很多人喜歡透過 BT 下載電影,很多部落客也會在網站上放置自己製作的電影種子分享給大家,這裡姑且不說這樣是好是壞,但你知道嗎?木馬透過大家共享的行徑四處散播病毒散播賽已經不是新鮮事,但這回竟然還突破 WordPress 來散佈!
※圖片出處
※ 木馬散播示意圖
根據其他網友側面了解,這個看起來很正常的種子(Torrent)裡面放著一部名字看起來沒啥異狀的電影,一個「播放器解碼器」以及一個類似「使用須知」的文件。文件中會告訴使用者在觀看電影前須先安裝同捆的解碼器,是的!這個解碼器就是個惡意木馬程式,開啟後會彈出一個文件錯誤的視窗,讓你以為該文件無效,然後默默在後台運作一個叫「sathurbot DLL」的文件,開始連接遠端伺服器,等候攻擊者下指令做出下一步動作。
▲安裝有毒解碼器時會跳出的文件錯誤視窗
當電腦感染之後,sathurbot 會自動更新和下載木馬全餐。讓受害者的電腦變成攻擊者的殭屍大軍成員之一,然後在攻擊者的指揮下利用網路爬蟲方式自動搜尋基於 WordPress 為架構的部落格、網站,利用不同帳號密碼來登入後來將這些網站收歸己用繼續掛上有害種子。
▲被感染的 WordPress 案例
ESET 表示,這些被攻擊成功的網站有些甚至是掛上 https 的網址,所以網路使用者們在搜尋與下載時請思考再三審慎行事,目前可以移除的方式如下:
Web Admins –
更改密碼,刪除不屬於主站的子頁面,可選擇從備份中刪除並還原網站。
用戶 –
使用第三方文件管理器找到可疑的.DLL(請注意,文件和目錄具有隱藏屬性設置),打開 Process Explorer 或任務管理器,刪除 explorer.exe 和/或 rundll32.exe,刪除(隔離)受影響的.DLL,重啟電腦。
※這將可刪除 Satherbot,而不是移除任何其他可能已經下載的惡意軟體,建議刪除後進行全機掃描。