意外的驚喜
隨著歲末佳節的腳步逼近,許多人又開始在線上搜尋耶誕節商品。令人擔憂的是,此時網路罪犯也試圖滲透無辜的
Web 搜尋工具,利用如 "christmas gift shopping"
等簡單字句的搜尋結果散播惡意網址:
請提高警覺,否則當 Web 資安威脅帶給你意外的驚喜時,你可能會欲哭無淚。
睜大你的眼睛,否則單純的搜尋將會演變成一場 Web
資安威脅惡夢。搜尋上述字句可能讓你誤入惡意網站,請注意圖中以紅線圈出的地方。若你按下這些網址,
其中的 JavaScript 便會將你轉向另一個網站
(http://{省略}ldgonit.com/search.php?gzapr=…)
下載並執行惡意程式。所幸趨勢科技已將下載這些惡意程式的網址全面封鎖。
上述網站中還暗藏了一個 IFRAME
會將使用者轉向以下網址,進一步下載其他惡意程式到他們的系統中:http://{省略}id.theoreon.com/setup.php?aff_id=6025
與
http://{省略}aga.com/exe.php?pid=1008。由於每一次下載均可發現不同的二進位檔,這表示伺服器端可能重新進行雜湊處理。在今年耶誕節之前,預計還將出現更多惡意程式。
深入調查此一案例之後,我們發現除了 Sunbelt
所發現的耶誕節相關搜尋遭惡意網址滲透的情況以外,上述 CN
網址也在許多日文線上論壇/部落格/bbs 網站中大肆宣傳:
其他遭滲透的耶誕節相關 Google 搜尋包括:
christmas gift shopping
christmas holiday sale
holiday shopping fun
請注意,可能還有其他與此主題有關的搜尋已遭滲透。
此外,上述 IFRAME 所內含的部分感染網址也顯示出惡意程式作者使用了所謂的 404
Web 資安威脅工具套件 (可能是新版本):
http://{省略}sliksuka.com/check/version.php?t=148
http://{省略}sliksuka.com/check/n14041.htm
http://{省略}sliksuka.com/check/n14042.htm
http://{省略}sliksuka.com/check/n14043.htm
http://{省略}sliksuka.com/check/n14044.htm
http://{省略}sliksuka.com/check/n14045.htm
http://{省略}sliksuka.com/check/n14046.htm
http://{省略}sliksuka.com/check/n14047.htm
http://{省略}sliksuka.com/check/n14048.htm
http://{省略}mndskj.com/check/vers2.php
http://{省略}mndskj.com/check/tpknlkk433.php
http://{省略}mndskj.com/check/tpktskk2.php
今年耶誕節惡意程式又來湊熱鬧。儘管惡意程式環伺,但只要在線上購物時審慎提防並提高警覺,便能避免你的電腦遭感染。