木馬病毒Trojan.Chafpin 一步步「套牢」用戶
諾頓病毒週報
木馬病毒Trojan.Chafpin 一步步「套牢」用戶
病毒名稱:Trojan.Chafpin
病毒類型:木馬
受影響的作業系統:Windows 2000/ NT /XP/Vista, Windows Server 2003
病毒分析:
Trojan.Chafpin是一個傳播方式非常特別的木馬病毒。它將加密後的惡意程式碼包含在一個.png圖片檔中,並且誘導使用者點選圖片中顯示的文字提示,進而使其中的惡意程式碼被解密並執行。
執行後,該木馬會釋放惡意檔至USERTEMP目錄下,如:%USERTEMP%\sys32.exe 和 %USERTEMP%\winconfig.exe(Trojan.Chafpin)。它還會從網站http://www.4[REMOVED]an.org 下載病毒程式。
Trojan.Chafpin利用下載的方式入侵使用者電腦,從表面看就像一個正常的.png圖片檔。但是當使用者用圖片檢視器開啟它時,會發現圖片的下半部似乎無法正常顯示;而圖片上半部則會顯示提示文字,建議重新使用圖片繪圖工具來開啟檔案,同時提示使用者將重新開啟的檔案命名為4CHAN.HTA,並另存為24位元BMP圖片檔。若遵照該提示進行操作,那麼就會中了該木馬的圈套:木馬內部的惡意資料被解密;當用戶再次點擊4CHAN.HTA時,病毒就開始運行。
諾頓安全專家建議:
1. 全新2010版諾頓安全軟體獨創、基於信譽評級的全球雲端鑑識技術,使用賽門鐵克的全球安全智慧型網路,即時對來自網路的應用程式進行判斷,協助使用者抵禦最新威脅。
2. 建議使用者不要輕易造訪可疑網站。瀏覽網頁前,可以使用「諾頓網頁安全」()分析將要造訪網頁的安全性。
3. 及時更新安全軟體病毒定義檔以抵禦該病毒威脅。