遠東銀行遭駭盜轉事件中,刑事局已經發現了5支駭客留下的惡意程式,其中2支是加密勒索木馬,另外3支是用來入侵和滅跡的惡意程式。

早在10月6日記者會中,金管會就曾提醒臺灣金融業者,要注意RANSOM_HERMS.A加密勒索木馬。iThome進一步取得了這5支惡意程式的檔名和特徵,可供企業趕快清查內部電腦系統,是否已遭駭客鎖定,暗中也植入了這些惡意程式,只是還未發動攻擊。

就是因為遠銀在10月3日上午,從資安設備上偵測到網路異常行為,隨後也發現有系統毀損,找來資安專家,發現是這支加密勒索軟體導致SWIFT系統當機,但這其實是駭客故佈疑陣,用來隱藏他們暗中入侵SWIFT盜轉匯款的拖延戰術。

目前5支惡意程式,除了bitsran.exe和RSW72CE是加密勒索木馬之外,另外三支的檔名分別是msmpeng.exe(偵測到BKDR_KLIPOD.ZTEJ-A病毒)、splwow32.exe(偵測到 BKDR_KLIPOD.ZTEJ-B病毒)和FileTokenBroker.dll(TROJ_BINLODR.ZTEJ-A),最後一個從檔名來看,就疑似是用來偽造SWIFT密文用的病毒,不過,這還有待刑事局分析。這幾支惡意程式目前已知的功能,可以進行散布、加密及遠端遙控,並在感染遠銀內部電腦後,也會蒐集相關情資進行回報,並且加密部分電腦的檔案資料。

另外刑事局也已經掌握了2個駭客用來遠端遙控惡意程式的惡意程式中繼站IP,分別是94.23.148.41和167.114.32.112,這也是企業要趕快列入防火牆阻擋清單的IP,另外也要清查ㄧ下Log記錄,是否過去一段時間內有出現這2個IP的活動記錄,若有,那就得提高警覺了。

遠東銀行遭駭事件5支惡意程式特徵



惡意程式檔名 病毒偵測名稱 SHA1
msmpeng.exe BKDR_KLIPOD.ZTEJ-A bdb632b27ddb200693c1b0b80819a7463d4e7a98
splwow32.exe BKDR_KLIPOD.ZTEJ-B c7e7dd96fefca77bb1097aeeefef126d597126bd
FileTokenBroker.dll TROJ_BINLODR.ZTEJ-A f891fde8908ae18801d7a0be1eeab07391c00c1b
bitsran.exe RANSOM_HERMS.A b30daf74b25b8615ada10cca195270c32e6b343a
RSW72CE.tmp RANSOM_HERMS.A d08573c5e825b7beeb9629d03e0f8ff3cb7d1716


Advertisement

更多 iThome相關內容