間諜軟體：免費大驚喜還是諜諜不休？(上)

2005/08/01 07:00:45 這天我來到slotchbar.com這個有點單調的藍色系網站，首頁開宗明義的說有個工具列可供下載。網站介紹說能讓我的搜尋工作簡單迅速，聽起來不錯。不過，它卻在最後一句說明文字「輕描淡寫」地警告說會同時安裝其他附帶的軟體（在 FREEDOWNLOAD 按鈕底下，有這麼一小行字："In order for the toolbar to be free, other complementary sofwares are installed."套句中式的說法：天下沒有白吃的午餐！）。嗯.. 或許三、四種軟體吧？

slotchbar.com網站首頁圖。

我還是想試試看！ 所以我就按下跳動的 [FREE DOWNLOAD] (免費下載) 按鈕，我的 Firefox 瀏覽器似乎一動也不動，這個網站被加入「信任清單」然後下載了軟體。

但我並不贊成你們跟我一樣這麼毫無顧忌地下載檔案，因為我正在準備與間諜軟體進行諜對諜的遊戲，而且我是有備而來的….

經我們查證，按下 「FREED DOWNLOAD」會導致2隻間諜軟體、8隻廣告軟體和3隻特洛依木馬進駐你的電腦。

間諜行動1. <破壞門鎖>
木馬病毒降低瀏覽器安全性，放行惡意網站

我之所以會到這個早已被我們公司TrendLabs 列為「重度污染」的工具列廣告軟體網站，是因為今年3月我們偵測到一隻會將 IE 的安全等級修改為最低的TROJ_QLOWZONES木馬病毒，近日又跟slotchbar.com搭上線了。我們在http://XXXX.biz/troys/tool1.txt網址發現TROJ_QLOWZONES 木馬病毒以 TXT 副檔名作為掩飾，但使用者實際下載的是一個病毒執行檔。TROJ_QLOWZONES 木馬病毒程式碼中隱藏了許多網域名稱，其中之一就是slotchbar.com。

這個木馬會將這些惡意網站設為信任的網域，因此一旦你被TROJ_QLOWZONES盯上，當你瀏覽這些「暗藏玄機」的網域時，瀏覽器都不會有異議地欣然接受。當然，不會出現任何安全警告訊息。（不過，提醒你：即使出現安全警告訊息，也不見得安全，文章稍後告訴你）

間諜行動2.<引狼入室>
下載廣告軟體

就在我啟程前往slotchbar.com之前，這個木馬的新變種竟先至三個黨羽的網站下載廣告軟體 MediaTickets。前陣子 MYTOB 變種也跟 MediaTickets 聯盟出擊呢！有了TROJ_QLOWZONES 護航，MediaTickets的廣告視窗就得以順利地在你眼前不斷彈出跳躍，因為一旦系統潛藏特洛依木馬程式，任何網站都會被歸為信任的安全網站，此時大開攻擊之門的瀏覽器彷彿被蒙上雙眼，不會出現任何警告訊息。

間諜行動3. <工具列藏陷阱>
招惹2隻間諜軟體、8隻廣告軟體，還有…

雖然我摸透了TROJ_QLOWZONES的技倆，但是「不入虎穴，焉得虎子」我還想看看它還有什麼把戲，這時候我已經成功下載了slotchbar.com「工具列」。但是因為我的趨勢科技掃瞄程式是開啟的狀態，因此它並不允許我這樣作。我的防毒軟體告訴我剛剛下載的檔案被偵測為 TROJ_SMALL.GL木馬病毒。但是，我並不因此而感到滿意，我想知道 TROJ_SMALL.GL 之中是否還藏有其它同夥，因此我到一台不太靈光的電腦上下載這個檔案。我想和 TROJ_SMALL.GL 玩玩，看看到底有何特別之處。幾分鐘後，TROJ_SMALL.GL 開始下載 bundler_regular.exe 這個檔案，下載一個檔案好像沒什麼大不了的，但是我卻不敢小看它，因為它能夠自動到不同的網站下載 26個檔案，之後你系統就會多了2隻間諜軟體、8隻廣告軟體和3隻特洛依木馬。

真惡劣！用這種方式安裝廣告軟體與特洛伊木馬程式，還好我的掃瞄程式能偵側到 TROJ_SMALL.GL，防範災害於未然。不過，這並不是單一事件，這半年來，間諜軟體和病毒的曖昧關係，可說是愈來愈明顯了，看著它們一個個打得火熱，真不是一個好現象。（註1：Q2近半數病毒爆發事件，會暗中下載間諜軟體）

(未完待續）

註1：Q2近半數病毒爆發事件，會暗中下載間諜軟體
專業公司認為現在病毒製作者與駭客背後可能有犯罪組織提供資助，蠕蟲與間諜軟體結合的原因在於金錢利益。過去三個月蠕蟲已經找到了更有力的助手：間諜軟體。這個具有侵犯隱私權爭議的惡性程式，已著手與病毒結合，其對電腦的殺傷力，不單是資料毀損，而是隱私權與實質資?的侵犯。蠕蟲與間諜軟體聯盟，勢必比單一病毒更加兇猛。