当心!Chrome 网页弹出「找不到字型」,很可能中毒了
习惯使用 Google Chrome 浏览器的用户要当心了,最近趋势科技发布一项变种病毒警告,指出今年 2 月流窜的「SPORA」出现新的变种,名为「SPORA v2」,只要民众浏览特定网站,就会中标,特征就是网页会出现乱码,而且弹跳「找不到字型」视窗,只要更新之后,电脑就会被瘫痪,所有私密资料就拱手送给骇客。
「SPORA v2」病毒代号为RANSOM_SPORA.F117C2,特征跟今年 2 月流窜的 SPORA 相似,是靠使用者点选 Google Chrome 浏览器的弹出视窗,该视窗请使用者更新 Chrome 字型套件以显示「HoeflerText」字型。中毒民众在浏览网页时会出现「找不到字型」的小视窗,背景网页的字体也会变成乱码,当使用者点选了弹出视窗按下「更新」,就会下载一个伪装成正常档案的恶意程式。一旦恶意程式执行,电脑即遭到感染。
针对中毒特征,Trend Labs 趋势科技全球技术支援与研发中心做了更详细的说明,指出此一新的 SPORA 变种会将自己复制到硬碟、随身碟及网路共用资料夹,还会搜寻每个磁碟与网路资料夹下的第一层目录。第二版的 SPORA 也和第一版一样,会将系统登录值「HKLMSoftwareClasseslnkfile IsShortcut」删除,让资料夹捷径右下角的小箭头不见,如此一来使用者会以为其捷径档案是一个资料夹。
SPORA v2 与旧版的另一个差异是其 RSA 金钥 (RSAPrivKey2) 现在已直接内含在勒索讯息档中,并非一个分开的档案。一旦 SPORA v2 开始执行,就会使用 RSA-1024 演算法将系统上的影像档和 Microsoft Office 文件加密。不过在加密之后,SPORA v2 将显示勒索讯息,该讯息的档案名称随电脑而异,格式为: XXOOO-AAAAA-BBBBB-CCCCC-DDDDD.html,开头两个字元 (XX) 是二位数字国码。其余的字元是随机产生的编号,每个受害者皆不同。
*资料来源:趋势科技