26 元月, 2010 07:07
推文( 0 )
兩隻網路銀行木馬家族 BANKER木馬的垃圾訊息最近現身了。第一款的垃圾訊息含有惡意連結的圖片,在點擊後使用者不但看不到想看的圖片,反而會遭TSPY_BANKER.OCN感染。第一隻木馬是利用了附件的程式檔(見圖1)。
第二隻 TSPY_BANKER.MTX 木馬有兩個組件,一個在竊取與銀行交易相關的資料,另一個則竊取電子郵件帳號資料(見圖2)。
圖1.垃圾郵件樣本1
圖2.垃圾郵件樣本2
不過這隻木馬可能互相有關聯,因為它們從使用者處所偷盜的資料最後被投擲在相同的網路伺服主機處:
{BLOCKED}unicaobr.com/phps/procopspro.php
{BLOCKED}unicaobr.com/working/lisinho.php
前往webcomunicaobr.com網站可看到更多的細節如下:
IP: 69.162.102.130 伺服主機位在美國
ASN: AS46475 LIMESTONENETWORKS Limestone Networks Inc. Primary ASN
ns1.brasilrevenda.com
ns2.brasilrevenda.com
再往下挖深一點,我們看到3個頁面顯示出受僱用的垃圾郵件散發者到目前為止所感染到的系統數量(見圖3),一式被盜資料被傳送前往的PHP伺服列表(見圖4),及一式受感染主機下載的加密資料檔案列表(見圖5)。
圖3.受垃圾郵件感染者列表
圖4.受感染的PHP伺服列表
圖5.惡意檔案列表
在未來數天內將會看到更多從該網站伺服發出的垃圾郵件,不過趨勢科技 的產品使用者不需要擔心,因為他們皆已受主動式雲端截毒服務 SPN( Smart Protection Network)、防堵垃圾郵件、惡意檔案及網域接觸到使用者,並會阻止下載已被Trend Micro趨勢科技偵測辨識出的惡意檔案TSPY_BANKER.OCN及TSPY_BANKER.MTX。
貼文來源:TrendLabs | Malware Blog - by Trend Micro
@歡迎加入趨勢科技 Trend Micro 粉絲團
欲第一手取得中英文版最新網路安全資安訊息,請找崔嘻一起噗浪
@瞭解與試用防止線上交易資料外洩的的防毒軟體PC-cillin 2010 即刻免費試用
@相關報導:旗艦級防毒軟體+雲端運算防毒技術, 網路安全一指搞定
