[news]新病毒W32.Wapomi會偽裝影音播放軟體檔案

新病毒W32.Wapomi會偽裝影音播放軟體檔案

關鍵字： W32.Wapomi  QVOD  影音播放軟體
   

很多PC用戶可能都使用過一款名為「QVOD (快播)」的影音播放軟體。近期賽門鐵克安全回應中心檢測到一個病毒W32.Wapomi，它將自身檔案的版本資訊偽裝為QvodInstall Module，並且採用了一個與捷徑圖示非常相似的標識，從而誘導使用者將其誤認為是QVOD的安裝程式。
 

執行時，該病毒會通過多種方式阻止使用者刪除它所保護的註冊表鍵值，並透過映射劫(Image File Execution Options)禁止防毒軟體運行。此外，W32.Wapomi還會從指定網站下載更多的惡意程式到使用者機器並執行，並且把從使用者電腦中搜集到的資訊發送給攻擊者。


該病毒採用多種方式進行散布：1. 把自己複製到各磁碟分割的資源回收筒中，並添加對應的autorun.inf；2. 使用自帶的密碼表嘗試連接有開啟遠端共用服務的電腦，一旦成功就會試圖把病毒本身複製到遠端電腦；3. 感染在使用者電腦上找到的exe檔，被感染的檔案檢測為W32.Wapomi!inf. 當用戶執行被感染檔時，它會首先釋放W32.Wapomi並執行。

新聞出處：http://www.eettaiwan.com/ART_8800607040_480802_NT_399cc539.HTM

[iThome]資安業者發現鎖定Mac的後門程式

資安業者發現鎖定Mac的後門程式

文/陳曉莉 (編譯) 2010-04-19

迄今Intego尚未發現有任何受感染的案例，但指出已有不少論壇在散布該後門程式，代表有大量的惡意使用者也許會利用該程式嘗式攻擊Mac用戶。


資安業者Intego發現一新的變種Mac惡意程式HellRTS，當Mac用戶不小心安裝該程式後，就會開啟後門，讓駭客得以掌控該Mac電腦並執行其他行為。

根據Intego的說明，HellRTS是以通用二進位的RealBasic所撰寫，因此同時可在PowerPC及Intel-Based的Mac上運作，在使用者不小心安裝HellRTS後，它會設定自己的伺服器並配置一伺服器連接埠與密碼，同時會使用不同應用程式的名稱來複製自己，並加入使用者的登入項目中，以確保使用者登入時就能執行。

Intego表示，由於HellRTS不論是在登入項目或Activity Monitor中都使用不同的名稱，使得它更不容易被偵測，它能夠透過自己的郵件伺服器寄送郵件，並允許遠端伺服器直接存取受感染的Mac，而且還能執行諸如遠端螢幕分享、關閉或重新啟動Mac等種種行為。

迄今Intego尚未發現有任何受感染的案例，但指出已有不少論壇在散布該後門程式，代表有大量的惡意使用者也許會利用該程式嘗式攻擊Mac用戶。由於該後門程式必須被安裝才能執行，因此駭客可能會透過木馬程式或利用瀏覽器等連網程式的漏洞以在Mac上安裝HellRTS。（編譯/陳曉莉）

新聞出處：http://www.ithome.com.tw/itadm/article.php?c=60719

[iThome]日本大學職員洩漏個資1.5萬件

日本大學職員洩漏個資1.5萬件

文/張嵐霆 2010-04-28

人事課職員將業務用資料複製到USB隨身碟攜出，在家中個人電腦使用，受到電腦內P2P軟體及病毒影響而導致至少有1萬5000份個資已流入全球網路中。


位於東京的私立日本大學爆發網路個資洩漏事件，大學總務部長大工原孝週二（4/27）召開記者會證實，已洩漏個資約1萬5000件，其餘仍有未查明的部分正在追蹤調查。

洩漏原由是4/24日人事課一名職員擅自將業務用資料複製到USB隨身碟攜出，在家中個人電腦使用，受到電腦內P2P軟體Share感染的病毒影響而洩漏至網路中。

4月26日上午校方接獲匿名傳真表示網路上有大量與日本大學有關的業務文件資料，校方於同日展開追蹤調查，並於4/27日成立特別調查委員會。

根據調查報告顯示，洩漏的檔案幾乎都是Word與Excel檔，包括人事課轄下業務資料、會議記錄，以及該職員3月之前任職於日本大學醫學部附屬醫院時所管理的醫院職員通訊名冊，至少有1萬5000份個資已流入全球網路中。

大工原表示，該員隨意複製資料在私人電腦上使用是非常輕率的行為，違反了學務處訂定的資料使用規範，今後將由特別調查委員會決定該員懲處，並加強職員資安訓練辦法與資料管理規範，同時也對受此案牽連的人士致上最大歉意。

