廣受歡迎的下載工具軟體FlashGet(又名快車)傳出會自動下載木馬程式,資安業者
卡巴斯基(
Kaspersky)並警告該木馬已透過FlashGet發生全球性的散佈。
卡巴斯基是在上週五(3/14)日於官方網站的資安部落格上,由資深病毒分析師Aleks Gostev發出了此一警訊。Gostev在文中表示,近日收到用戶回報在知名下載工具FlashGet的資料夾中發現木馬程式,經分析後發現,這些木馬程式是直接下載自FlashGet的官方網站,懷疑FlashGet官方網站被駭,並進而被利用來透過合法的FlashGet軟體散佈木馬程式,使得 FlashGet儼然從下載工具成了木馬程式下載器(downloader)。
Gostev表示,原屬FlashGet正常設定檔的FGUpdate3.ini疑似遭到竄改,並會連結至遠端網站下載檔名分別是inapp4.exe、 inapp5.exe與inapp6.exe的木馬程式,值得注意的是,Gostev發現這些檔案的下載來源,竟是在FlashGet官方網站,這些木馬的主要行為則是還會再下載其他的惡意程式。
不過FlashGet對此事卻表現的毫無所悉。FlashGet在官方網站上並未對此事發佈任何聲明,官網上不分中英文的討論區,都已有不少使用者反映,但FlashGet官方仍未有具體回應或說明。
但值得注意的是,被卡巴斯基指為木馬來源、被置於FlashGet官方網站上的惡意連結,如今已失效,但無從得知是FlashGet自行取下,或是由駭客取下。
在台未設分公司與發言人的卡巴斯基並未能提供進一步詳情,但其他業者則認為類似手法的確可能存在,但均表示未在本地發現類似狀況。
趨勢科技技術顧問簡勝財便說,用戶端電腦上的檔案被更動有很多種原因,由於手邊沒有樣本,難判斷此案例是用戶先中了其他病毒後導致FlashGet資料夾內的檔案被竄改,或真的是FlashGet本身的問題。
賽門鐵克資深技術顧問莊添發則表示,病毒竄改系統檔案的行為相當常見,建議企業用戶採用能限制存取特定檔案格式的端點安全軟體進行控管;簡勝財則說,透過下載器連結遠端電腦下載惡意程式的手法亦越來越普遍,建議企業用戶採用能過濾危險網址的網頁信譽評等系統。
至於個人用戶,各家業者則都建議務必及時為作業系統、
防毒軟體安裝更新,以防禦最新的攻擊手法,減低風險。
