今年六月尾,國內專為外國企業用於處理稅務申報的Aisino稅務軟件,被網絡安全公司 Trustwave 揭發內藏 GoldenSpy 木馬病毒,令人懷疑是否暗中盜取外資企業敏感資料,事後專家發現稅務軟件突然收到自我刪除指令,令事件變得更懸疑。而在跟進一個月後,Trustwave再度指出同樣的刪除軟件多達24種,當中更涉及五個變種,有理由相信有心人正千方百計毁滅所有證據!
Trustwave專家指出,自稅務軟件暗藏後門的事件曝光,他們便開始監測其動態。當時他們發現,軟件正透過韌體更新機制,推送更新檔到裝有稅務軟件的電腦。專家在沙盒(Sandbox)內打開更新檔,便發現當中包含指示GoldenSpy自我消滅及刪除所有相關檔案的指令。而在跟進的個多月間,就出現上述的情況,為了避過防毒軟件的攔截,GoldenSpy正在不斷變種,例如採用不同的執行流程、混淆程式碼(obfuscation),甚至檔案大小也有不同,務求能夠達到目的。而在第三代變種中,專家透露更新軟件執行後會連接一個固定IP位址,經調查後屬於中國一間叫Ningbo Digital Technology嘅公司,佢哋專門為客戶提供技術技援,而佢哋仲係網站上放有GoldenSpy uninstaller(QdfTools)俾人下載,並注明是供企業用於偵測及刪除軟件之用。
