| | | 2008/07/30 | |
| | 風險等級: | 中度威脅 | |
| | 摘 要: | 防毒軟體廠商趨勢科技日前發現TROJ_FAKECLEAN.A 木馬程式偽裝成該公司研發之免費解毒快手工具"iClean" ,並透過電子郵件散播。電子郵件中會附上從正常網站所擷取之圖片來誘騙使用者下載並執行名稱為"iclean20.rar" 之壓縮檔,藉以植入名為BKDR_POISON.GO 的後門程式來竊取使用者之機敏資訊。除此之外,還有另一釣魚電子郵件,內容偽造趨勢科技所提供"WTP Add-On" 網頁威脅防禦工具之下載頁面,使用者點擊郵件中的假連結之後,即會自動下載BKDR_AGENT.AVAJ 後門程式,讓使用者系統受駭。 HiNet SOC 建議您注意來路不明的電子郵件附檔以及內文中的連結,並安裝防毒軟體且經常更新防毒軟體的病毒碼來降低受駭風險。 | |
| | | | |
| | 影響系統 : | - Windows 98 / Me
- Windows NT / 2000
- Windows XP
- Windows Server 2003
| |
| |
| | | | |
| | 解決辦法: | 若不慎點擊惡意附檔或連結,建議處理方式如下:
1、請關閉系統還原功能 (Windows Me / XP )
2、請將防毒軟體之病毒定義檔更新至最新
3、執行全系統掃瞄並刪除中毒檔案(若防毒軟體無法刪除中毒檔案時,請重新開機並進入安全模式下刪除。) | |
| | | | |
| | 細節描述: | 近日趨勢科技(Trend Micro) 發現TROJ_FAKECLEAN.A 木馬程式偽裝成該公司研發之免費解毒快手工具"iClean" ,並透過內容含有從正常網站擷取之圖片的電子郵件進行散播。使用者如果執行郵件所附之"iClean20.rar" 檔案,則會產生正常的iClean 工具(%Current%\ winswf~.exe )來取信使用者,並暗中在系統植入名為BKDR_POISON.GO 的後門程式(%User Temp%\ 1sass.exe 、C:\ WINDOWS\ system32\ c3dx.dll ) ,藉以竊取使用者機敏資訊。郵件相關訊息如下: - 寄件者: 趨勢科技 < sales @trend .com .tw > (此為虛擬帳號)
- Email主旨: 擔心電腦中毒、隱私外洩? iClean 解毒快手,有效幫您清除電腦中的病毒、間諜程式! 備註:本文中%Current% \位置代表當時檔案解壓縮後之路徑;%User Temp% \位置代表使用者暫存資料夾路徑,通常是C:\ Documents and Settings \使用者名稱 \Local Settings \Temp 。
另外還有一封釣魚電子郵件,同樣是偽裝趨勢科技網站內容,引誘使用者下載"WTP Add-On " 網頁威脅防禦工具,當按下"免費下載"按鈕時,將會被導至"hxxp:// {BLOCKED} .update- windows- microsoft. com /products /enterprise /wtp2.htm " 的惡意網站,並在背景自動下載命名為BKDR_AGENT.AVAJ 的後門程式,讓使用者系統受駭,而趨勢科技發現目前此惡意Domain 下還有偽裝Yahoo!mail 、Gmail 、Hotmail 等網站之中文登入頁面。利用趨勢科技頁面之釣魚信件相關訊息如下: - 寄件者: 趨勢科技< newsletterschineset @trendmicro .rsys1 .com > (此為虛擬帳號)
- Email主旨:懷疑電腦中了病毒或是Rootkit 程式嗎? 使用趨勢科技 WTP Add-On (Web Threat Protection ) 網頁威脅防禦工具獨門密技! 備註:本文中所提之網址含有"hxxp:// {BLOCKED } " 字樣,是為避免有心人士將連結做其他惡意利用,故未將完整惡意連結公佈出來。
HiNet SOC 建議您不去開啟來路不明的電子郵件以及內文中的連結,並安裝防毒軟體且經常更新最新的病毒碼來降低受駭風險。 | |
| | | | |
| | 參考資訊: | Trend Micro 1
Trend Micro 2
TrendLabs 1
TrendLabs 2 |
