<障眼法2> 合法網址連結，一點選卻到了假網站
有別於之前被廣泛採用的偽造網址列手法（以背景為白色的文字物件遮住網路釣魚 URL，在網址列顯示一般正常的網址），或是Pharming 網址嫁接（受害者輸入正確的URL，卻被導向連結到有著精良偽裝的惡意網站）趨勢科技近日發現了一個針對兩種瀏覽器而來的網址重新導向手法。一開始這種手法被通報為Internet Explorer網址偽造的安全弱點。但後續發展顯示，Firefox 同樣含有此弱點。它的結果會導致，即使受害者按下正確的官方網址連結，也會被重新導向網路釣魚等惡意網站。過去網路釣客常用的雷同網址法，有可能因此被相似度100％的網址連結取代。比如：香港發生過的匯豐銀行（www.hsbc.com）假冒案件，假網址www.hkhsbc.com 比真網址多了"HK"兩個字母；又如線上付款機制PayPal.com (www.paypal.com)，其假網址www.paypa1.com，英文字母L 被改成數字1等等。

趨勢科技憂心攻擊者從此可以明目張膽地在連結中放入官方網址，只等待粗心使用者點擊滑鼠，即可導向惡意網站。趨勢科技表示，由於這種作法必須要在使用者按下連結後才會產網頁重新導向，因此呼籲千萬不要從電子郵件或IM 訊息中按下連結，直接在瀏覽器的位址列輸入URL 才是比較安全的作法。

當連結被按下時，原始碼中事前加入的一段Javascript，將會瀏覽器重新導向至某個網頁。重新導向指令碼經過修改後，攻擊者就能利用這個弱點來執行攻擊者自訂的Javascript。舉例來說，雖然網址顯示的是http://www.ebay.com/，但是一旦按下滑鼠，卻會被指向可能含有惡意程式碼的網頁，它能用來執行一個跨網站的指令碼攻擊。比如上述暗藏間諜軟體的「禁止存取Forbidden」頁面;或是偽造的 eBay 等網路交易頁面，要求輸入個人資料。趨勢科技表示，這個偽裝手法可能出現在網路釣魚攻擊中，或引誘警覺性低的使用者按下惡意的網址。這是繼Pharming 網址嫁接後的創新攻擊手法。趨勢科技表示，針對這個偽造網址的臭蟲，停用瀏覽器的Javascript 支援是一種有效的暫時性對策。採用整合網路詐騙全方位防護與主動式病毒防禦的個人電腦防護軟體，則是比較積極的作法。比如最新上市的PC-cillin2006 即提供多重防止網路詐騙保護。

<障眼法3> 挑戰線上拼圖，竟然引進木馬、後門等 4隻惡意程式與駭客
趨勢科技發現許多案例以"個人瀏覽工具列"為促銷，其實卻是廣告軟體的來源網站。它們可能會在下載說明文字「輕描淡寫」地警告說會同時安裝其他附帶的軟體。但最新的案例是。不需如此大費周章，利用網站現成免費的娛樂程式和iframe 漏洞，就可以連鎖下載惡意程式。



趨勢科技最近偵測到一個提供拼圖遊戲的網站。檢視這個像是「普通網站」的程式碼，卻有一段Javascript。它會利用iframe 漏洞先後載入三個網站，之後會陸續下載並執行檔案。這些檔案的偵測結果如下：

News.html (1,998 位元組) 檔案- JS_WONKA.B病毒
Style.css (13,016 位元組)檔案 - CHM_DROPPER.CN 病毒
Open.exe (2,608 位元組) 檔案- TROJ_DLOADER.AJH病毒
Girl.bmp (50,920 位元組)檔案 - BKDR_HAXDOOR.CT 病毒

也就是說只要進入一個網站，一個看似正常且無惡意的網站，系統就會感染4 個惡意程式。此外，還有駭客會透過BKDR_HAXDOOR.CT 入侵系統！

趨勢科技表示有些間諜軟體網站彼此之間都會互通有無，形成自動存取特定連結，下載惡意檔案的互助模式。有些免費電影網站，會先暗中引導到工具列廣告軟體網站下載安裝其他惡意檔案。一旦中了一個間諜軟體，那就表示一連串的惡意軟體將尾隨而上，這或許可以解釋美國國家電腦安全聯盟(NCSA)的調查發現：八成家庭電腦感染間諜軟體，但大多不知情。更令人驚訝的是，他們還在其中一個受訪者運行遲慢的電腦上，發現1000多個間諜軟體。所以如果你沒有趁早覺查到系統中的間諜軟體，隔一段時間可能會發現裡頭已經悄悄滋生了一窩小間諜了，到時候間諜軟體比正常軟體還多可就得不償失了。



下一期的毒賣新聞當中，會教你如何防範病毒利用網頁對你電腦進行攻擊！敬請期待。