病毒通告:假微軟客戶服務和幫助檔案實際上是竊取訊息的 Vidar 惡意軟體,請勿點選或開啟任何可疑的檔案並提高警覺!
2022-05-24
風險等級: 低度威脅
摘  要: 病毒通告:假微軟客戶服務和幫助檔案實際上是竊取訊息的 Vidar 惡意軟體,請勿點選或開啟任何可疑的檔案並提高警覺!
解決辦法: trustwave官方網站:https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/vidar-malware-launcher-concealed-in-help-file/ 建議處理方式如下: 1、阻擋所有外部可疑連線 2、不要給予使用者與程式過高的權限來執行工作 3、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案 4、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取 請勿點選來路不明的電子郵件以及內含的附件或連結,以免重要的訊息遭竊取,更多詳細資訊或細節可參考trustwave官方。
細節描述: 網路安全公司 Trustwave 的安全團隊 SpiderLabs 已提醒 Windows 用戶注意一個名為 Vidar 的新惡意軟體活動,該活動偽裝成微軟支持或幫助檔案。因此,毫無戒心的用戶很容易成為受害者,而 Vidar 惡意軟體可以竊取有關被利用受害者的訊息。

Vidar 是一種竊取訊息和數據的惡意軟體,包括從瀏覽器中竊取的訊息和數據。

微軟編譯的 HTML 幫助 (CHM) 檔案,這種惡意 Vidar CHM 惡意軟體通過電子郵件作為媒介分發 ISO 映像檔,ISO 偽裝成“request.doc”檔案。

在這個 request.doc ISO 檔案中包含了幾個惡意檔案,一個名為“pss10r.chm”的已編譯 Microsoft HTML 幫助 (CHM) 和一個名為“app.exe”的可執行檔案。一旦用戶被誘騙點選這些檔案,用戶的系統就會受到威脅。第一個,“pss10r.chm”,一般來說其實是一個合法的檔案,但附帶的exe檔案是Vidar。

惡意 CHM 的目的是啟動另一個檔案 app.exe,其中包含 Vidar 惡意軟體。
參考資訊: trustwave
filibuster blog