國防部發現變種USB病毒對岸網軍針對性攻擊

2008 / 10 / 27

吳依恂

日前國防部發佈「確遵資安規定全面防制駭客入侵」新聞稿，內容提到「針對第二代USB Worm駭客模式，通次室特地說明該技術為利用第一代Autorun.inf機制啟動惡意程式，進一步利用使用者在USB儲存媒體內所儲存的資料夾，藉由將原始資料夾隱藏後，並產生與原資料夾名稱相同之惡意程式，即便受害電腦已將Autorun功能關閉，導致攻擊失效，惟仍可誘使USB儲存媒體之使用者點擊該偽冒的資料夾名稱而導致攻擊成功。」

知名資安網站「大砲開講」站長Roger認為，按照新聞稿內容看來，充其量是USB病毒的變種而已，並不是新的病毒，主要是利用檔案目錄的屬性，將資料夾隱藏。他建議使用者可以在「命令提示字元」裡輸入「f:」（假設USB插在f槽），按enter之後進入f槽輸入「attrib」指令，檢查USB隨身碟裡是否有autorun.inf，若有的話就幾乎99.99%確定中USB病毒。趨勢科技資深技術顧問戴燊也表示，一直以來都在處理這類的USB病毒，這次資安事件出現的這些特徵並非新的型態，他認為這是一起針對性的攻擊模式，對岸網軍的目標是竊取國防部資料，因此與其說是病毒，不如說更像是木馬的感覺。

「且惡意程式植入後主動對外連線至網址www.baidu.com，經解析其IP為201.108.22.8，恐遭有心人士趁機而入。」「網路管理員應將www.baidu.com網域名稱以及IP 201.108.22.8列入防火牆黑名單中，全面防制駭客入侵。」

針對這樣的新聞描述，Roger提到，攻擊者不過是利用搜尋引擎所提供的工具罷了，如同Yahoo!奇摩一樣，百度不僅為中國最大的搜尋引擎，網站也提供其他如統計資料服務，連線程式有可能是連到百度某個網站去下載惡意檔案。戴燊提到，有許多的網咖或是學校單位，都被駭客當作跳板，將網域或是IP列入防火牆的黑名單是治標不治本的方法。

註：原新聞稿可見青年日報
http://news.gpwb.gov.tw/newpage_grey/news.php?css=2&rtype=&nid=58805

USB 國防部病毒百度變種病毒針對性攻擊