木馬病毒Trojan.Chafpin 一步步「套牢」用戶

 諾頓病毒週報  

木馬病毒Trojan.Chafpin  一步步「套牢」用戶

病毒名稱：Trojan.Chafpin

病毒類型：木馬

受影響的作業系統：Windows 2000/ NT /XP/Vista, Windows Server 2003 

病毒分析：

Trojan.Chafpin是一個傳播方式非常特別的木馬病毒。它將加密後的惡意程式碼包含在一個.png圖片檔中，並且誘導使用者點選圖片中顯示的文字提示，進而使其中的惡意程式碼被解密並執行。

執行後，該木馬會釋放惡意檔至USERTEMP目錄下，如：%USERTEMP%\sys32.exe 和 %USERTEMP%\winconfig.exe(Trojan.Chafpin)。它還會從網站http://www.4[REMOVED]an.org 下載病毒程式。

Trojan.Chafpin利用下載的方式入侵使用者電腦，從表面看就像一個正常的.png圖片檔。但是當使用者用圖片檢視器開啟它時，會發現圖片的下半部似乎無法正常顯示；而圖片上半部則會顯示提示文字，建議重新使用圖片繪圖工具來開啟檔案，同時提示使用者將重新開啟的檔案命名為4CHAN.HTA，並另存為24位元BMP圖片檔。若遵照該提示進行操作，那麼就會中了該木馬的圈套：木馬內部的惡意資料被解密；當用戶再次點擊4CHAN.HTA時，病毒就開始運行。

諾頓安全專家建議：

1.      全新2010版諾頓安全軟體獨創、基於信譽評級的全球雲端鑑識技術，使用賽門鐵克的全球安全智慧型網路，即時對來自網路的應用程式進行判斷，協助使用者抵禦最新威脅。

2.      建議使用者不要輕易造訪可疑網站。瀏覽網頁前，可以使用「諾頓網頁安全」（）分析將要造訪網頁的安全性。

3.      及時更新安全軟體病毒定義檔以抵禦該病毒威脅。

4.      沒有安裝安全軟體的使用者可以造訪下載諾頓網路安全大師2010或諾頓防毒2010試用版對病毒進行掃毒。

5.      使用諾頓2006版本及之後產品的現有使用者，可以免費將產品升級至諾頓2010版本，升級網址。