假微軟客戶服務和幫助檔案實際上是竊取訊息的 Vidar 惡意軟體

風險等級: 低度威脅
摘要: 病毒通告:假微軟客戶服務和幫助檔案實際上是竊取訊息的 Vidar 惡意軟體,請勿點選或開啟任何可疑的檔案並提高警覺!
解決辦法: trustwave官方網站:https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/vidar
-malware-launcher-concealed-in-help-file/
建議處理方式如下:
1、阻擋所有外部可疑連線
2、不要給予使用者與程式過高的權限來執行工作
3、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案
4、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取
請勿點選來路不明的電子郵件以及內含的附件或連結,以免重要的訊息遭竊取,更多詳細資訊或細節可參考trustwave官方。
細節描述: 網路安全公司Trustwave 的安全團隊 SpiderLabs 已提醒 Windows 用戶注意一個名為 Vidar的新惡意軟體活動,該活動偽裝成微軟支持或幫助檔案。因此,毫無戒心的用戶很容易成為受害者,而 Vidar 惡意軟體可以竊取有關被利用受害者的訊息。

Vidar 是一種竊取訊息和數據的惡意軟體,包括從瀏覽器中竊取的訊息和數據。

微軟編譯的 HTML 幫助 (CHM) 檔案,這種惡意 Vidar CHM 惡意軟體通過電子郵件作為媒介分發 ISO 映像檔,ISO偽裝成“request.doc”檔案。

在這個 request.doc ISO 檔案中包含了幾個惡意檔案,一個名為“pss10r.chm”的已編譯 Microsoft HTML 幫助(CHM)和一個名為“app.exe”的可執行檔案。一旦用戶被誘騙點選這些檔案,用戶的系統就會受到威脅。第一個,“pss10r.chm”,一般來說其實是一個合法的檔案,但附帶的exe檔案是Vidar。

惡意 CHM 的目的是啟動另一個檔案 app.exe,其中包含 Vidar 惡意軟體。

參考資訊: trustwave
filibuster blog