示意圖,photo by Santeri Viinamäki(shorturl.at/kwFZ9)

資安業者ESET本周揭露一個新的殭屍病毒GoBotKR,它隨著盜版的韓劇、韓國電影或是韓國遊戲而散布,主要的散布管道為南韓與中國的Torrent網站,在所有的感染案例中,南韓佔了80%,中國佔10%,而擁有不少韓劇迷的台灣也佔了5%。

當使用者自南韓或中國的Torrent網站,下載了盜版的電影或電視內容之後,它會含有一個MP4檔案、一個偽裝成編解碼工具的PMA檔案,以及一個看起來像是影片的LNK檔案,但後兩者都是惡意檔案。

如果使用者只是單純開啟MP4檔案,並不會引發任何的惡意行動,只是此一MP4檔案經常隱藏在不同的目錄下,使用者也許會誤選惡意的LNK檔案,並進一步觸動惡意程式,為了避免被察覺,執行LNK檔案時,依然能正常開啟影片。

去年5月開始活動的GoBotKR,為後門程式GoBot2的變種,但它的主要目的是建立殭屍網路,以執行分散式阻斷服務(DDoS)攻擊。受害者一旦觸動了該程式,GoBotKR即會蒐集電腦上的系統資訊,包括網路配置、作業系統版本、CPU/GPU版本,以及系統上所安裝的各種防毒軟體,再將資訊傳送到命令暨控制伺服器,以供駭客判斷攻擊資源。

ESET所發現的命令暨控制伺服器都座落於南韓,且由同一人所註冊。駭客可透過由GoBotKR重新啟動電腦、執行檔案、更新程式、變更IE首頁、變更桌面背景、自我複製,並發動DDoS攻擊。

GoBotKR配備許多防偵測技術,例如它在系統上安裝了兩個實例,其中一個負責監控另一個實例的活性,萬一被移除了還能重新安裝;還導入了可繞過防毒軟體的技術;可偵測特定的安全與分析工具,倘若系統上存有這些工具,它就會自動終止;它還設有黑名單,假設發現受害者的IP屬於Amazon、BitDefender、思科或ESET等企業,也會自動終止。


Advertisement

更多 iThome相關內容