2013年5月14日 星期二

後門程式透過FB臉書和Yahoo、ICQ、Google Talk.即時通軟體散播帶毒短網址


後門程式透過FB臉書和Yahoo、ICQ、Google Talk.即時通軟體散播帶毒短網址

一種新的攻擊正透過臉書和好幾種即時通應用程式發送短網址散播, 攻擊者可以藉由後門程式,控制受感染的電腦。惡意軟體會送垃圾訊息給使用者的好友們,垃圾訊息甚至會根據系統的語言設定,下載高達十一種不同語言的暗示性圖片。

趨勢科技發現它利用兩個蠕蟲程式來散播,其中一個是惡名昭彰DORKBOT病毒家族的新變種。DORKBOT已知會透過社群媒體和即時通應用程式(egSkype和mIRC等)來散播,現在被發現會利用支援多協定的即時通應用程式(利如Quiet Internet Pager和Digsby)散播。



這些應用程式讓使用者可以同時使用多種即時通。Digsby支援AIM、MSN、Yahoo、ICQ、Google Talk、Jabber和Facebook訊息,而Quiet Internet Pager則支援至少四種不同的即時通服務。因此,有了更廣泛的散播管道,這惡意程式可能會影響更多的使用者。

這蠕蟲被偵測為WORM_DORKBOT.SME,會在中毒電腦上發送短網址給即時通上的聯絡人,該短網址指向一個檔案,被上傳到檔案代管網站Mediafire上的更新DORKBOT檔案。這可能是用以避免被偵測以及被輕易移除的手段。

除了它的散播方式,DORKBOT著名的還有它會透過掛勾特定瀏覽器的API來竊取登錄認證資訊。

主要程式BKDR_LIFTOH.DLF會去下載WORM_DORKBOT.SME。這個後門程式從C&C伺服器所接收的命令之一就是下載並執行其它惡意軟體。這命令還包括這後門程式會被下載的網址。不過這次檔案是被上傳到Hotfile。

此外,這後門程式也可以編輯來自C&C伺服器的設定。


圖一、BKDR_LIFTOH.DLF設定

在上面的截圖裡,設定檔裡包括了C&C伺服器、連線逾時、連線嘗試最大次數和惡意軟體編譯版本。代表這惡意軟體可以切換不同的C&C伺服器以避免被偵測。另一方面,buildid欄位的值是build1,代表這惡意軟體還是第一個版本,可能會在不久的將來看到這後門程式的其他版本。

除了WORM_DORKBOT.SME,這後門程式也可以下載被偵測為WORM_KUVAA.A的惡意軟體。這種蠕蟲病毒會在受感染電腦上尋找臉書的cookie – c_user和xs以繞過臉書認證。接著會檢查以下的瀏覽器或應用程式是否運行在記憶體內:

●Safari
●Opera
●Internet Explorer
●Firefox
●Chrome
●Facebook Messenger


圖二、利用臉書的功能,cookie – c_user和xs,還有fb_dtsg

這個惡意軟體接著會利用防跨站請求偽造(Anti-CSRF)令牌(token)  – fb_dtsg來送垃圾訊息給已登入使用者的好友們。這垃圾訊息會根據系統的語言設定,分別下載使用高達十一種不同語言所製造的暗示性圖片。


圖三、出現在臉書上的垃圾訊息樣本


圖四、使用不同語言所寫的訊息

雖然即時通蠕蟲並非新玩意,但還是很普遍,因為網路犯罪分子和其他壞人會不斷地去改進這些惡意軟體。趨勢科技會透過主動式雲端截毒技術來偵測這些惡意檔案,封鎖所有相關網址以保護使用者免受威脅。

有備無患,當你從即時通收到檔案或連結時都要非常小心。你永遠不知道壞人什麼時候會出現。

原文出處:Backdoor Leads to Facebook and Multi-Protocol Instant Messaging Worm
作者:Anthony Joe Melgarejo(威脅反應工程師)
轉載自《雲端運算與網路安全趨勢部落格》