近日出現一些值得注意的垃圾郵件在網際網路上四處流傳。 首先是與 NUWAR 蠕蟲家族有關的垃圾郵件,如我們所知NUWAR 曾採取多種社交工程技巧來掩飾它們的行徑 — 從宣告世界末日的戰爭新聞到 CNN 頭條新聞,以及最近出現的電子賀卡等等。如以下螢幕擷取畫面所示:
故弄玄機:要看卡片請先安裝軟體
據趨勢科技資深威脅分析師 PB Cruz 表示,這次採用的新花招與以往的手法不同,以往的手法會在使用者按下郵件內附的連結之後,立即下載蠕蟲,但是現在這封新的垃圾郵件內附的連結卻是指向一個網頁。上述網頁會顯示一個錯誤訊息告知使用者必須安裝 Microsoft Data Access 才能正常顯示這封電子賀卡(請見附圖)。
如果您覺得這種技巧有些似曾相識,這是因為另一個惡意程式家族一直都使用這種技巧。ZLOB 木馬程式將自己偽裝成使用者「必須」安裝才能觀賞影片的解碼程式。然而,就算使用者未按下上述連結,網頁本身也含有一個 JavaScript 能利用Microsoft Data Access Components (MDAC) 弱點(請參閱 Microsoft 安全性公告 MS06-014) 下載木馬下載程式。然後,這些下載程式會將 NUWAR 變種系載到受感染的系統中。
與 NUWAR 變種則分別被定義為 TROJ_DLOADER.KTY、TROJ_TIBS.AMA 與 WORM_NUWAR.MV。這兩封垃圾郵件與其惡意程式元件之間仍有一些細微的差異,但趨勢科技產品的使用者只要持續更新病毒碼檔案便能獲得完整的保護。
<待續> |