病毒通告:ShadowPad 木馬在受感染的電腦上執行後門程式,可能會執行惡意動作,請勿開啟任何可疑的檔案並提高警覺!
2017/08/29
風險等級: 低度威脅
摘  要:

經防毒軟體公司安全研究人員在美國與南韓公司 NetSarang 的伺服器管理產品內發現強大的後門程式:ShadowPad (命名為BKDR_SHADOWPAD.A ),它能夠下載並執行其他惡意軟體及竊取資料。

HiNet SOC 建議您勿瀏覽可疑或惡意網站以及開啟任何可疑的檔案或郵件,定期備份重要檔案,為應用軟體和作業系統安裝修補程式,將其更新至最新版本,與安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

影響系統:
  • Windows
解決辦法:

若不慎已感染此病毒,建議處理方式如下:

1、在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。
2、刪除此登錄機碼( HKEY_LOCAL_MACHINE\SOFTWARE\1597317749 )。
3、上述兩種方法未成功解決,使用防毒軟體掃瞄電腦,刪除所偵測到如 BKDR_SHADOWPAD.A (趨勢命名) 的檔案。
細節描述:

NetSarang產品包括管理網路、伺服器和系統管理工作站的軟體。受影響的組織包括了金融機構(如銀行)、能源和製藥等產業。根據研究人員的分析,ShadowPad每隔8小時連到攻擊者所控制的特定網域來傳送中毒系統上的資料。它也被設計成會每月連到不同的網域。如果傳送給攻擊者的資料引起興趣,則命令與控制(C&C)伺服器會去觸發後門程式來送入更多的惡意程式。ShadowPad的惡意程式碼被注入到一個動態連結函式庫(DLL)檔案nssock2.dll,在7月17日出現在NetSarang網站上,至今仍未被發現。另外值得注意的是ShadowPad的隱蔽程度,包括了加密層數,並且具備分級機制來阻止後門程式啟動,除非C&C伺服器發送特定封包到中毒系統。

HiNet SOC 建議您勿瀏覽可疑或惡意網站以及開啟任何可疑的檔案或郵件,定期備份重要檔案,為應用軟體和作業系統安裝修補程式,將其更新至最新版本,與安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

參考資訊: trendmicro blog (2017/08/26)
trendmicro (2017/08/17)