混亂....逐漸擴散

面對與時間競走的安全挑戰考驗，MIS 對抗病毒的任務愈加艱鉅。本文將根據我以往與病毒奮戰的經驗，分享看倌們幾個防毒備忘錄，相信這些基本防毒動作，能讓日常防毒管理工作更加輕鬆。

備忘錄1：將 16個檔案格式列入隔離名單

攻陷企業網路甚至讓郵件伺服器停擺，需要多高深的技巧呢？答案是只需要一個經過包裝過的信件主旨即可。趨勢科技只在高度風險時才會執行病毒紅色警戒，然而有趣的事，往往我們實驗室的警戒鈴聲大作經常都是起於一個以交談、假冒或口語用字等方式的字眼。這種所謂的社交工程陷阱（social engineering ）利用大?的疏於防範的小詭計，讓受害者掉入陷阱。

依據以往我們與病毒搏鬥的經驗，我們發現有些檔案特別容易為企業帶來內部或外部的災情。其中有些字眼你一定很熟悉，像是「你的密碼」、「蘇菲瑪索走光圖」、「免費星巴客咖啡券」..等等為名的檔案。建議 IT 部門設定閘道或郵件伺服器防毒軟體，刪除或隔離夾帶下列檔案的信件，避免員工因為一時好奇心而為企業帶來大禍。

諸如此類的安全威脅藉由操控電腦使用者以間接破壞電腦的手法，在病毒攻擊已形成重要角色，因為只要有一個人抗拒不了本身的好奇心看了郵件，採用安全弱點攻擊的病毒就可以在短時間內大行肆虐。後果可能導致用戶名單、密碼及網路結構被間諜軟體或網路釣客竊取出來。

1..VBE-- VBScript Encoded File
2..VBS-- VBScript Script File

有不少網友反應MSN或是 YAHOO帳號遭盜用，冒用者還傳送照片誘騙他人，甚至冒用受害者名義加入其他聯絡人。更慘的是竊賊把苦主的密碼也改掉了。在相關的流言論壇裡面，類似的受害者留言密密麻麻。難怪當有人留言擁有密碼破解程式時，索取的訊息頓時佔滿了版面。

為了取回自己的帳號所有權他們開始向放出消息者索取密碼破解軟體。有人聲稱忘了密碼(「我的郵箱忽然進不了，我有很多公司資料在內，拜託各位前輩幫幫小弟~真的很急需~萬分感激"。」)最令人憂心的是，萬一真有密碼破解程式流入盜用者手中，那麼將更多人受害。

依據我們的經驗，此類偷取即時通訊(IM)軟體密碼的手法包含以下六類：

1. 密碼破解工具：50萬種組合，懶人密碼一一破解

網路上存在的 Password cracking applications（密碼破解工具），其目的通常用於破解應用程式，以便非法使用，大部分的密碼破解程式，會內建一長串的密碼和使用者名稱，不斷地測試直到成功為止。據說某些駭客工具，內含50萬個可能的組合，一個由小寫字母組成的4個字密碼，可以在幾分鐘內被破解。

在大陸，QQ網友佔 IM 使用者大部分。一個由當地自產的QQ密碼破解器 Keymake，號稱可以讓忘記密碼或嫌輸入QQ密碼過於麻煩的人，讓註冊碼直接顯示在螢幕上，登錄時無需輸入密碼。不過筆者認為，如果遭到居心不良的人利用，那就後果嚴重了。

2.「網路連線出現問題，請重新登錄」：小心是病毒假訊息

我們也發現，專門偷密碼的病毒也為數不少。在2005年5月偵測到BKDR_VB.DD這個後門程式一旦被執行，它會跳出一個假冒的對話框，謊稱網路連線出現問題，導致 MSN離線，要求使用者登錄輸入使用者名稱及密碼，以恢復連線。一旦不疑有他輸入帳號及密碼，駭客即可能取得你的帳號密碼，可能冒用你的名義，跟你的網友聊天。

3.間諜軟體監聽：第三者悄悄聽，祕密全都錄

間諜軟體中也有不少會監聽 MSN。以 SPYW_MSNMON.260為例，它會攔截 MSN Messenger封包，然後針對特定對象或網路加以監聽 MSN 對談。另一隻間諜軟體SPYW_ACTKLOG.260 除了監控網路使用行為外，並會側錄鍵盤，包含你輸入的 IM 密碼，都會透過 email 傳送給幕後主腦。

4. 掃描Registry Subkeys：暗中收集密碼，傳送特定 eMail

VBS_PSWNIKANA.A 病毒會遠端收即使用者資料，並會搜尋registry 竊取包含AOL、MSN 在內的帳號和密碼。利用 PHP script 傳送給有心人士。此外，該病毒也會覬覦PalTalk 線上傳訊軟體密碼及線上遊戲Half-Life、CounterStrike的序號。