国防部发现新的USB恶意程式攻击模式
国防部近期发现第二代USB Worm恶意程式攻击模式,当使用者将USB储存媒体插入已受感染的电脑后,恶意程式将对该储存媒体执行攻击,除可能将该USB储存媒体植入 Autorun.inf以及Notepad.exe等恶意程式外,亦可能于恶意程式侦测到该USB储存媒体存有资料夹时,将该资料夹强制隐藏,并产生与原资料夹名称相同的恶意程式。 国防部通资次长室指出,当使用者将已遭第二代USB Worm恶意程式攻击的USB储存媒体插入其它干净的电脑后,将造成此干净的电脑遭恶意程式植入,并于C:OINDOWSOystem32目录下随机产生不同档名之资料夹及恶意程式;且恶意程式植入后主动对外连线至网址
baidu.com...,经解析其IP为201.108.22.8,恐遭有心人士趁机而入。
针对第二代USB Worm骇客模式,通次室特地说明该技术为利用第一代Autorun.inf机制启动恶意程式,进一步利用使用者在USB储存媒体内所储存的资料夹,藉由将原始资料夹隐藏后,并产生与原资料夹名称相同之恶意程式,即便受害电脑已将Autorun功能关闭,导致攻击失效,惟仍可诱使USB储存媒体之使用者点击该伪冒的资料夹名称而导致攻击成功。
不仅如此,倘若移动式储存媒体内存有资料夹,恶意程式会将「原资料夹」修改为隐藏属性的资料夹以隐藏该资料夹;并于USB储存媒体内建立与原资料夹相同名称之恶意程式,并伪装成资料夹形态图示,以诱使使用者点选。届时使用者如未将资料夹选项中「隐藏已知档案类型附档名」勾除、及未选取「显示所有档案和资料夹」则容易点选与资料夹档名相同恶意程式,将被诱使启动恶意程式。
在防制作为部分,通次室强调,该恶意程式经赛门铁克、趋势防毒软体检测后尚无法查杀,官兵应确遵资安规定,将资料夹选项中「隐藏已知档案类型附档名」、「隐藏保护的作业系统档案(建议使用)」勾除,并选择「显示所有档案和资料夹」,随时注意USB储存媒体是否存在以资料夹名称伪装之恶意程式,并注意电脑有无异常对外连线;至于网路管理员应将
baidu.com...网域名称以及IP 201.108.22.8列入防火墙黑名单中,全面防制骇客入侵。(记者郑惠鸿辑)
