今天早上收到朋友傳來的MSN,隔沒多久同事也收到類似的訊息,看了一下,原來是透過MSN傳播的惡意程式,實在是個不太稀奇的東西。
那為何會寫這篇blog呢?一切都是人性啊~
就像我總是跟朋友說的:『 社交工程才是王道啊! 』,所以這篇沒有多少技術細節,只是希望給個提醒,希望大家告訴大家(尤其是那些不太有警覺心的親朋好友),不要被騙到了。
這個訊息用了正體中文字,後面竟然還跟上了注音文,嗯嗯,騙人的技巧有進步,以前看到類似的信,用簡體中文不說,語氣也不對,所以比較不容易上當,這是第一個陷阱。
這個連結用到了一些會讓人產生錯覺或是疏忽的字串,例如msn、index.asp、hgtht.jpg等,很多網站都有類似的圖檔連結方式,又是從MSN收到跟"msn"有關的連結,因此順手就點下去了。
這裡就是第二個陷阱,www.tw-msn.com與MSN相關服務根本八竿子打不著,事實上,這個網站還在建設中呢!
點選這個連結後會下載一支名為ilove.scr的程式,附檔名是scr就已經夠怪了,存檔後長這樣:
這是我最愛的陷阱!用folder icon講檔案偽裝成folder,稍一不注意就會點進"folder"裡看看有什麼內容,實在是可愛啊!
最後丟到VirusTotal看看,嗯嗯,前天就有人上傳樣本了。用NSPack加殼過,總共還有25種防毒軟體掃得到,令人意外的是NOD32竟然掃不到,Fortinet也槓龜,這兩家國內的佔有率不低啊。
執行後的行為就不分析了,不是我的專長。(那什麼是我的專長?是唬爛...XD)
病毒、木馬、蠕蟲這些惡意程式也不是第一天出現,透過MSN傳播也很常見,這隻用到的技術也不特別,重點在於它誘使收訊者執行的手段不可輕忽,沒有技術深度,可是只要你有疏忽就會中獎。未來惡意程式技術會不斷進步深入,Packer不斷改進,唯有這社交工程技巧始終利用沒有進步的警覺心,實在是.....太方便啦~~
作者 Wisely 為阿碼科技 產品經理
1 篇回應 :
若果中了http://www.tw-msn.com/love/index.asp?=hgtht.jpg的病毒應如何清除?
張貼留言