能用密码自我保护的蠕虫程序

作者：趋势科技

通常用户将多个文件压缩成单一文件，这主要是为了方便或是节省空间。然而趋势科技发现有个蠕虫程序会自我复制，并将自己加入受密码保护的压缩文件里。

趋势科技取得了一个蠕虫程序样本（被检测为 WORM_PIZZER.A），会利用特定的 WinRAR 命令行工具来传播（见下图）。一旦执行，会让 WORM_PIZZER.A 复制自己到压缩文件内，特别是 ZIP、RAR 和 RAR FX 文件。这个蠕虫程序不会从压缩文件中提取密码。上述命令行是正常指令，用户可以用它来将文件加入压缩文件内，只要系统内装有 WinRAR 即可。然而恶意软件开始滥用该功能将自己复制到压缩文件内。

图一、WinRAR 命令行

经过趋势科技的测试，这种蠕虫程序是被 WORM_SWYSINN.SM 从一特定网站下载而来。

这种方式让人想起出现在 2010 年的 WORM_PROLACO 变种，其中有个变种会将某些 EXE 文件和自己的复本压缩在一起。但 WORM_PIZZER.A 的有趣之处在于，它会巧妙地将自己复制进压缩文件内，就算是有密码保护的压缩文件也一样。当毫无戒心的用户解开这些压缩文件时，并不知道里面已经加入了蠕虫程序，所以可能会像普通文件一样运行这个恶意软件。

图二、WORM_PIZZER.A 复本（bot.exe）出现在压缩文件内

趋势科技已经可以检测并删除 WORM_PIZZER.A，并封锁托管该恶意软件的网站。

2013年上半年都只是在老调重弹，旧的威胁，例如 ZBOT、CARBERP 和 GAMARUE 利用新技术来躲避检测，或是用更隐蔽的方式潜入用户系统。WORM_PIZZER.A 也只是被重新包装过的的威胁。因为压缩文件的保护措施，让用户可能太过于放心，毫无戒备地解开并运行这些文件，成为传播威胁的完美掩护。

为了更好地保护自己，用户必须遵守计算机使用最佳实践，包括避免访问不明网站和从未经验证的电子邮件链接中下载文件。因为恶意软件可以将自己复制到压缩文件内，所以用户在执行类似文件时要格外小心。

＠原文出处：Worm Creates Copies in Password-Protected Archived Files

 

5.29-6.12日,购趋势科技杀毒软件，单笔满288元,送288元大礼!

活动详情请戳: http://www.iqushi.com/buy.php

趋势科技移动安全防护免费下载：

http://www.trendmicro.com.cn/pccillin/mobile-security-for-android.html

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！