一切都是在騙人

今天早上收到朋友傳來的MSN，隔沒多久同事也收到類似的訊息，看了一下，原來是透過MSN傳播的惡意程式，實在是個不太稀奇的東西。


那為何會寫這篇blog呢？一切都是人性啊～

就像我總是跟朋友說的：『 社交工程才是王道啊！ 』，所以這篇沒有多少技術細節，只是希望給個提醒，希望大家告訴大家(尤其是那些不太有警覺心的親朋好友)，不要被騙到了。


這個訊息用了正體中文字，後面竟然還跟上了注音文，嗯嗯，騙人的技巧有進步，以前看到類似的信，用簡體中文不說，語氣也不對，所以比較不容易上當，這是第一個陷阱。

這個連結用到了一些會讓人產生錯覺或是疏忽的字串，例如msn、index.asp、hgtht.jpg等，很多網站都有類似的圖檔連結方式，又是從MSN收到跟"msn"有關的連結，因此順手就點下去了。

這裡就是第二個陷阱，www.tw-msn.com與MSN相關服務根本八竿子打不著，事實上，這個網站還在建設中呢！


點選這個連結後會下載一支名為ilove.scr的程式，附檔名是scr就已經夠怪了，存檔後長這樣：



這是我最愛的陷阱！用folder icon講檔案偽裝成folder，稍一不注意就會點進"folder"裡看看有什麼內容，實在是可愛啊！

最後丟到VirusTotal看看，嗯嗯，前天就有人上傳樣本了。用NSPack加殼過，總共還有25種防毒軟體掃得到，令人意外的是NOD32竟然掃不到，Fortinet也槓龜，這兩家國內的佔有率不低啊。

執行後的行為就不分析了，不是我的專長。(那什麼是我的專長？是唬爛...XD)

病毒、木馬、蠕蟲這些惡意程式也不是第一天出現，透過MSN傳播也很常見，這隻用到的技術也不特別，重點在於它誘使收訊者執行的手段不可輕忽，沒有技術深度，可是只要你有疏忽就會中獎。未來惡意程式技術會不斷進步深入，Packer不斷改進，唯有這社交工程技巧始終利用沒有進步的警覺心，實在是.....太方便啦~~

作者 Wisely 為阿碼科技 產品經理