2005 年 11 月 11 日

音樂 CD 驚爆木馬程式 Rookit 防盜拷技術引狼入室

賽門鐵克呼籲用戶立即進行LiveUpdate至11/10 並提供移除工具供民眾下載

木馬、後門程式無孔不入，連聽音樂 CD 都有被駭風險。賽門鐵克安全機制應變中心今 (11) 宣布發現首隻針對 Sony BMG 防盜拷音樂 CD 內，採用 Sony/First 4 Internet DRM 數位版權管理技術的木馬程式 Backdoor.Ryknos ，且證實此威脅正擴散中。 Backdoor.Ryknos 木馬程式利用 First 4 Internet 數位版權管理技術（ DRM ）藏匿於使用者電腦中，病蟲危害指數為 2 級（ 5 級為最危險）。截至目前為止，賽門鐵克已接獲 3 起關於此威脅的感染通報。 Backdoor.Rykno 主要是透過垃圾郵件大量散佈，同時此木馬程式具備了 Bot 傀儡程式的特徵，一旦感染，駭客可利用網路即時聊天系統 (IRC) 遠端遙控受害電腦，賽門鐵克提醒用戶立即進行 LiveUpdate 至 11 月 10 日，並將提供相關移除工具。

唱片業者Sony BMG 為了防止使用者盜拷光碟，自今年起出貨的音樂光碟，採用數位版權管理軟體，此軟體是由英國的First 4 Internet業者所開發，然而此數位版權管理技術卻含有Rootkit技術，會在使用者不知的情況下潛入使用者電腦。Rootkit源自於Unix環境，能在電腦深層局部掌控作業系統，讓使用者看不出某些檔案的存在，或某些程序正在執行，駭客近來常利用這種工具套件來隱藏病毒、間諜程式，或木馬程式在電腦中的活動。 

賽門鐵克安全機制應變中心資深總監 Vincent Weafer 表示：「隨著網路安全環境持續改變，賽門鐵克亦觀察網路犯罪案例日益增加。雖然 Backdoor.Ryknos 是第一個音樂 CD 的木馬程式，但是其攻擊手法卻不是最新的。 Backdoor.Ryknos 主要是依據 IRC Bot 遠端監控程式，此程式透過試圖連接即時通訊埠，然後故意連線失敗以重新啟動使用者電腦。成功發動攻擊駭客可以遠端遙控感受染的電腦，結果將導致惡意程式能夠輕易入侵個人資料與電腦系統。」

根據第八期賽門鐵克全球網路安全威脅研究報告指出，竊取個人隱私的威脅已成主流。 2005 上半年期間，在賽門鐵克所收到的樣本數中，前 50 大惡意程式碼中有 74% 是屬於會竊取機密資料的惡意程式碼威脅，這些威脅可能導致身份盜用、信用卡詐騙、或其他會造成財務損失的網路犯罪 。

賽門鐵克同時也提供Backdoor.Ryknos病蟲的移除工具供使用者下載： http://securityresponse.symantec.com/avcenter/venc/data/backdoor.ryknos.removal.tool.html?Open

• 複製本身成為 %System%\$sys$drv.exe 的執行檔
• 企圖利用TCP通訊埠8080傳送訊息給特定IP位置
• 企圖加入被信任的微軟防火牆名單之內
• 主動開啟後門程式並主動啟動IRC連線，然後駭客可能遠端執行以下動作:
1. 利用已被感染的電腦作為跳板，送出機密資料例如使用者名稱、電腦系統使用版本及IP位置
2. 下載並執行不明檔案

賽門鐵克安全機制應變中心(Symantec Security Response)
針對網路上產生的各種惡意威脅，安全機制應變中心提供鉅細靡遺的分析，了解其運作模式，並提供即時的應變及解決方案。