 |
台湾 行销企划部
电话:(02) 2704-1758
传真:(02) 2704-0372 |
| |
USA Service Dept.
ADD:5138 Parkfield Ave.
San Jose, CA95129
Tel:408-2034565
|
|
|
|
企 业都会监控许多异常网络流量,但现在有越来越多黑客开始透过植入MSN机器人程序(Bot,也称傀儡程序),让黑客可下令偷数据、回传该台电脑的所有档 案,甚至是操作中的屏幕剪图。发觉此一犯罪手法的警政署巡官丛培侃表示,目前企业无法察觉这种MSN机器人的异常流量,除非由微软检查连上MSN服务器连 线程序的内容,不然只有企业全面禁用MSN才能防范。
丛培侃认为,这种植入MSN机器人程序的手法受黑客欢迎的原因在于,MSN机器人程序模仿MSN的联机型态,企业MIS难以从网络流量察觉异常,所以很难早期发现,企业是否有计算机被植入MSN机器人程序。
早 期的机器人程序都是从网络聊天室(IRC),或者是其它Web-based的网络服务漏洞,由黑客趁机植入各种木马程序。这一次的MSN机器人程序,刚开 始的手法还是一样,丛培侃说,依旧是透过各种漏洞、植入各种后门程序,或者是透过点选电子邮件的恶意连结,直接联机下载木马程序、恶意程序,或者是先下载 Downloader后,再听从黑客指令,连网更新恶意程序。
丛培侃观察到,这个MSN机器人往往是潜伏一阵子后,才开始「正常活动」。 这个MSN机器人程序完全模仿真正的MSN程序,不论是外观、计算机图标(icon)甚至是连网行为,同样透过MSN常用的1863埠对外联机,也同样连上 微软MSN的服务器。「这些大量涌入的MSN机器人,某种程度也造成 MSN联机的壅塞,导致一般MSN联机出现不稳的现象。」他说。
骇 客老早为这个MSN机器人注册一个MSN账号,并加入自己的MSN好友名单中。当MSN机器人听令开始正常活动时,受骇计算机使用者不会察觉 MSN机器人与黑客之间所有的活动。黑客只需要透过MSN讯息下达各种指令,MSN机器人就会立即反应,不论是回传该台电脑的档案数据或执行程序清单,甚 至,MSN机器人也可以立即撷取当时操作者的屏幕画面,并以图档回传给黑客。
丛培侃指出,这个MSN机器人并不是盗用使用者的MSN帐 号,而是一个模仿MSN程序,会自动联机,也会设法隐藏自己身影的恶意程序,同样手法也适用其它IM软件。他说:「如果使用者当时有启动微软的 Windows Messenger,该台电脑就会有2个MSN联机,否则就只有黑客的MSN机器人呈现联机状态。」
这种MSN机器人其 实就是另外一种变形的傀儡网络(Botnet),黑客下命令的方式从以前的IRC改成MSN。由于这样手法有逐渐扩散的趋势,加上同一名黑客掌握的MSN 机器人可能超过千台,丛培侃认为,目前最有效阻挡MSN机器人偷数据的方式,就是由微软在MSN服务器解析联机程序的内容,进而阻挡可疑的联机。但他也 说,目前这个方法过于耗时费力,加上误判风险极高,短期内尚未有其它更有效的阻挡方式。
丛培侃提醒,MSN机器人程序之所以能入侵使用者计算机,还是因为该计算机原本就有漏洞让黑客有机可趁。「企业若不能从网络段察觉异常,不是限制实时通讯软件的使用,就是设法确保使用者计算机的安全性,断绝黑客入侵机会。」他说。
|
| 文章整理: |
|
| 关键词: |
MSN机器人,Bot,IRC,黑客,傀儡程序,Windows Messenger |
|
|
|
