諾頓病毒週報 - 木馬Trojan.Grups利用網路論壇發動攻擊

(作者：賽門鐵克中國安全回應中心)

病毒名稱：Trojan.Grups
病毒類型：木馬
受影響的作業系統：Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003

病毒分析：
最近，一些木馬利用社交網站論壇傳送控制命令並接收執行後的回饋資訊。由於這些包含控制命令的訊息與大量的合法訊息混在一起，識別與攔截這些包含控制命令的訊息會比較困難。

Trojan.Grups就是這樣一種木馬程式，它利用Google網路論壇來傳送控制命令，然後在被感染的電腦中開啟後門，並將該木馬在被感染電腦上執行後的回饋資訊再發送到Google網路論壇。攻擊者通過這樣的方式來控制該木馬的執行並且讀取執行後的回饋資訊。

Trojan.Grups通常以.dll的形式來到使用者機器，當被rundll32.exe運行時將首先連結到Google網上論壇的登錄頁面，用自帶的使用者名稱和密碼登錄。登錄成功後，將連接到一個私人論壇，在該論壇請求一個頁面，這一頁面中包含控制木馬執行的命令。當收到此頁面後，木馬就會執行網頁中加密的命令。執行後的回饋資訊將通過HTTP POST發送到指定功能變數名稱。

諾頓安全專家建議：

1. 諾頓安全軟體每隔 5 到 15 分鐘自動下載最新病毒定義檔和產品更新至使用者電腦中，從而有效保護電腦免受變化多端的病毒攻擊。
2. 諾頓安全軟體具有「智慧雙向防火牆」功能，能阻止不明應用程式存取網路，讓被竊取的使用者資訊無法傳輸。
3. 沒有安裝安全軟體的使用者可以到 http://tw.symantecstore.com下載諾頓360（3.0版）、諾頓網路安全大師2009或諾頓防毒2009試用版。
4. 使用諾頓2006版本及之後產品的現有使用者，可以免費將產品升級至諾頓2009版本，升級網址 http://www.symantec.com.tw/nuc。