遠東商銀系統遭駭客入侵您公司系統是否安全？

科技時間:10/13/2017 瀏覽: 4363

遠東商銀系統遭駭客入侵，鉅額贓款大約6000萬美元約18億餘元台幣遭匯至海外帳戶。

目前已知5隻惡意程式除了bitsran.exe和RSW72CE是加密勒索木馬之外，另外三支的檔名分別是msmpeng.exe（偵測到BKDR_KLIPOD.ZTEJ-A病毒）、splwow32.exe（偵測到 BKDR_KLIPOD.ZTEJ-B病毒）和FileTokenBroker.dll（TROJ_BINLODR.ZTEJ-A），最後一個從檔名來看，就疑似是用來偽造SWIFT密文用的病毒，不過，這還有待刑事局分析。這幾支惡意程式目前已知的功能，可以進行散布、加密及遠端遙控，並在感染遠銀內部電腦後，也會蒐集相關情資進行回報，並且加密部分電腦的檔案資料

另外已發現中繼站為2個，駭客用來遠端遙控惡意程式的惡意程式中繼站IP，分別是94.23.148.41和167.114.32.112，這也是企業要趕快列入防火牆阻擋清單的IP，另外也要清查ㄧ下Log記錄，是否過去一段時間內有出現這2個IP的活動記錄，若有，那就得提高警覺了。

遠東銀行遭駭事件5支惡意程式特徵

惡意程式檔名	病毒偵測名稱	SHA1
msmpeng.exe	BKDR_KLIPOD.ZTEJ-A	bdb632b27ddb200693c1b0b80819a7463d4e7a98
splwow32.exe	BKDR_KLIPOD.ZTEJ-B	c7e7dd96fefca77bb1097aeeefef126d597126bd
FileTokenBroker.dll	TROJ_BINLODR.ZTEJ-A	f891fde8908ae18801d7a0be1eeab07391c00c1b
bitsran.exe	RANSOM_HERMS.A	b30daf74b25b8615ada10cca195270c32e6b343a
RSW72CE.tmp	RANSOM_HERMS.A	d08573c5e825b7beeb9629d03e0f8ff3cb7d1716