流氓軟體假冒微軟之名 進行金錢詐取與惡意攻擊

(2008年12月10日,台北)近日網路上出現惡意軟體偽裝成防毒軟體AntiVirus2009或AntiVirus Pro 2009,因視窗畫面上有Microsoft字樣以及與微軟相似視窗環境與資安盾牌圖示,讓部分民眾因而疏於確認就直接下載,但安裝後卻引發諸多資訊安全隱憂,例如電腦被植入多種木馬程式,造成系統不穩定,甚至被詐取金錢。台灣微軟提醒企業客戶與消費者,為保護電腦系統的資訊安全,不要自行從網路上下載任何來路不明的安全相關軟體,並且應定期下載安全性更新,或可至微軟資訊安全網站(http://www.microsoft.com/taiwan/technet/security/default.mspx)查詢相關資訊。台灣微軟今(10)日發佈12月份安全公告,內容為編號MS08-070~MS08-077共8個新的安全性補充程式。

流氓軟體假借微軟之名 誘使民眾下載惡意軟體並進行金錢詐取
過去惡意軟體皆以「破解程式」或「外掛系統」等方式吸引使用者下載,而最新的方式則是由偽裝成資訊安全防護軟體的「流氓軟體」。此種流氓軟體模仿微軟視窗中的安全主控台畫面,藉由消費者普遍認為「微軟資安軟體一定安全」的想法騙取其信任進而下載後入侵電腦,再以該軟體為跳板,透過各項偽造的攻擊或警示資訊,誘使民眾進行操作但同時間主動於背景下載惡意程式,進而導致電腦癱瘓或資訊外洩。

此外,在使用者下載該假冒之軟體並進行掃描後,會馬上出現偽造的系統當機畫面,欺騙使用者因未使用經註冊版本的掃描程式而導致該當機事件,緊接著出現在假造的重新開機畫面上,會出現要求使用者購買軟體才會恢復正常的文字,但這個時候,各種惡意程序下載以及財務詐取都已全數完成。之後,當使用者利用搜尋引擎搜尋任何關於AntiVirus等相關字眼時,均會出現所安裝同類型的流氓軟體名稱,以降低使用者的戒心。

截至目前為止,光是其中一種的攻擊模式便已經在全球造成每週高達15萬元美金的損失,加上這些惡意程式每天都會有不同程度的改變,讓消費者防不勝防。根據微軟安全性回應中心(Microsoft Security Response Center,MSRC)的偵測顯示,先前發現的偽造防毒軟體,最快在3個小時之後就會變更使用者的操作介面、偽造的螢幕警示及惡意程式特徵碼,致使讓電腦癱瘓。

流氓軟體從今年年初就開始以假造的警告內容、中毒訊息、感染惡意程式等超過20種以上的手法在網路四處流竄,並且衍生出各種變型。今年7月下旬時,特定種類的流氓軟體開始密集運作、衍生變型;到10月時甚至出現一天多次變化,以逃避各大防毒軟體與安全廠商的攔阻。截至目前為止惡意行為仍在持續蔓延擴散中。

台灣微軟提醒民眾提高警覺 下載前先驗證並執行微軟安全更新
台灣微軟提醒民眾在下載微軟資安軟體時,須留意是否有Microsoft Forefront產品LOGO 。此外,應隨時提高警覺,不要自行從網路上下載任何來路不明的安全相關軟體;而在執行任何下載之前,也可以至以下兩個網址確認所下載的安全產品是否屬實並確有國際安全組織驗證通過,如果查無相關資訊,建議不要安裝。

  • ICSA Labs http://www.icsa.net/icsa/product.php?tid=dfgdf$gdhkkjk-kkkk
  • West Coast Labs http://www.westcoastlabs.com/checkmark/search

若已不慎安裝流氓軟體或受感染,台灣微軟提供以下做法:

