T.S.
惡意軟體正嘗試針對 Google Groups 撰寫惡意攻擊指令。
Google 的免費線上新聞群組 Google 網上論壇 (Google Groups),讓使用者可以自行在上面張貼各式各樣的文章。然而,這樣的服務模式,卻遭到有心人士濫用,成為發展資安威脅的溫床。
賽門鐵克 (Symantec) 資訊安全研究員已發現有特洛伊木馬借道 Google Groups 發動直接攻擊。
賽門鐵克資訊安全研究員 Gavin O Gorman 於週五時在部落格中指出,有一個被稱之為 Trojan.Grups 的特洛伊木馬後門程式,透過 Google Groups 新聞群組散發攻擊命令。這種透過新聞群組散佈的特洛伊木馬相當普遍,不過這是該公司所偵測到透過新聞群組(發號施令與控制散佈)的首例。
這個特洛伊木馬的設計,會先呼叫一個私有新聞群組 escape2sun 頁面。而在這個頁面中,會有幾個惡意程式指令:索引編號、執行指令列,也可能會要求下載一個檔案。這個新聞群組也儲存了遭感染主機之回應。指令與回應均會加密,以隱藏相關資訊。
此一特洛伊木馬本身,看來並不特別複雜。事實上,這個私人新聞群組包含的指令,是以簡體中文撰寫,而其中含有.tw 的網域關聯,建議病毒使用者以台灣為跳板攻擊。
可想而知,Google 對於這樣的舉動相當不悅。
Google 發言人透過電子郵件表示,使用 Google Groups 或任何該公司之產品進行前述行為,均係違反其產品政策的作法。該公司已採取幾種不同方式因應,包括:關閉帳號、報警處理。
事實上,Google 似乎也確實關閉了一些帳號。
依照統計學來看,目前蒐集到的特洛伊木馬散佈情況與幾個惡意碼的除錯現況,O Gorman 推測,這個特洛伊木馬還只是測試階段的原型病毒。
O Gorman 對此加以說明指出,數量不多顯示這個特洛伊木馬的設計者作風謹慎,巧妙地蒐集資訊,做為未來選定攻擊目標之參考。此外,在 DLL 檔中也看不出有意在遭攻擊之電腦上久留;而更進一步的證據也顯示,這支特洛伊木馬並不希望被發現。這樣的木馬程式,可能已針對某些特定企業進行剌探,再決定下一步要如何做。