相關連結:https://www.ithome.com.tw/news/131756

這隻殭屍病毒藉由盜版的韓國影劇或線上遊戲的下載檔案進行感染,南韓與中國的Torrent網站是主要藏匿處。



d509d5c60f7796b0aa8224dd8b8b84cd.png



  資安業者ESET本周揭露一個新的殭屍病毒GoBotKR,它隨著盜版的韓劇、韓國電影或是韓國遊戲而散布,主要的散布管道為南韓與中國的Torrent網站,在所有的感染案例中,南韓佔了80%,中國佔10%,而擁有不少韓劇迷的台灣也佔了5%。



  當使用者自南韓或中國的Torrent網站,下載了盜版的電影或電視內容之後,它會含有一個MP4檔案、一個偽裝成編解碼工具的PMA檔案,以及一個看起來像是影片的LNK檔案,但後兩者都是惡意檔案。



  如果使用者只是單純開啟MP4檔案,並不會引發任何的惡意行動,只是此一MP4檔案經常隱藏在不同的目錄下,使用者也許會誤選惡意的LNK檔案,並進一步觸動惡意程式,為了避免被察覺,執行LNK檔案時,依然能正常開啟影片。



  去年5月開始活動的GoBotKR,為後門程式GoBot2的變種,但它的主要目的是建立殭屍網路,以執行分散式阻斷服務(DDoS)攻擊。受害者一旦觸動了該程式,GoBotKR即會蒐集電腦上的系統資訊,包括網路配置、作業系統版本、CPU/GPU版本,以及系統上所安裝的各種防毒軟體,再將資訊傳送到命令暨控制伺服器,以供駭客判斷攻擊資源。



  ESET所發現的命令暨控制伺服器都座落於南韓,且由同一人所註冊。駭客可透過由GoBotKR重新啟動電腦、執行檔案、更新程式、變更IE首頁、變更桌面背景、自我複製,並發動DDoS攻擊。



  GoBotKR配備許多防偵測技術,例如它在系統上安裝了兩個實例,其中一個負責監控另一個實例的活性,萬一被移除了還能重新安裝;還導入了可繞過防毒軟體的技術;可偵測特定的安全與分析工具,倘若系統上存有這些工具,它就會自動終止;它還設有黑名單,假設發現受害者的IP屬於Amazon、BitDefender、思科或ESET等企業,也會自動終止。

上一個 回列表 下一個