  • 請從Microsoft下載惡意軟體移除工具,持續更新中的惡意軟體移除工具可以協助清除流氓軟體,同時間並開啟防火牆阻擋異常流量。
    http://www.microsoft.com/taiwan/security/malwareremove/default.mspx
    http://www.microsoft.com/taiwan/security/malwareremove/families.mspx
  • 如果是使用Microsoft Forefront Client Security(FCS),目前僅須維持病毒碼更新即可攔阻目前所有已偵測到變型中的流氓軟體,相關資訊請參考: http://www.microsoft.com/taiwan/forefront/clientsecurity/support/default.mspx
  • 若是非使用Microsoft防毒軟體但懷疑遭受惡意攻擊,可以利用以下鏈結將樣本回送給微軟共同抵禦流氓軟體的擴散。
    http://www.microsoft.com/security/portal/submit.aspx

微軟於2月起就開始針對被廣泛利用的流氓軟體主動進行長期監控,微軟安全性回應中心經過分析後認為,這種資安威脅是一種新的趨勢,並且持續追蹤相關問題,也在第一時間就更新了Forefront Client Security(FCS)中的相關特徵碼,以杜絕此種威脅攻擊使用者電腦。

此外,微軟自11月起也在惡意軟體移除工具(Malicious Software Removal Tool,MSRT)中加入了過濾為害最大的流氓軟體的機制,使用者可藉由自動更新下載最新的安全更新,以偵測並清除所有類似的「偽造防毒軟體」。微軟安全性回應中心也將持續追蹤並隨時更新,即時提供使用者過濾防護機制。

十二月份安全公告及8個安全性補充程式
台灣微軟發佈補充程式是主動避免駭客透過Microsoft產品惡意使用不當手法,導致遠端執行程式碼、允許權限提高或資訊洩漏所造成的損失。台灣微軟公司強烈呼籲所有客戶立即使用「Windows Update自動更新」功能隨時更新程式,避免惡意程式攻擊,或是立刻下載補充程式,以確保電腦使用的安全。本月的資訊安全相關摘要說明如下:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-dec.mspx

由於本月所發現Microsoft可能被攻擊的弱點,會造成有心人士藉由此弱點執行遠端程式碼、提高權限及資訊洩漏的問題,因此台灣微軟公司已開始積極聯絡相關客戶及合作夥伴,敦促他們立即部署MS08-070~MS08-077補充程式,將可能對客戶造成的不利影響降至最低。

另外,微軟於Windows Server Update Services (WSUS)、Windows Update(WU)及下載中心發行新版的 Microsoft Windows 惡意軟體移除工具。請注意,本工具將不會經由 Software Update Services (SUS) 散發。請參閱以下網址,取得有關 Microsoft Windows 惡意軟體移除工具的資訊:
http://www.microsoft.com/taiwan/security/malwareremove/default.mspx
http://www.microsoft.com/taiwan/security/malwareremove/families.mspx

Microsoft 今日也在 WU、MU及 WSUS 上發行非安全性高優先順序更新:如需有關今日發行的非安全性更新詳細資訊,請參閱下列知識庫文件:
http://support.microsoft.com/?id=894199

新發行的公告:

