微博群雄割据 恶意程序也来“添乱”

• 微博群雄割据
• 恶意程序也来“添乱”

      我国首例微博之战近日正如火如荼进行着，围绕360-金山-可牛战乱不断。而据国外媒体报道，目前互联网上正在流传一种 Twitter Bot的微博恶意程序制作工具，此工具可以用来攻击使用者的系统，也可以用来开玩笑。如果被攻击者拿来对重要系统进行DDoS攻击或下载恶意文件的话，将构成重大威胁。 
      该程序可制作出能够连上国外知名微博Twitter.com 网站读取使用者贴出 Twitter 讯息并且依照讯息指示执行命令的执行文件。攻击者会透过含有附件文件的电子邮件，或是含有网页连接的即时讯息来诱骗使用者下载并执行该文件。

      这个 Bot 程序制作工具由二个文件所组成：TwitterNet Builder.exe 和 Stub.exe。TwitterNet Builder.exe 是该工具的使用者界面，可让使用者输入一个程序所要追踪的 Twitter 帐号，输入后再按制作按钮即可制作出 Bot 程序。Stub.exe 则是此工具的基础程序，使用者所输入的Twitter 帐号将写入这个文件中。 
      此工具会从 Stub.exe 制作出一个 Bot 服务器程序 （TwitterNet.exe），接下来，攻击者只要将此程序送到被害者的电脑上即可：

      当此服务器程序在电脑上执行时，它会定期连上设定好的 Twitter 页面去读取攻击者用来下达指令的 Twitter 讯息，比如命令bot 服务器从贴出的连接里下载/执行恶意文件，假如连接出现 ”0”这个数字，只会下载；若出现” 1”这个数字，则会在远方下载并执行这个文件。 
      该程序还可以从互联网下载文件并执行。它可以做以下的事情： 
      -利用使用者资料包通讯协定 （User Datagram Protocol，简称 UDP） 发动 DDoS 攻击 
      -可以选择隐藏或开启 Tweet 讯息中贴出的网页，比如连线到恶意网页下载病毒时会刻意隐藏页面；要捉弄被黑者时，每隔 20秒开启搞笑或惊悚页面。 
      -使用 Windows 文字朗读应用程序，每隔20秒重复念出 Tweet 讯息 
      -停止所有 Bot 相关活动，然后将连线的 Bot 程序移除。 
      不过，这个 Bot 网络在运作时必须使用公开的 Twitter 个人资料文件，这样 Bot 服务器程序才能读取攻击者用来下达指令的 Twitter 讯息。也因为如此，易遭到安全人员与系统管理员搜索其用过的指令，即可加以追踪。 
      虽然此恶意威胁目前并无感染能力，也未使用自动执行技巧，不过任何攻击者都可手动将此服务器程序安装在某个系统，或者诱骗使用者执行其文件。因此，使用者在开启附件文件或是执行不明来源的文件时，应该特别小心。
      目前已有能够侦测这个 Bot 程序制作工具 （TwitterNet Builder.exe）的安全厂商， 并且命名为 TROJ_TWEBOT.BLD，而其 Stub.exe 与所产生的 Bot 服务器程序 （TwitterNet.exe） 则命名为 TROJ_TWEBOT.STB。