全球各地著迷於奧斯卡金像獎的人看來不是只有粉絲而已。就在今年影藝學院頒獎典禮剛過後的一天，趨勢科技Trend Micro威脅研究人員就發現了假防毒軟體的變種出現在搜尋結果頁面的頂端。

圖1、出現在Google搜尋結果中

會導致假防毒軟體下載的項目

 智利地震搜尋結果，假冒 Wiki 植入假防毒軟體惡意連結

今天早上小編打開噗浪的看噗，才發現早上有地震，後知後覺的小編崔嘻趕緊叫醒谷哥，輸入「地震」關心一下地震消息。不過按下 Enter 鍵之前立刻就想到最近小編 趨勢科技TrendLabs 同事上週發出關於智利地震的網路詐騙。

上週末智利發生強烈地震造成上千人的死亡。立刻被所謂的駭客Black_Hat SEO（Search Engine Optimization，簡稱SEO）攻擊所利用，將多個與假防毒軟體的惡意連結，置放在以“智利地震2010 wiki（維基）”字串查詢所產生的搜尋結果的前面幾行。

圖1、搜尋結果

近數個月來，DOWNAD/Conficker前線似乎悄然無聲。不過這並不表示不會再像之前一般遭受類似的大規模感染。事實上，從Conficker工作小組Conficker Working Group (Trend Micro趨勢科技也是成員的一份子)，所公佈的資料證實該破壞程式仍處於活動狀態。最近所公佈的數據（data）也顯示出，單就2010年第一週內，平均就有1億個獨立IP位址被系統追蹤。下圖是一年中所有與被追蹤系統相聯結的獨立IP位址數量。

圖1、一年中所有獨立IP位址數量

發表者：趨勢科技資料外洩防護小組資深協理 Todd Thiemann

當「Google 攻擊」(一般稱為 Aurora、Google 攻擊或 Hydraq) 和 Gmail 帳號遭到入侵的事件首次爆發時，某些觀察家認為這些新聞有可能將衝擊雲端運算。然而隨著事件的後續進展，大家發現原來只是單純的端點漏洞問題。此處並非要淡化這項攻擊的重要性，只是希望釐清這次的事件並非特殊的雲端安全問題，而是典型的端點安全問題。

趨勢科技已發表了一些實用而且可採取行動的資訊，還有關於 Google 攻擊的細節。我在趨勢科技 TrendLabs 威脅研究團隊的同事已經在其部落格中公佈了許多有關這項漏洞的詳細內容。Microsoft針對這項公開的漏洞以及其他七項私下通報的漏洞發佈了一份緊急修補程式。

如果您是一家企業，並且擔心自己是否正處於危險當中，建議您可以考慮看看趨勢科技提供的 Threat Management Services (TMS) 威脅管理服務。

不論您是否要採用趨勢科技的企業資訊安全產品，TMS 評估服務都能消除您心中的疑惑。如果您是一般消費者，並且擔心家中的個人電腦是否遭到感染，您可以免費下載完整功能的防毒軟體 PC-cillin 2010 試用版，請到這裡費下載，來檢查您的系統。

繼 海地賑災捐款出現網路詐騙新聞後，趨勢科技又發現一個假借國際新聞媒體 BBC 網站發的垃圾信，內容描述目前的海地最新狀況並附上影片，如下圖：

趨勢科技發現多個利用 Internet Explorer (IE) 瀏覽器未修補漏洞的新惡意程式樣本，也就是趨勢科技所偵測到的 JS_ELECOM.C 與 HTML_COMLE.CXC。這些惡意程式會利用上述漏洞連線至某個 URL 並下載一個檔案。Microsoft 已正式發佈安全性公告與修補程式。強烈建議使用者套用此修補程式 (透過手動或自動方式)，以對抗這項威脅。

為此，Microsoft 宣佈將釋出一個緊急安全更新來修正此問題。強烈建議使用者在該安全修補程式發表時立即下載。

主動式雲端截毒服務 SPN( Smart Protection Network) 可以防止使用者下載上述所有惡意檔案，並且防止使用者誤觸惡意網站，免於上述攻擊。

趨勢科技 OfficeScan™ 的使用者若搭配了 Intrusion Defense Firewall (IDF) 外掛套件，只要更新至 IDF1003879 與 IDF1003909 過濾規則，就能防止這項攻擊。

更新：

趨勢科技偵測到 HTML_COMLE.CXC 以及另一個新的漏洞攻擊程式碼，會在下載 HYDRAQ 變種之前下載其他元件，現在命名為 JS_ELECOM.SMA。JS_ELECOM.SMA 會呼叫 JS_ELECOM.SMB (其組成元件)，後者含有一些 JS_ELECOM.SMA 正確執行所必需且刻意令人混淆的資料變數。

文章來源：TrendLabs | 趨勢科技惡意程式部落格 新的 IE 瀏覽器零時差漏洞攻擊持續出現 (New IE Zero-Day Exploit Attacks Continue)

＠延伸閱讀：

·  企業與個人應該如何避免遭到類似 Google 的目標攻擊？

·  Google 與其他企業遭到網路攻擊：個人用戶與中小企業也是高危險群

·   2010年開端 政治型駭客全球選邊戰！五個網路嗆聲案例分享

·  Google 被駭攻擊事件，象徵著目標攻擊即將當道

    自從一月12日發生海地地震 以來，網路上各類愛心捐款蜂擁而至，展現全球網友無國界的大愛。不過趨勢科技 要提醒您，目前已經出現網路釣魚(Phishing)案例，不要讓愛心遭網路騙徒所利用，謹慎選擇贊助單位，捐款前先查證，尤其不要相信類似”按一個鍵，即可捐款”的簡易捐款的服務。

