意外的驚喜

隨著歲末佳節的腳步逼近，許多人又開始在線上搜尋耶誕節商品。令人擔憂的是，此時網路罪犯也試圖滲透無辜的 Web 搜尋工具，利用如 "christmas gift shopping" 等簡單字句的搜尋結果散播惡意網址：

　

請提高警覺，否則當 Web 資安威脅帶給你意外的驚喜時，你可能會欲哭無淚。
睜大你的眼睛，否則單純的搜尋將會演變成一場 Web 資安威脅惡夢。搜尋上述字句可能讓你誤入惡意網站，請注意圖中以紅線圈出的地方。若你按下這些網址， 其中的 JavaScript 便會將你轉向另一個網站
(http://{省略}ldgonit.com/search.php?gzapr=…) 下載並執行惡意程式。所幸趨勢科技已將下載這些惡意程式的網址全面封鎖。
上述網站中還暗藏了一個 IFRAME 會將使用者轉向以下網址，進一步下載其他惡意程式到他們的系統中：http://{省略}id.theoreon.com/setup.php?aff_id=6025 與
http://{省略}aga.com/exe.php?pid=1008。由於每一次下載均可發現不同的二進位檔，這表示伺服器端可能重新進行雜湊處理。在今年耶誕節之前，預計還將出現更多惡意程式。
深入調查此一案例之後，我們發現除了 Sunbelt 所發現的耶誕節相關搜尋遭惡意網址滲透的情況以外，上述 CN 網址也在許多日文線上論壇/部落格/bbs 網站中大肆宣傳：

其他遭滲透的耶誕節相關 Google 搜尋包括：
christmas gift shopping
christmas holiday sale
holiday shopping fun
請注意，可能還有其他與此主題有關的搜尋已遭滲透。
此外，上述 IFRAME 所內含的部分感染網址也顯示出惡意程式作者使用了所謂的 404 Web 資安威脅工具套件 (可能是新版本)：
http://{省略}sliksuka.com/check/version.php?t=148
http://{省略}sliksuka.com/check/n14041.htm
http://{省略}sliksuka.com/check/n14042.htm
http://{省略}sliksuka.com/check/n14043.htm
http://{省略}sliksuka.com/check/n14044.htm
http://{省略}sliksuka.com/check/n14045.htm
http://{省略}sliksuka.com/check/n14046.htm
http://{省略}sliksuka.com/check/n14047.htm
http://{省略}sliksuka.com/check/n14048.htm
http://{省略}mndskj.com/check/vers2.php
http://{省略}mndskj.com/check/tpknlkk433.php
http://{省略}mndskj.com/check/tpktskk2.php
今年耶誕節惡意程式又來湊熱鬧。儘管惡意程式環伺，但只要在線上購物時審慎提防並提高警覺，便能避免你的電腦遭感染。