無尾熊IT 資訊站

企業都會監控許多異常網路流量，但現在有越來越多駭客開始透過植入MSN機器人程式（Bot，也稱傀儡程式），讓駭客可下令偷資料、回傳該臺電腦的所有檔案，甚至是操作中的螢幕剪圖。發覺此一犯罪手法的警政署巡官叢培侃表示，目前企業無法察覺這種MSN機器人的異常流量，除非由微軟檢查連上MSN伺服器連線程式的內容，不然只有企業全面禁用MSN才能防範。

叢培侃認為，這種植入MSN機器人程式的手法受駭客歡迎的原因在於，MSN機器人程式模仿MSN的連線型態，企業MIS難以從網路流量察覺異常，所以很難早期發現，企業是否有電腦被植入MSN機器人程式。

早期的機器人程式都是從網路聊天室（IRC），或者是其他Web-based的網路服務漏洞，由駭客趁機植入各種木馬程式。這一次的MSN機器人程式，剛開始的手法還是一樣，叢培侃說，依舊是透過各種漏洞、植入各種後門程式，或者是透過點選電子郵件的惡意連結，直接連線下載木馬程式、惡意程式，或者是先下載Downloader後，再聽從駭客指令，連網更新惡意程式。

叢培侃觀察到，這個MSN機器人往往是潛伏一陣子後，才開始「正常活動」。這個MSN機器人程式完全模仿真正的MSN程式，不論是外觀、電腦圖標（icon）甚至是連網行為，同樣透過MSN常用的1863埠對外連線，也同樣連上微軟MSN的伺服器。「這些大量湧入的MSN機器人，某種程度也造成MSN連線的壅塞，導致一般MSN連線出現不穩的現象。」他說。

駭客老早為這個MSN機器人註冊一個MSN帳號，並加入自己的MSN好友名單中。當MSN機器人聽令開始正常活動時，受駭電腦使用者不會察覺MSN機器人與駭客之間所有的活動。駭客只需要透過MSN訊息下達各種指令，MSN機器人就會立即反應，不論是回傳該臺電腦的檔案資料或執行程式清單，甚至，MSN機器人也可以立即擷取當時操作者的螢幕畫面，並以圖檔回傳給駭客。

叢培侃指出，這個MSN機器人並不是盜用使用者的MSN帳號，而是一個模仿MSN程式，會自動連線，也會設法隱藏自己身影的惡意程式，同樣手法也適用其他IM軟體。他說：「如果使用者當時有啟動微軟的Windows Messenger，該臺電腦就會有2個MSN連線，否則就只有駭客的MSN機器人呈現連線狀態。」

這種MSN機器人其實就是另外一種變形的傀儡網路（Botnet），駭客下命令的方式從以前的IRC改成MSN。由於這樣手法有逐漸擴散的趨勢，加上同一名駭客掌握的MSN機器人可能超過千臺，叢培侃認為，目前最有效阻擋MSN機器人偷資料的方式，就是由微軟在MSN伺服器解析連線程式的內容，進而阻擋可疑的連線。但他也說，目前這個方法過於耗時費力，加上誤判風險極高，短期內尚未有其他更有效的阻擋方式。

叢培侃提醒，MSN機器人程式之所以能入侵使用者電腦，還是因為該電腦原本就有漏洞讓駭客有機可趁。「企業若不能從網路段察覺異常，不是限制即時通訊軟體的使用，就是設法確保使用者電腦的安全性，斷絕駭客入侵機會。」他說。