     趨勢科技  TrendLabs 提醒當您按下任何跟海地地震相關的連結時，得當心假賑災真詐財的捐款網頁，還有利用搜尋引擎尋找相關捐款訊息時，可能會遭假防毒軟體攔截，這些目前都有案例陸續發生。

    假防毒軟體有多囂張？請看這篇黑色產業鍊正夯:每月超過4萬8千種假防毒軟體，一億台電腦遭殭屍網路控制

 下圖是個 eMail 詐騙例子，只要點下連結，就會被引導致網路釣魚(Phishing)頁面:

最近 Google和一堆其他企業遭到攻擊的事件在媒體上掀起了一陣軒然大波，主要是因為這些企業的規模和知名度。但這次的事件其實也將電腦威脅的複雜性與精密程度真實地披露在大眾面前，還有，不論個人或企業，不論規模大小，所有人都無法倖免。

雖然這次的攻擊是針對特定的族群和企業，但事實上，任何電腦都可能成為受害者。趨勢科技 強烈建議使用者隨時將系統安裝至最新的修補程式，並且採取上述 IE 瀏覽器漏洞的因應措施，詳情請參考 Microsoft 安全性摘要報告網頁。這次一連串的攻擊，雖然採用了多重途徑，但最後的目的地都是惡意網站。使用者的系統若沒有適當防護，就可能在不知情的狀況下，下載一個惡意的 JavaScript 程式，這就是趨勢科技 所偵測到的 JS_DLOADER.FIS。這隻精心製作的惡意程式會攻擊 Internet Explorer (IE) 瀏覽器的某個漏洞，讓瀏覽器無法正常處理記憶體中的物件。

攻擊者因而取得程式內一個指向已刪除物件的無效參照指標，讓攻擊者從遠端執行程式 (只有IE 5.01 版例外)。為解決此問題，Microsoft 建議客戶啟用 IE 7 瀏覽器的「受保護模式」(若使用 Windows Vista) 並且啟用系統的「資料執行防止」(DEP) 功能。不過，如果系統沒有事先預防這項攻擊，其 JavaScript 就會連線至一個 URL，並且下載一個已加密的惡意程式，也就是我們所偵測到的 TROJ_HYDRAQ.SMA (亦稱為「Aurora」)。

這個木馬程式一旦解開並執行，就會進行一些後門程式作業，例如：執行其他檔案、終止系統服務和處理程序，更重要的是，可以竊取系統上的資訊。收集到的資料會傳送給遠端的駭客，並且進一步用於其他惡意活動。雖然有報告指出上述 IE 漏洞攻擊還會運用 Adobe Reader 和 Acrobat 的漏洞，但 Adobe 表示並沒有證據顯示其產品被用於上述攻擊當中。不過，此消息來自於一家遭到與 Google 類似攻擊的企業。根據研究，利用上述 Adobe 漏洞的惡意程式為 TROJ_PIDIEF.SHK 木馬程式，該程式會下載另一個木馬程式 (TROJ_DLOAD.COB) 到感染的系統。

趨勢科技的主動式雲端截毒服務Smart Protection Network)可以防止使用者下載上述所有惡意檔案，並且防止使用者誤觸惡意網站，免於上述攻擊。此外，趨勢科技 Intrusion Defense Firewall™ 也可防禦這些攻擊，防禦規則請上我們的威脅百科 (Threat Encyclopedia) 網站文章來源：TrendLabs | 趨勢科技惡意程式部落格Google 與其他企業遭到網路攻擊：是誰真正處於危險？(Cyber Attacks on Google and Others – Who is Really at Risk?)

延伸閱讀：

從Google 被駭事件，談內部主動監控的重要

（以下為英文，中文版稍後公布）

 http://us.trendmicro.com/us/trendwatch/current-threat-activity/zero-day-attacks/index.html?WT.seg_2=2009HP_TW_ZeroDay

修正程式發佈/部署完成前，如何減輕零時差攻擊風險？

這項攻擊似乎專門鎖定特定人士，因此目前並未廣泛流傳。稍早Google 對外宣布其電腦系統遭到駭客攻擊，受害的目標為一些位於美國、歐洲與中國境內中國人權人士的 Gmail 帳號。這起事件也引發該搜尋引擎巨擘發表聲明表示考慮徹出中國市場。其他大型企業，如 Yahoo、Dow Chemicals 與 Northrop Grumman 也傳出類似的攻擊案例。

根據獨立研究機構的推測，目前至少有 34 家公司已經遭到這項「極精密的鎖定目標攻擊」。這項攻擊呼應了我們先前的預測，那就是全球性的攻擊正在勢微當中，反倒是特定人口族群才是線上攻擊最新鎖定的對象。

這項攻擊所安裝的後門程式一旦執行，就會從被感染的系統上竊取資訊。搜集到的相關資料，會傳送至遠端的駭客，因此可能用於其它後續的惡意活動。

根據觀察，這項攻擊運用了多重管道。在某些案例中，使用者會收到含有惡意附件檔案的電子郵件，其目的是要引誘使用者下載附件檔案。不過，最值得注意的是，此攻擊利用了一個先前所有已知 Internet Explorer 瀏覽器版本 (除 5.01 版之外) 都不曾發現的零時差攻擊漏洞，讓駭客能在感染的系統上安裝一個後門木馬程式。Microsoft 也在最近的聲明中證實了 Google 和其他企業遭受的攻擊的確用到了這項漏洞。為了解決此一問題，他們建議客戶在 Windows Vista 上的 IE 7 啟用「受保護模式」並且啟用系統的「資料執行防止」(DEP) 功能。(詳細資訊請按這裡)。除此之外，該項攻擊也用到了 Adobe Reader 與 Acrobat 的漏洞。