引發此案的職員已自請休假與家人離開住所，因此日媒無法直接訪問到本人。日本大學是日本國內學系最多的綜合大學，知名校友有演員中村獅童、漫畫家青山剛昌、台灣現任立法委員李鴻鈞等。（編譯/張嵐霆）

新聞出處：http://www.ithome.com.tw/itadm/article.php?c=60875

[iThome]利用PDF合法漏洞的攻擊事件出現

利用PDF合法漏洞的攻擊事件出現

文/劉哲銘 (記者) 2010-05-04

利用先前資安研究員揭露的合法「/Launch」指令，搭配社交工程手法的攻擊出現了，攻擊者將之用來傳遞Zeus惡意程式

重 點 ● 運用PDF的「/Launch」功能的攻擊手法出現 ● 攻擊者使用此手法散布惡意程式Zeus 上周iThome電腦報周刊封面故事報導了資安研究員Dider Stevens和Jeremy Conway揭露了利用PDF合法漏洞的攻擊手法，將可能成為未來PDF安全上的一大威脅。果不其然，現在利用此一手法的攻擊已經出現了。 資安廠商Websense的技術長Dan Hubbard，日前公開發表了他發現駭客開始利用「/Launch」指令，透過合法的方式搭配社交工程掩護，攻擊使用者的事件。其手法正好和資安研究員Dider Stevens和Jeremy Conway所揭露的方式如出一轍。 用PDF合法的指令，誘騙使用者打開惡意程式 兩位資安研究員所揭露的手法是這樣的，3月底，Dider Stevens證實了，可以透過PDF合法的「/Launch」指令，讓PDF檔案在開啟的時候，自動去執行任何應用程式。雖然多數的PDF閱讀軟體，都會跳出警告，但是警告的文字內容，也可以被攻擊者更改，這使得攻擊者可以透過社交工程的方式，誘騙使用者打開應用程式。 而隨後4月初，Jeremy Conway利用這個方法，證明了攻擊者可以透過被植入「/Launch」指令程式碼的PDF文件，讓另一個健康的PDF文件被植入程式碼，並且在PDF閱讀軟體沒有允許Java Script可以執行的狀況下，讓使用者只要點擊被植入了程式碼的PDF檔案，並且在被社交工程手法誘騙去點選開啟程式的狀況下，就自動連線到攻擊者指定的網站。這和過去透過PDF夾帶Java Script的手法完全不同，可以利用完全合法的手段讓使用者連上惡意網站。因為是合法的手段，這代表著在這過程中，幾乎沒有任何防毒軟體會發出警告。 散播的惡意程式為Zeus，是首宗用此一手法的攻擊 現在，根據Dan Hubbard所發表的內容，網路上已經有攻擊者開始利用這個手法，散布知名的僵屍網路惡意程式Zeus的變種。據了解，攻擊者會寄送一封夾帶有Royal_Mail_Delivery_Notice.PDF檔案的電子郵件，然後只要使用者執行此一PDF檔案，並且允許後續動作的話，就會像在使用者的電腦中植入惡意程式Zeus。這是目前首個被發現利用此一手法攻擊的惡意程式。不過此一手法最終還是利用Java Script來連外道惡意網站植入惡意程式，也沒有透過社交工程的手法去修改警告方塊的文字，誘騙使用者允許後續動作，所以還沒有像前述手法那樣高明，只要使用者關閉了Java Script執行的功能就可以避免危險。 Zeus是一個惡名昭彰的惡意程式，擁有許多變種，被感染的電腦就會被攻擊者利用，成為僵屍電腦。由於不易被發現，Zeus已經是目前在美國肆虐最嚴重的惡意程式之ㄧ，根據非正式的估計，光在美國目前就約有360萬臺電腦已經感染了此一惡意程式的各種變種。先前由華爾街日報揭露的僵屍網路「Kneber」，也是使用Zeus做為攻擊的程式。 Adobe的軟體是目前最多人使用的PDF閱讀軟體，不過針對這個利用PDF閱讀軟體合法功能的漏洞，Adobe目前還沒有將其完全根絕，先前推出大規模更新，也沒有針對此一手法做出修正，取而代之的是要求使用者關閉PDF閱讀軟體中，開啟第三方應用程式的功能，藉此阻擋「/Launch」功能。 企業的IT管理者，如果想要避免這個問題，目前除了上述關閉PDF閱讀軟體的部分功能外，還必須搭配閘道端的掃描。文⊙劉哲銘 新聞出處：http://www.ithome.com.tw/itadm/article.php?c=60904