最高嚴重性

公告編號

受影響的產品

影響

重大 MS08-070 Microsoft Office FrontPage 2002、 Microsoft Office Project 2003、Microsoft Office Project 2007、Microsoft Visual Basic 6.0、Microsoft Visual Studio .NET 2002、Microsoft Visual Studio .NET 2003、Microsoft Visual FoxPro 8.0、Microsoft Visual FoxPro 9.0 允許遠端執行程式碼
重大 MS08-071 Microsoft Windows 2000、Windows XP、Windows XP Professional x64 Edition、Windows Server 2003、Windows Server 2003 x64 Edition、Windows Vista、Windows Vista x64 Edition、適用於 32 位元系統的 Windows Server 2008、適用於 x64 型系統的 Windows Server 2008、適用於 Itanium 型系統的 Windows Server 2008 允許遠端執行程式碼
重大 MS08-072 Microsoft Office Word Viewer 2003、適用於 Word、Excel 及 PowerPoint 2007 檔案格式的 Microsoft Office 相容性套件、Microsoft Works 8.5、Microsoft Office 2000 Service Pack 3、Microsoft Office XP Service Pack 3、Microsoft Office 2003 Service Pack 3、2007 Microsoft Office System、2007 Microsoft Office System Service Pack 1、Microsoft Office 2004 for Mac、Microsoft Office 2008 for Mac、Open XML File Format Converter for Mac 允許遠端執行程式碼
重大 MS08-073 Microsoft Windows 2000、Windows XP、Windows XP Professional x64 Edition、Windows Server 2003、Windows Server 2003 x64 Edition、Windows Vista、Windows Vista x64 Edition、適用於 32 位元系統的 Windows Server 2008、適用於 64 位元系統的 Windows Server 2008、適用於 Itanium 型系統的 Windows Server 2008 允許遠端執行程式碼
重大 MS08-074 Microsoft Office 2000、Microsoft Office XP、Microsoft Office 2003、2007 Microsoft Office System、Microsoft Office Excel Viewer 2003、Microsoft Office Excel Viewer、適用於 Word、Excel 及 PowerPoint 2007 檔案格式的 Microsoft Office、Microsoft Office 2004 for Mac、Microsoft Office 2008 for Mac、Open XML File Format Converter for Mac 允許遠端執行程式碼
重大 MS08-075 Windows Vista、Windows Vista x64 Edition、適用於 32 位元系統的 Windows Server 2008、適用於 x64 位元系統的 Windows Server 2008、適用於 Itanium 型系統的 Windows Server 2008 允許遠端執行程式碼
重要 MS08-076 Windows Media Player 6.4、Windows Media Format Runtime 7.1、Windows Media Format Runtime 9.0、Windows Media Format Runtime 9.5、及 Windows Media Format Runtime 11、Windows Media Services 允許遠端執行程式碼
重要 MS08-077 Microsoft Office SharePoint Server 2007 (32 位元版本)、Microsoft Office SharePoint Server 2007 (64 位元版本)、Microsoft Search Server 2008 (32 位元版本)、Microsoft Search Server 2008 (64 位元版本) 導致權限提高

MS08-70:Visual Basic 6.0 執行階段延伸檔案 (ActiveX 控制項) 中的弱點可能允許遠端執行程式碼 (932349)。最高嚴重性等級:重大。受影響的軟體:Microsoft Visual Basic 6.0 執行階段延伸檔案、Microsoft Visual Studio .NET 2002 Service Pack 1、Microsoft Visual Studio .NET 2003 Service Pack 1、Microsoft Visual FoxPro 8.0 Service Pack 1、Microsoft Visual FoxPro 9.0 Service Pack 1、Microsoft Visual FoxPro 9.0 Service Pack 2、Microsoft Office FrontPage 2002 Service Pack 3、Microsoft Office Project 2003 Service Pack 3、Microsoft Office Project 2007。
用戶可到以下網址下載更新程式:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-070.mspx

MS08-71:GDI 中的弱點可能會允許遠端執行程式碼 (956802)。最高嚴重性等級:重大。受影響的軟體:Microsoft Windows 2000 Service Pack 4、Windows XP Service Pack 2、Windows XP Service Pack 3、Windows XP Professional x64 Edition 和 Windows XP Professional x64 Edition Service Pack 2、Windows Server 2003 Service Pack 1 與 Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2、Windows Server 2003 SP1 for Itanium-based Systems 和 Windows Server 2003 SP2 for Itanium-based Systems、Windows Vista 和 Windows Vista Service Pack 1、Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1、適用於 32 位元系統的 Windows Server 2008、適用於 x64 型系統的 Windows Server 2008、適用於 Itanium 型系統的 Windows Server 2008。
用戶可到以下網址下載更新程式:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-071.mspx

MS08-72:Microsoft Office Word 的弱點可能會允許遠端執行程式碼 (957173)。最高嚴重性等級:重大。受影響的軟體:Microsoft Office 2000 Service Pack 3、Microsoft Office XP Service Pack 3、Microsoft Office 2003 Service Pack 3、2007 Microsoft Office System、2007 Microsoft Office System Service Pack 1、Microsoft Office Word Viewer 2003、Microsoft Office Word Viewer 2003 Service Pack 3、適用於 Word、Excel 及 PowerPoint 2007 檔案格式的 Microsoft Office 相容性套件、Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 1、Microsoft Works 8.5、Microsoft Office 2004 for Mac、Microsoft Office 2008 for Mac、Open XML File Format Converter for Mac。
用戶可到以下網址下載更新程式:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-072.mspx

