流行音樂天王麥可傑克森驟逝的消息震撼全球,間接造成所有相關音樂影片、新聞網頁攻佔網路熱門點擊、搜尋排行榜。不肖駭客當然也沒有放過這樣的機會,以「從未公開的麥可傑克森影片、圖片」為餌,大發惡意郵件,藉機以木馬病毒攻佔使用者電腦。Websense呼籲,使用者切莫因為一時熱潮就點擊、下載不明連結,讓自己的電腦成為麥可之死的受害對象。
Websense Security Labs(TM) ThreatSeeker(TM) Network發現,近來有垃圾郵件謊稱內含「從未公開的麥可傑克森影片、圖片」,並提供偽造的YouTube連結,誘使使用者下載木馬程式。
Websense台灣區技術經理林秉忠表示,這個木馬程式名為Michael.Jackson.videos.scr (MD5:664cb28ef710e35dc5b7539eb633abca),被放置於一個澳洲的合法廣播網站之中,使用者執行該檔案後,預設瀏覽器會彈出與麥可傑克森死訊有關的合法新聞網頁(http://musica.uol.com.br/ultnot/2009/06/25/michael-jackson.jhtm),讓使用者卸下警覺。事實上,在使用者開啟該網頁的同時,會有3個盜竊使用者個人資料的惡意元件,悄悄地在底層執行並安裝。
這些木馬程式之中,包含一個防毒警覺率非常低的michael.gif檔案(相關病毒資料詳見:這裡),這會導致使用者安裝一個惡意的BHO,會與%windir%/Dynamic.dll註冊在一起,並產生識別項(GUID)名稱{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}。至於另外兩個元件,一個會在開始功能表中執行%windir%\system32\kproces.exe,另一個則會經由惡意程式安裝%windir%\system32\fotos.exe惡意檔案。
所有Websense Messaging與Websense Web Security的客戶,都已受到完善的防護,亦不會受到此波攻擊的影響。然而,Websense仍要呼籲,尚未擁有Websense安全防護的用戶,最近對於相關的麥可傑克森影片、圖片、新聞連結,都應該要多加警覺。如欲閱讀更詳細的相關資料,歡迎前往Websense Security Labs瀏覽。