小心好友的新联系方法邮件！

Sammi888

不要乱开「XX的新联络方式」，就算是熟人也要小心。趋势科技发现一封寄件人显示为「佩琪」,标题为「佩琪的新联络方式」信件，其中含有SASFIS 变种病毒。该病毒用一种附件文件名伪装的社交工程 ( Social Engineering ) 手法，让看似Excel的附件，执行后却变成含有病毒的屏幕保护程序。
    趋势科技表示今年稍早之际，SASFIS （又译：萨斯风）木马的恶名与Facebook脸书的假电子邮件讯息相关。感染SASFIS 后会造成更多病毒感染，此特定家族会让系统容易受殭尸网络/傀儡网络 Botnet网络的攻击，特别是ZeuS和BREDOLAB等之殭尸网络，SASFIS 家族也与不同的假防毒软件变种，通常是色情网站类的变种相关联。


  图1、SASFIS垃圾讯息样本

   SASFIS 木马是透过一封夹带有一个 .RAR压缩文件的垃圾讯息进入收件者系统中，压缩文件中包含了个 .XLS的档案。将档案解压缩到桌面后，这个 .XLS档案看来和真正的MS Excel文件如出一帜。但执行后会出现屏幕保护程序，不过其中含有另一只木马TROJ_SASFIS.HBC和后门程序BKDR_SASFIS.AC。

   解压缩后看来是 Excel的工作表，其实是个可执行档。这个档案的玄机在于档名：佩琪(phone&mail).[U+202e}slx.scr，其中的U+202e是控制文字的通用程序代码（Unicode control character），告知系统将续后的文字变成从右至左。如此一来，使用者所看到的档名就成了佩琪(phone&mailrcs.xls)。使用者因此会相信该档案的确是Excel档案，因此可“安全”地展开；而实际上该档案是一式可执行的 .SCR檔。这个可控制扩展名字符从右到左的手法（right-to-left override），简称RLO。

    同理可证， BACKS[U+2020e]FWS.BAT可变身为BACKSTAB.SWF

    I-LOVE-YOU-XOX[U+2020e]tXT.EXe可变身为I-LOVE-YOU-XOXeXE.TXt。前者将档案以Adobe Flash档案程序做伪装；后者则使用文本文件来掩示可执行之档案程序。


图2、假 .xls档案的二位程序代码

    尽管如此，使用者可借着最寻常也是最好的方法来预防系统受此攻击的感染，那就是不要展开看来可疑的电子邮件讯息，也不用下载及执行其附件。

    主动式云端截毒服务 SPN( Smart Protection Network)，利用电子邮件信誉服务防止垃圾讯息进入到使用者的收件匣，以保护使用者不受此攻击的威胁。趋势科技产品同时也透过档案信誉服务，侦测并删除TROJ_SASFIS.HBC和BKDR_SASFIS.AC等恶意档案程序，不让系统受其感染。

    趋势科技  TrendLabs 资深分析师翁世豪表示：「这类攻击目前在台湾与日本的政府机关都有发现许多攻击的案例了。这种攻击手法无法欺骗安全软件，但最主要的是可以欺骗人的眼睛。让人把危险的执行档案当成安全的档案格式(文本文件、office文件档等)开启。现在人们都很聪明了，知道不能乱执行一些档案格式，大家都认识像*.exe *.cmd *.bat 之类的扩展名是危险的而不去开启。然而这种障眼法的攻击却大大颠覆了人们这种认知。」他强调：「人眼是不可靠的，附档名是可以欺骗人的，尽管如此，使用者可借着最寻常也是最好的方法来预防系统受此攻击的感染，那就是不要展开看来可疑的电子邮件讯息，也不用下载及执行其附件。」

rayismyname

邮件不是都查杀吗？

依然寰随云

学习了

紫雪纷纷

虚拟机里看

coolboy45

。。。。够阴险啊。。。。