社團法人中華國際 3D RD 協會

賽門鐵克(Symantec)近期發布兩項網路攻擊威脅，一是針對Adobe新零時漏洞(CVE-2010-1297)所執行的遠端代碼攻擊 Trojan.Pidief.J ；而到目前為止，Adobe尚未發佈該零日漏洞的官方修補程式。另外還有新發現的蠕蟲病毒 W32.Aemrant ，它會將自身偽裝成多個多媒體檔。

Trojan.Pidief.J運作後，會試圖從指定URL下載惡意檔案。下載的檔案中包含了一個加密的後門木馬，此木馬將會被釋放到%TEMP%upt.exe執行；同時，該後門木馬還會與網站 http://google-analytics.d[REMOVED]as.org/ddr/ddrh.ashx_ 進行通訊，並釋放多個其它惡意檔案到受感染的電腦中。

Trojan.Pidief.J的傳播方式主要有以下幾種：(1)攻擊者向使用者發送附件中帶有該木馬的郵件；(2)攻擊者透過郵件發送惡意連結，該連結會指向帶有該木馬的PDF和SWF檔，或指向掛有該木馬的惡意網站。

至於會偽裝成數個多媒體檔的W32.Aemrant，一旦使用者播放其中任意一個檔，該蠕蟲就會被執行，並且隨即啟動Windows Media Player以掩飾自身、麻痺用戶。執行後，該蠕蟲會在%UserProfile%\Start Menu\Programs\Startup\目錄下新增多個檔來達到開機自動執行的目的。

同時，它還會修改登錄表(registry key)，關閉和禁止一些安全軟體的執行，並且關閉電腦的系統還原功能。該蠕蟲病毒主要透過行動儲存裝置散播，將自己命名為%DriveLetter%\Thumbs.sdb並複製到行動儲存裝置，同時新增autorun檔以實現自動執行的目的。

針對以上威脅，安全專家建議電腦使用者除安裝安全軟體，對於來歷不明的郵件，不要輕易打開其附件或點選郵件中的連結，並可利用線上工具分析可疑網站安全性。此外也建議使用者關閉電腦的自動播放功能；使用行動儲存裝置時先對其進行安全掃描，確認安全後再打開。[取材自GLOBOL SOURCES]