Symantec：駭客利用Google論壇散播惡意程式命令

賽門鐵克（Symantec）安全研究人員Gavin O Gorman在上周指出，他發現駭客利用Google論壇的新聞群組散布惡意程式命令。

Gorman說明，後門木馬程式的作者首要之務是要維繫一個可靠的命令及控制（command and control，C&C）架構，近來的發展則是利用Web 2.0的社交網站來散布命令，將C&C訊息整合到有效的通訊中，同時它變得愈來愈難偵測及關閉相關的來源。

近日該公司偵測到一個稱為Trojan.Grups的後門木馬程式，該程式透過Google論壇的新聞群組來散播命令，雖然利用新聞群組來散播木馬程式相對普遍，但這是賽門鐵克首度發現駭客透過新聞群組來傳遞命令。

Gorman強調，這並非是Google論壇的瑕疵，只是駭客選擇Google論壇來作為傳遞的管道，該木馬程式為一DLL檔案，當被執行時會登入一個特定的帳號。

Gorman說明，網路上的新聞群組同時儲存靜態的頁面及文章，當成功登入時，該木馬程式會要求一個來自「escape2sun」的私人群組頁面，該頁面含有供木馬程式攜帶的命令，命令中包含一個索引號碼、一個可執行的命令列，以及具選擇性可供下載的檔案；相關的回應會以該索引號碼作為主旨並上傳及成為新聞群組的文章，該文章及頁面內容是加密的，駭客並能發表秘密的命令以及讀取回應。

該木馬程式最早於去年11月現身，迄今總計回應的文章數量僅約3000個。Gorman認為這只是駭客用來測試利用新聞群組傳遞命令的原型，因為檢視該程式碼發現仍留有許多除錯的字串；進一步分析發現，該木馬可能來自台灣，其所散布的新聞群組採用的是簡體中文，且命令列中許多的網址都是來自.tw。

另一方面，Gorman認為這是一個低調的木馬程式，用來蒐集資訊以及尋找潛在的攻擊對象，而且駭客亦未企圖讓該木馬程式永遠留在被駭的電腦上，這類匿名且謹慎的木馬程式通常是用來鎖定特定的間諜組織所開發的。（編譯/陳曉莉）