[情報] TrojanGet正侵蝕著全球的網路使用者
來源:卡巴司機官網
http://www.kaspersky.com.tw/KL-AboutUs/News2008/03n/0317.htm
【台北訊】幾天前我們開始收到從使用者傳來的消息,說道他們的防毒軟體已經察覺木馬
病毒出現在 Flashget 資料夾目錄中。
資料分析結果顯示這個問題影響了全球 Flashget 的使用者。這個檔案被命名為
inapp4.exe、inapp5.exe、inapp6.exe( 由卡巴斯基防毒軟體偵測出,並且命名為
Trojan-DropperWin32.Agent.exe、Dropper.Win32Agent.ezxo和
Trojan-Dowloader.Win32.Agent.kht)出現在使用者被感染的電腦中。
其中最奇怪的地方在於可以被用來入侵這個系統上的木馬程式沒有被偵測出來。一些受到
感染的使用者已經完全修補操作系統以及網頁瀏覽器,而惡意程式是如何滲透進他們的電
腦的?
首先必須注意的是這隻木馬的所在位置─FlashGet 的資料夾目錄中。仔細地看,除了帶
有木馬的檔案之外,其他的皆變成透明,而註有日期的FGUpdate3.ini檔案則已經被新增/
更改至最新(與原始檔案不同的地方用藍色標記出來)。
[Add]
fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031
[AddEx]
[fgres1.ini]
url=hp://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=hp://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%
[inapp4.exe]
url=hp://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%
非常異常的是,連結到 inapp4.exe ( Trojans 的資料夾)引導至 FlashGet 網站,而這
個網站就是從 appA.cab.下載下來的木馬程式。
FlashGet 網站並沒有任何與這個事件有關的資訊,但使用者的討論區卻大量地討論這個
議題,儘管開發者並沒有對此有任何表示。
根據這個訊息我們設法從網路上去尋找,發現第一波感染事件在2月29日被偵測到。在上
一個我們所知道的感染事件發生在3月9日。在這十天裡,完全合法的程式偽裝木馬的下載
程式,從開發者的位置進入使用者的電腦安裝並執行木馬!
木馬程式目前已經從這個網址被移除,另外 FGUpdate3.ini (同樣也經由網路下載至使用
者電腦的程式)也回到原始的狀態。
FlashGet如何轉變成木馬下載程式?有一個明顯的答案─這個開發者的網站被駭客以及某
個人操控,並取代標準結構的檔案夾,引導連結至某個木馬的所在位置。為什麼駭客不使
用另一個網頁,或許這是經過深思熟慮的秘密行動,當一個連結至 FlashGet 結構中的資
料夾不會喚起猜疑。我們決定去檢查是否它有可能可以使用這個技巧從任何網站下載任何
資料夾。這個答案是對的嗎?是的!
你需要的是去增加一個連結(任何可以代表你想要的資料夾)在 FGUpdate3.ini file,接
著當你執行 FlashGet 後,每隔一段時間它會自動下載至你的電腦。是否你打上“
Refresh”,FlashGet就會利用.ini資料夾中得到的資訊。「弱點」被提出在 FlashGet
1.9xx中的版本中。
所以,儘管這個網站不再被駭,使用者同樣難以防範。任何木馬程式都可以修改這個位置
,.ini FlashGet的資料夾,導致它的運作模式和木馬下載程式很相似。它並不值得
FlashGet經常將它當成託管應用對待,因此,網路作業活動導致經由申請或請求的網站不
會被懷疑,而使用者也不會收到警告。
至今為止,還沒有接到從FlasfGet中國開發者的官方反應,這個事件剩下含糊不清的理由
,並沒有保證它不會在度發生。使用者應該感到自由地寫下屬於他們的結局,並衡量他們
覺得被竊取的東西。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 202.132.219.238
推
03/19 17:26, , 1F
03/19 17:26, 1F
推
03/19 17:34, , 2F
03/19 17:34, 2F
推
03/19 17:40, , 3F
03/19 17:40, 3F
→
03/19 18:03, , 4F
03/19 18:03, 4F
推
03/19 18:10, , 5F
03/19 18:10, 5F
推
03/19 18:50, , 6F
03/19 18:50, 6F
推
03/19 19:26, , 7F
03/19 19:26, 7F
推
03/19 20:05, , 8F
03/19 20:05, 8F
→
03/19 20:25, , 9F
03/19 20:25, 9F
推
03/19 22:22, , 10F
03/19 22:22, 10F
→
03/19 23:59, , 11F
03/19 23:59, 11F
→
03/20 00:02, , 12F
03/20 00:02, 12F
推
03/20 00:03, , 13F
03/20 00:03, 13F
→
03/20 00:03, , 14F
03/20 00:03, 14F
噓
03/20 00:55, , 15F
03/20 00:55, 15F
推
03/20 08:36, , 16F
03/20 08:36, 16F
推
03/20 12:04, , 17F
03/20 12:04, 17F
推
03/20 12:18, , 18F
03/20 12:18, 18F
推
03/20 13:04, , 19F
03/20 13:04, 19F
→
03/20 13:04, , 20F
03/20 13:04, 20F
推
03/20 14:42, , 21F
03/20 14:42, 21F
推
03/20 21:28, , 22F
03/20 21:28, 22F
推
03/22 08:30, , 23F
03/22 08:30, 23F
討論串 (同標題文章)
完整討論串 (本文為第 1 之 2 篇):
EZsoft 近期熱門文章
PTT數位生活區 即時熱門文章
