﹝防毒訊息﹞新惡意程式可反偵測，隱蔽自身行為

今年7月22日出現本世紀最長的日全蝕奇景，吸引許多民眾逐日的眼光，但也有聰明的駭客利用這股時事熱潮，在一些直播日全蝕的網站植入惡意網址，進行網頁掛馬。協助處理的中華電信表示，這次事前毫無跡象，直到日全蝕直播開始前，惡意網頁才有動作，此次受害人數雖少，但這也證明駭客思維已經開始轉變。

中華電信數據分公司協理劉伴和表示，此次有個外包廠商透過HiChannel平臺提供日全蝕網站直播服務。不過，在網站直播當天，只要有人點擊該網頁，會被中繼站double.net.tw，導引到youtube.go.3322.org和
http://www.hklit.com/等兩個惡意網站，下載惡意的木馬程式（Downloader）。

中華電信數據分公司資安辦公室主任吳怡芳表示，這次駭客利用前一陣子微軟公布的ActiveX的DirectShow漏洞。她說，駭客在直播服務上線前毫無動作，讓提供服務的廠商較難察覺異狀，這也證明駭客更會利用時事議題，讓網路使用者誤上惡意網站。

根據中華電信現有Log（登錄檔）記錄發現，該惡意程式下載網站總共有25筆網頁點擊記錄，其中19筆點擊記錄，是從該日全蝕直播網站惡意連結導引過去的，另外6個點擊，則是其他惡意網站連結過去。

吳怡芳表示，中華電信第一時間發現相關的惡意連結後，立刻將相關的惡意網址，輸入中華電信入侵防護系統的設備中，提供第一時間的防護，也降低損害。她表示，企業用戶可以將上述惡意連結和中繼站網址，輸入各該公司的URL過濾設備，達到基本的阻擋效果。

吳怡芳說，中華電信資安辦公室針對該惡意程式分析發現，這個惡意程式在虛擬環境中會自我隱藏，一般資安研究員若在虛擬環境進行惡意程式的分析，這個惡意程式會隱藏惡意行為，讓研究員難發現異狀。

阿碼科技資深資安研究員邱銘彰表示，目前的惡意程式已經進化到能反偵測分析環境，不論分析者是採取靜態的惡意程式分析，或者是行為監控的惡意程式分析，這種惡意程式可偵測出虛擬環境（VM）或沙箱（SandBox）在內的偵測環境，以及各種攻擊分析程式和穿越還原系統。

中華電信資安辦公室資安技術組組長李倫銓則指出，包括傀儡電腦在內的各種惡意程式，都進化到具有自我隱匿的技術，所有資安研究員目前面臨最大隱憂則是，這些惡意程式都可以反除錯和反偵測虛擬環境，若資安研究員還是習慣在既有的虛擬環境測試、分析惡意程式，將可能被惡意程式欺騙、反將一軍。

參考網頁:
http://news.pchome.com.tw/magazine/report/ct/iThome/1211/124931520061409075007.htm