【新聞】IM木馬程式冒充卡巴斯基軟體

[天氣預報]

IM木馬程式冒充卡巴斯基軟體
記者鍾翠玲／台北報導　　09/02/2007



一隻利用MSN即時通訊軟體傳送的木馬程式，會冒充卡巴斯基留存在使用者電腦上避免被發現，安全公司指出。

卡巴斯基台灣區總代理奕瑞科技最近發現，被卡巴斯基命名為Trojan-Downloader.Win32.Murlo.ez的木馬程式最近被發現，透過MSN即時通訊(Instant Messenger)在台灣地區蔓延開來。受害者都是點入來自MSN好友名單上傳來的訊息連結進入惡意程式網站而自動下載該木馬程式。

根據奕瑞科技總經理張義淵指出，在某些樣本中，受害者會接到「為什麼我的照片被貼在這個網址？」的MSN Messenger英文訊息，訊息中並包含一個惡意網站的網址。不知情的使用者一旦點入就會下載木馬程式。






也有的訊息是反問「你的照片是貼在這個網址上，對嗎？」

一旦使用者被植入木馬程式，該程式就會偽裝成知名防毒軟體卡巴斯基的程式名稱avp.exe留在使用者PC中C:\WINDOWS\目錄下。「由於卡巴斯基廣為使用，因此這種偽裝能避免它被察覺，」奕瑞科技指出。

張義淵提醒，avp.exe的正確位置是在C:\Program Files\目錄之下。若是C:\WINDOWS\發現，則極有可能已中了這支木馬程式，他說。

和許多木馬一樣，此木馬會轉發使用者電腦網路使用記錄，有心人士將可藉此盜取帳號密碼以及所有可能的個人隱私資訊。

雖然被惡意程式冒充，不過張義淵表示，卡巴斯基可以攔得住該木馬，目前也沒有接到許多受害使用者回報。

奕瑞科技指出，此木馬未來可能有變種，因此建議使用者不要隨意點擊訊息上的超連結。

隨著即時通訊的廣為使用者，這種好用的通訊工具也被安全專家視為具有愈來愈高的安全風險。

透過IM的攻擊由來以久，最早可追溯到ICQ，最新的則是SKYPE。CA顧問林宏嘉指出，過往也曾發現此類攻擊偽裝成他牌防毒或是IM外掛程式，在受害者PC中植入木馬、後門、間諜程式，或側錄使用者對話後進行勒索。「種種攻擊攻擊皆是透過社交連結達成所謂的自願被害，」他說。

不過安全專家指出，防禦困難度並沒有相對增加。

趨勢科技技術總監王應達表示，該公司日前也陸續發現透過IM散佈的惡意程式，但手法如出一轍，皆是利用使用者之間的人際網絡—即「社交工程」--傳佈。

至於防禦方法則十分簡單：更新病毒定義檔，他說。

林宏嘉另外建議勤於更新系統修補程式，隨時留意異常對外的連線行為，最重要的是，不要輕信陌生人與來源不明的物件。

「社交工程是IM威脅目前最普遍的手法，」王應達說。「因此，它的防禦也只動用到最基本的防護手法。」

http://taiwan.cnet.com/news/software...0115017,00.htm

[ellery]

剛才有接到一個msn訊息: "為什麼我的照片被貼在這? http://www.wayi game.com/game.com "
(URL故意分開以免有人誤觸.)
該網址的檔案game.com會被卡巴掃出 Trojan-PSW.Win32.Maran.bo 這個毒.