Created: 2008-08-22 18:44:08
在過去兩星期,我們發現冒充發票的電郵數目激增,冒充的對象包括了世界各地的公司,如UPS、聯邦快遞和一些國際知名的航空公司。這些冒充電郵以類似「聯邦快遞跟進號123456」或「電子機票#123456」的題目為主旨。並在郵件的內文指出收件人的信用卡已被收取數百元,購買發票可參考附加檔案。而該電郵的附加檔案圖標亦會顯示出該檔案為一個Excel文件,但事實上,這是一個執行檔,我們必需提醒我們的讀者,要根據檔案的副檔名而判斷它的類型和性質,而不是檔案的圖標,因為對編程員來說,改變圖標只是一件簡單不過的事,攻擊者經常使用這個方法誘騙使用者以為這些壓縮了的附加檔案是無害的。
如果這些附加檔案被執行,它將會複製自己到系統的System32資料夾下,並以「 ntos.exe 」命名。有害代碼會自動感染處理程序,包括了系統的winlogin。有害代碼會使用指令和控制伺服器作為執行動作的溝通工具。而指令和控制伺服器通過HTTP協定加密的檔案稱之為rev.bin 。現在這個指令和控制伺服器設在英國。ESET防毒軟件把這網路威脅命名為Win32/spy.agent.nes,其他廠商則稱之為Zbot 。
依據目前的分析,Agent.NES會指示電腦從互聯網下載一個冒充防毒軟件的額外元件,這種假冒手法現在非常流行。冒充的防毒軟件會顯示類似以下圖片的警告訊息。如果使用者點擊按鈕啟動產品,它會要求用戶繳付金錢予這些惡意程式的製造者。
ESET防毒軟件可以偵測出冒充防毒產品病毒--win32/trojandownloader.fakealert.dr 的整個體係。且從它的運作模式中,再一次證明,使用者愈恐懼惡意程式,愈容易蒙受損失並把電腦暴露於危險之中。
Pierre-Marc Bureau
ESET 惡意程式研究員