殭屍病毒GoBotKR鎖定韓劇迷

資安業者ESET本周揭露一個新的殭屍病毒GoBotKR，它隨著盜版的韓劇、韓國電影或是韓國遊戲而散布，主要的散布管道為南韓與中國的Torrent網站，在所有的感染案例中，南韓佔了80%，中國佔10%，而擁有不少韓劇迷的台灣也佔了5%。

當使用者自南韓或中國的Torrent網站，下載了盜版的電影或電視內容之後，它會含有一個MP4檔案、一個偽裝成編解碼工具的PMA檔案，以及一個看起來像是影片的LNK檔案，但後兩者都是惡意檔案。

如果使用者只是單純開啟MP4檔案，並不會引發任何的惡意行動，只是此一MP4檔案經常隱藏在不同的目錄下，使用者也許會誤選惡意的LNK檔案，並進一步觸動惡意程式，為了避免被察覺，執行LNK檔案時，依然能正常開啟影片。

去年5月開始活動的GoBotKR，為後門程式GoBot2的變種，但它的主要目的是建立殭屍網路，以執行分散式阻斷服務（DDoS）攻擊。受害者一旦觸動了該程式，GoBotKR即會蒐集電腦上的系統資訊，包括網路配置、作業系統版本、CPU/GPU版本，以及系統上所安裝的各種防毒軟體，再將資訊傳送到命令暨控制伺服器，以供駭客判斷攻擊資源。

ESET所發現的命令暨控制伺服器都座落於南韓，且由同一人所註冊。駭客可透過由GoBotKR重新啟動電腦、執行檔案、更新程式、變更IE首頁、變更桌面背景、自我複製，並發動DDoS攻擊。

GoBotKR配備許多防偵測技術，例如它在系統上安裝了兩個實例，其中一個負責監控另一個實例的活性，萬一被移除了還能重新安裝；還導入了可繞過防毒軟體的技術；可偵測特定的安全與分析工具，倘若系統上存有這些工具，它就會自動終止；它還設有黑名單，假設發現受害者的IP屬於Amazon、BitDefender、思科或ESET等企業，也會自動終止。