远东商银系统遭骇客入侵您公司系统是否安全？

科技时间:10/13/2017 浏览: 11116

远东商银系统遭骇客入侵，钜额赃款大约6000万美元约18亿余元台币遭汇至海外帐户。

目前已知5只恶意程式除了bitsran.exe和RSW72CE是加密勒索木马之外，另外三支的档名分别是msmpeng.exe（侦测到BKDR_KLIPOD.ZTEJ-A病毒）、splwow32.exe（侦测到 BKDR_KLIPOD.ZTEJ-B病毒）和FileTokenBroker.dll（TROJ_BINLODR.ZTEJ-A），最后一个从档名来看，就疑似是用来伪造SWIFT密文用的病毒，不过，这还有待刑事局分析。这几支恶意程式目前已知的功能，可以进行散布、加密及远端遥控，并在感染远银内部电脑后，也会蒐集相关情资进行回报，并且加密部分电脑的档案资料

另外已发现中继站为2个，骇客用来远端遥控恶意程式的恶意程式中继站IP，分别是94.23.148.41和167.114.32.112，这也是企业要赶快列入防火墙阻挡清单的IP，另外也要清查ㄧ下Log记录，是否过去一段时间内有出现这2个IP的活动记录，若有，那就得提高警觉了。

远东银行遭骇事件5支恶意程式特徵

恶意程式档名	病毒侦测名称	SHA1
msmpeng.exe	BKDR_KLIPOD.ZTEJ-A	bdb632b27ddb200693c1b0b80819a7463d4e7a98
splwow32.exe	BKDR_KLIPOD.ZTEJ-B	c7e7dd96fefca77bb1097aeeefef126d597126bd
FileTokenBroker.dll	TROJ_BINLODR.ZTEJ-A	f891fde8908ae18801d7a0be1eeab07391c00c1b
bitsran.exe	RANSOM_HERMS.A	b30daf74b25b8615ada10cca195270c32e6b343a
RSW72CE.tmp	RANSOM_HERMS.A	d08573c5e825b7beeb9629d03e0f8ff3cb7d1716