具有網路釣魚功能的新特洛依木馬程式TSPY_SMALL.CBE最近被發現,隱身於不明免費軟體中,在網友下載軟體時偷偷潛入電腦,並以工具列形式呈現,借此讓網友以為是最新軟體工具列而下載中毒。
TSPY_SMALL.CBE為執行資料竊取之目的,以 Internet Explorer 的瀏覽器輔助物件 (BHO) 的型態安裝,以確保每次 Internet Explorer 啟動時都能執行攔截使用者輸入的資訊。一旦受感染的使用者進入被設定為目標的金融網站,它便會顯示偽造的登入主控台,誘騙使用者輸入敏感資訊,像是電話理財個人識別碼 (PIN) 與生日等。遭竊取的資訊會透過ICMP (Internet Control Message Protocol-網際網路控制訊息協定)封包傳送經過加密後的資料,而不是一向慣用的HTTP POST 或 eMail來傳送,藉以躲避網路管理員的注意。
趨勢科技技術總監王應達表示,ICMP 是種偵測網路狀態的通訊協定,常用於診斷網路問題,例如偵測伺服器是否正常運作等,一般用途是在 IP 網路之間傳送控制與測試訊息。以往大多數竊取線上理財資訊的間諜程式都是利用 HTTP POST 或電子郵件來傳送所收集到的資訊,而這隻木馬間諜程式則是利用網路管理員較少針對這種通訊協定作監控的現象,藉以確保它所進行的傳輸活動不會引起網路管理員的注意。
趨勢科技分析發現,該木馬可在 Windows 98、ME、NT、2000、 XP 以及 Server 2003 上執行,利用位於德國某處的IP來傳送資料。這個木馬間諜程式是一個動態連結函式庫 (DLL) 元件,可用來竊取某些金融網站的資訊。
為有效防範個人資料安全,趨勢科技建議應安裝具有防範網站詐騙、間諜軟體、網路釣魚郵件及網站嫁接等防詐騙功能的軟體,同時使用者也應時時刻刻小心,以避免落入詐騙圈套。