MS08-73:Internet Explorer 積存安全性更新 (958215)。最高嚴重性等級:重大。受影響的軟體:Microsoft Windows 2000 Service Pack 4、Windows XP Service Pack 2 及 Windows XP Service Pack 3、Windows XP Professional x64 Edition 和 Windows XP Professional x64 Edition Service Pack 2、Windows Server 2003 Service Pack 1 與 Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2、Windows Server 2003 SP1 for Itanium-based Systems 和 Windows Server 2003 SP2 for Itanium-based Systems、Windows Vista 和 Windows Vista Service Pack 1、Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1、適用於 32 位元系統的 Windows Server 2008、適用於 x64 型系統的 Windows Server 2008、適用於 Itanium 型系統的 Windows Server 2008。
用戶可到以下網址下載更新程式:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-073.mspx

MS08-74:Microsoft Office Excel 的弱點可能會允許遠端執行程式碼 (959070)。最高嚴重性等級:重大。受影響的軟體:Microsoft Office 2000 Service Pack 3、Microsoft Office XP Service Pack 3、Microsoft Office 2003 Service Pack 3、2007 Microsoft Office System、2007 Microsoft Office System Service Pack 1、Microsoft Office Excel Viewer 2003、Microsoft Office Excel Viewer 2003 Service Pack 3、Microsoft Office Excel Viewer、適用於 Word、Excel 及 PowerPoint 2007 檔案格式的 Microsoft Office 相容性套件、Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 1、Microsoft Office 2004 for Mac、Microsoft Office 2008 for Mac、Open XML File Format Converter for Mac。
用戶可到以下網址下載更新程式:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-074.mspx

MS08-75:Windows 搜尋的弱點可能會允許遠端執行程式碼 (959349)。最高嚴重性等級:重大。受影響的軟體:Windows Vista 和 Windows Vista Service Pack 1、Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1、適用於 32 位元系統的 Windows Server 2008、適用於 64 位元系統的 Windows Server 2008、適用於 x64 型系統的 Windows Server 2008、適用於 Itanium 型系統的 Windows Server 2008。
用戶可到以下網址下載更新程式:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-075.mspx

MS08-76:Windows Media 元件中的弱點可能會允許遠端執行程式碼 (959807)。最高嚴重性等級:重要。受影響的軟體:Microsoft Windows 2000 Server Service Pack 4、Windows XP Service Pack 2 及 Windows XP Service Pack 3、Windows XP Professional x64 Edition 和 Windows XP Professional x64 Edition Service Pack 2、Windows Server 2003 Service Pack 1 與 Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2、Microsoft Windows 2000 Service Pack 4、Windows XP Service Pack 2、Windows XP Service Pack 3、Windows XP Professional x64 Edition 和 Windows XP Professional x64 Edition Service Pack 2、Windows Server 2003 Service Pack 1 與 Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2、Windows Vista 和 Windows Vista Service Pack 1、Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1、適用於 32 位元系統的 Windows Server 2008、適用於 x64 系統的 Windows Server 2008、Microsoft Windows 2000 Server Service Pack 4、Windows Server 2003 Service Pack 1 與 Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2、適用於 32 位元系統的 Windows Server 2008、適用於 x64 型系統的 Windows Server 2008。
用戶可到以下網址下載更新程式:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-076.mspx

MS08-77:Microsoft Office SharePoint Server 中的弱點可能會導致權限提高 (957175)。最高嚴重性等級:重要。受影響的軟體:Microsoft Office SharePoint Server 2007 (32 位元版本)、Microsoft Office SharePoint Server 2007 Service Pack 1 (32 位元版本)、Microsoft Office SharePoint Server 2007 (64 位元版本)、Microsoft Search Server 2008 (32 位元版本)、Microsoft Search Server 2008 (64 位元版本)。
用戶可到以下網址下載更新程式:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-077.mspx

關於微軟
微軟公司成立於一九七五年,多年來在全球個人電腦與商用軟體、服務與網際網路技術上居領導地位。