木馬病毒Trojan.Chafpin 一步步「套牢」用戶

 諾頓病毒週報  

木馬病毒Trojan.Chafpin  一步步「套牢」用戶

 

 

病毒名稱:Trojan.Chafpin

病毒類型:木馬

受影響的作業系統:Windows 2000/ NT /XP/Vista, Windows Server 2003 

 

病毒分析:

 

Trojan.Chafpin是一個傳播方式非常特別的木馬病毒。它將加密後的惡意程式碼包含在一個.png圖片檔中,並且誘導使用者點選圖片中顯示的文字提示,進而使其中的惡意程式碼被解密並執行。

 

執行後,該木馬會釋放惡意檔至USERTEMP目錄下,如:%USERTEMP%\sys32.exe %USERTEMP%\winconfig.exe(Trojan.Chafpin)。它還會從網站http://www.4[REMOVED]an.org 下載病毒程式。

 

Trojan.Chafpin利用下載的方式入侵使用者電腦,從表面看就像一個正常的.png圖片檔。但是當使用者用圖片檢視器開啟它時,會發現圖片的下半部似乎無法正常顯示;而圖片上半部則會顯示提示文字,建議重新使用圖片繪圖工具來開啟檔案,同時提示使用者將重新開啟的檔案命名為4CHAN.HTA,並另存為24位元BMP圖片檔。若遵照該提示進行操作,那麼就會中了該木馬的圈套:木馬內部的惡意資料被解密;當用戶再次點擊4CHAN.HTA時,病毒就開始運行。

 

諾頓安全專家建議:

 

1.      全新2010版諾頓安全軟體獨創、基於信譽評級的全球雲端鑑識技術,使用賽門鐵克的全球安全智慧型網路,即時對來自網路的應用程式進行判斷,協助使用者抵禦最新威脅。

2.      建議使用者不要輕易造訪可疑網站。瀏覽網頁前,可以使用「諾頓網頁安全」(分析將要造訪網頁的安全性。

3.      及時更新安全軟體病毒定義檔以抵禦該病毒威脅。

4.      沒有安裝安全軟體的使用者可以造訪下載諾頓網路安全大師2010或諾頓防毒2010試用版對病毒進行掃毒。

5.      使用諾頓2006版本及之後產品的現有使用者,可以免費將產品升級至諾頓2010版本,升級網址