Google Adwords – True or False

垃圾信攔不住、TrendProtect等亦無法偵測,
看來有研究的必要~

信的內容大致如下(有多種版本,內容大同小異)
outlook1

其中”Read more>>”若以Outlook2007將呈現如下:
outlook1-1

點選上去後,畫面甚至有語系切換:
IE_language1

登入畫面,正牌的是”Start Now”
而這個卻是
… “Download Now”
Login1_fake
 

若不幸登入進去,無論你打甚麼,都會出現感謝畫面
Login3_after
 

之後不久,
就導到真正的Google Adwords網頁了


後語

該網頁無SSL­,故仍可透過此方式,確認網站的身份。
此外,透過IE8 “Domain Highlighting”
亦可判斷主網域。

至於資安業者的後續狀況,
在收到信的4~6小時之後,
已可被常見的網頁防護所偵測(TrendProtectGoogle… etc.)
垃圾信也可被攔截。

ISP監控並警告你的上網行為?

約莫9月中左右,收到一封疑似ISP寄來的信件,

內文大意是,ISP監控小組偵測到你有下載非法軟體的行為,
要把你斷線。並且附上你的上網紀錄。

而附件檔內容,則是一個執行檔,
裡面其實是隻木馬程式,當時可攔截的防毒如下:

這讓我想起之前偽造微軟更新、或試用版軟體的假訊息。

其實,我想凸顯的,並非防毒軟體的能力,
而是這類信件的語法,越來越有吸引力。

P2P大行其道的同時,可能真會讓人心虛(不是我),
而開啟了不該執行的附加檔。

JAR, TAR 和 CAB 病毒檔

Yahooemail病毒信,最近有了些變化。

 

自從六月份發現ARJ格式的病毒後,

七月底又陸續發現JAR, TAR CAB三種格式。

這三種檔名,都是壓縮格式的一種。

 

JAR 病毒

 

 

TAR 病毒

 

CAB 病毒

 

 

目前,許多人電腦都有安裝解壓縮軟體,

WinRAR預設的檔案關聯為例:

 

 

所以,使用者可能直接點選,並且執行病毒檔!

 

那麼,Email防毒掃毒出來嗎?

前提是,防毒系統必須可以解壓縮才行

 

常見的支援ZIPARJCAB以及RAR

TAR或許有,但JAR就少了。

 

若無法解壓縮,可能直接bypass

最後一樣送到使用者電腦中。

 

當然,各家系統功力不同,

有的可支援多種壓縮檔掃描,有的卻不行;

不過,或許也可列為採購評估的項目之一

 

此外,使用者的資安Sense,也十分重要。

所有Yahoo寄來的附加檔,無論是yahoo.com

yahoo.com.twyahoo.com.hkyahoo.com.cn等,

都要特別注意。

DNS 的弱點可能會允許偽造

本月最火熱資安議題,

大概就是DNS漏洞事件了。

 

DNS原理,網路上有許多說明

但此漏洞的危險在於,

如果被偽造,使用者就會連上假網站,

並在在毫不知情的狀況下,輸入正確的密碼

 

由於此漏洞限平台

因此各大媒體都預言新一波攻擊的到來。

 

關於微軟的平台,已於7/9釋出更新程式,

必須注意的是,client端與server程式不同

需個別安裝。

 

安裝後,建議使用MBSA,掃描是否有安裝完成。

另外,亦可工具弱點是否存在。

 

變種EMail病毒 – ARJ格式

 


今日發現2隻新變種病毒,採用好久不見的壓縮檔格式 – arj,


 


許多防毒軟體或閘道,應可拆解並分析zip或rar;


但不一定能拆解arj。


 


所以一旦傳到個人用戶,只要有安裝解壓縮程式,


那麼幾乎都可解壓縮arj的格式…


 


看來DOS時代大名鼎鼎的ARJ壓縮檔,


準備重出江湖了!


 


 


樣本畫面1



 


 


樣本畫面2



 


 


以下防毒軟體已可偵測:


Authentium;5.1.0.4;2008.06.16;W32/Onlinegames.gen


AVG;7.5.0.516;2008.06.15;PSW.OnlineGames.BR


F-Prot;4.4.4.56;2008.06.12;W32/OnlineGames.AE.gen!Eldorado


Fortinet;3.14.0.0;2008.06.15;W32/OnLineGames.fam!tr.pws


Ikarus;T3.1.1.26.0;2008.06.16;Trojan.Win32.Helpud.A


Microsoft;1.3604;2008.06.16;PWS:Win32/OnLineGames.DL!dll


Panda;9.0.0.4;2008.06.15;Suspicious file


Rising;20.48.62.00;2008.06.15;Packer.Win32.Mian007.a


Sophos;4.30.0;2008.06.15;Mal/EncPk-CE


Webwasher-Gateway;6.6.2;2008.06.15;Win32.Malware.gen (suspicious)