站上潮水般湧至的意見看來，每個人的看法都跟我一樣。“喔不！網路壞了”或相同的哀號迅速擴散。不幸的是，今日的網路使用者在決定下一個動作或閱讀其它部份前花在閱讀網頁的時間太短，以phpbb.com的例子來看，注意力只延長約兩行，因為第三行清楚寫出（而且是用加粗字體）：

No vulnerabilities have been found in the phpBB software itself.（phpBB軟體本身並未發現有任何問題）

太讚啦！！顯然網路並沒有完全停頓下來（而非如上週日討論的動彈不得）。PHPBB支援討論版透露該弱點是網站上另一款截然不同的軟體，叫做PHPList。這款軟體是電子報管理軟體，可在製作和寄發電子報同時增加和管理使用者。根據支援討論版：

崔嘻的同事 Peter 看了我分享的這篇文章，回信跟我說幸好他改了名字。因為他之前也叫 Robert。另外一個 蘿蔔特先生，回信抗議說，很多叫蘿蔔特的人都是好人，跟他一樣。

如果你叫 Robert 請別介意，一切純屬巧合。

嗯… 是否大多數的網路罪犯都叫 Robert？

不久前，「垃圾郵件之王」Robert Soloway 才承認他被指控的所有罪名，此外另一位住在美國佛羅里達州巴拿馬市，年方 21 歲的 Robert Matthew Bentley 也承認了與傀儡網路活動有關的幾項重罪指控。據 The Register 報導，這名美國駭客坦承入侵歐洲一家企業的電腦，用以組織傀儡網路，藉此獲得數千美元的報酬。

化名為 LSDigital 的 Robert 與其他駭客聯手將自製工具安裝到數百台 Newell Rubbermaid 的電腦上。該公司據稱因為惡意程式在其內部伺服器上產生龐大流量，導致網路共享功能無法運作，因此而蒙受大約 $150,000 美元的損失。

逮捕並起訴 Bentley 是 FBI 一項打擊傀儡網路犯罪的 Operation Bot Roast 專案的具體成果之一。包括他在內，在這次 FBI 專案行動中落網並遭起訴的傀儡網路主控者共有八名。

雖然 Bentkey 可能面臨 20 年以上的徒刑與 $500,000 美元的罰款，但據稱只要他願意協助調查及指控其他涉及傀儡網路活動的罪犯，便能獲得減刑。

FBI 實施的這項專案邁出相當可觀的一步，公開向網路罪犯宣示他們應對自身的行為有所戒惕，因為現在執法行動的範圍已延伸到網路世界中。

@原文：Another Robert Confesses to Cybercrime

＠相關文章：

[原來駭客長這樣！]-從重大病毒要犯看網路威脅趨勢（含駭客照片）

@免費掃毒工具