Windows新漏洞出現首波攻擊

專家們不斷警告要率先更新的微軟MS06-040安全通報漏洞果然成為駭客的攻擊目標。駭客針對未修補的系統進行攻擊，透過惡意程式讓受害者的系統成為受IRC控制的僵屍網絡。

資安業者指出，該攻擊始於上周六，駭客將一個變種的後門木馬程式植入使用者系統中，更改系統上的安全設定，並連結到遠端的IRC伺服器，並聽命於駭客的指令。

微軟安全回應中心（Microsoft Security Response Center，MSRC）形容此一攻擊屬目標式攻擊，並特別鎖定未修補的Windows 2000作業系統。

MS06-040更新程式主要修補Windows中伺服器服務（Server Service）的緩衝區溢位問題，伺服器服務支援遠端程序呼叫（remote procedure call，RPC），該漏洞可能影響所有版本的視窗作業系統。

MSRC計畫經理Stephen Toulouse表示，該攻擊並不是過去或現在看到的網路蠕蟲，初步調查發現這並不是會自動大量散布的典型蠕蟲，只有極少數的用戶受到影響。同時，Stephen Toulouse也強調使用者若進行了MS06-040更新，就不會受到影響。

LURHQ威脅情報集團的報告指出，這些駭客使用Mocbot木馬程式的變種，該木馬程式曾在去年8月被用來進行Zotob蠕蟲攻擊行動，令人訝異的是，該木馬程式變種與去年使用同一個IRC伺服器主機名稱，此外，這些主機及命令與控制伺服器幾乎全都位於中國。

繼周六的首波攻擊後，資安業者在周日再度發現第二支變種的Mocbot木馬程式，這讓業者認為駭客打算跟他們玩貓捉老鼠的遊戲。

此一最新變種程式利用微軟的反盜版機制，先將自己複製到系統中的wgareg.exe檔案，之後每次開機時就會偽裝成微軟的WGA註冊服務（Windows Genuine Advantage Registration Service），顯示「確保你的視窗作業系統為正版並已註冊，停止或關閉此服務將導致系統不穩定」的字樣，讓使用者不敢停止此惡意服務。

F-Secure警告，這支木馬程式會隨意找一個暱稱並進入有密碼保護的IRC網絡，而且它也具有自動散布的功能。

包括微軟、業界安全專家及美國國土安全部皆曾強烈建議使用者儘快更新MS06-040修補程式。（編譯/陳曉莉）