當心！Chrome 網頁彈出「找不到字型」，很可能中毒了

科技中心／台北報導

習慣使用 Google Chrome 瀏覽器的用戶要當心了，最近趨勢科技發佈一項變種病毒警告，指出今年 2 月流竄的「SPORA」出現新的變種，名為「SPORA v2」，只要民眾瀏覽特定網站，就會中標，特徵就是網頁會出現亂碼，而且彈跳「找不到字型」視窗，只要更新之後，電腦就會被癱瘓，所有私密資料就拱手送給駭客。

「SPORA v2」病毒代號為RANSOM_SPORA.F117C2，特徵跟今年 2 月流竄的 SPORA 相似，是靠使用者點選 Google Chrome 瀏覽器的彈出視窗，該視窗請使用者更新 Chrome 字型套件以顯示「HoeflerText」字型。中毒民眾在瀏覽網頁時會出現「找不到字型」的小視窗，背景網頁的字體也會變成亂碼，當使用者點選了彈出視窗按下「更新」，就會下載一個偽裝成正常檔案的惡意程式。一旦惡意程式執行，電腦即遭到感染。

針對中毒特徵，Trend Labs 趨勢科技全球技術支援與研發中心做了更詳細的說明，指出此一新的 SPORA 變種會將自己複製到硬碟、隨身碟及網路共用資料夾，還會搜尋每個磁碟與網路資料夾下的第一層目錄。第二版的 SPORA 也和第一版一樣，會將系統登錄值「HKLMSoftwareClasseslnkfile IsShortcut」刪除，讓資料夾捷徑右下角的小箭頭不見，如此一來使用者會以為其捷徑檔案是一個資料夾。

SPORA v2 與舊版的另一個差異是其 RSA 金鑰 (RSAPrivKey2) 現在已直接內含在勒索訊息檔中，並非一個分開的檔案。一旦 SPORA v2 開始執行，就會使用 RSA-1024 演算法將系統上的影像檔和 Microsoft Office 文件加密。不過在加密之後，SPORA v2 將顯示勒索訊息，該訊息的檔案名稱隨電腦而異，格式為： XXOOO-AAAAA-BBBBB-CCCCC-DDDDD.html，開頭兩個字元 (XX) 是二位數字國碼。其餘的字元是隨機產生的編號，每個受害者皆不同。