|
論壇說明 | 標記討論區已讀 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-06-13, 02:48 PM | #1 |
榮譽會員
|
軟體 - 一個假冒的 Nokia 台灣區網站可能讓拜訪者被植入鍵盤側錄程式,以竊取天堂遊戲的帳號密碼
Websense® Security Labs™ 在監視網際網路上的流量以及網站的過程中發現,一個假冒的 Nokia 台灣區網站,將會讓拜訪的使用者有機會被植入一個「鍵盤側錄(Keylogger)」的木馬。該木馬是用來竊取線上遊戲--天堂(Lineage)玩家的帳號密碼。
假冒的 Nokia 台灣區網站,將會讓拜訪的使用者有機會被植入一個「鍵盤側錄(Keylogger)」的木馬。該木馬是用來竊取線上遊戲--天堂(Lineage)玩家的帳號密碼。這組惡意程式的檔名為main_n80.scr,目前已經發現至少一個網站含有該組惡意程式。 前述假冒的Nokia台灣區網站,帶有疑假亂真的網址,並且以盜鏈的方式從真的 Nokia 台灣區網站帶出相關網頁圖片。而依據該網站所存在的 IP 來看,主機地點應該是在香港,而網域名稱申請的名義也是用假的資料,因此尚未追查得到幕後的主使者。 而關於該惡意程式的感染細節,描述如下。 這支 main_80.scr 偽裝的螢幕保護程式,其實是一個自我解壓縮檔(SFX, self-extracting executable),解開後是下面的四個檔案。 * download.exe * winlogin.exe * server.exe * error.jpg 檔 main_80.scr 被執行時,它會利用 download.exe 來複製相關的檔案到 system32 目錄中,並且執行偽裝的 run32dll.exe。而這個假的 run32dll.exe 會顯示 error.jpg 的一個錯誤畫面,使用者誤以為程式有錯,而將其關閉後就沒有理它,但此時這支 run32dll.exe 會繼續常駐執行,並且啟動其他相關的惡意程式。 這些惡意程式會修改註冊資料(Registry),以確保下次使用者重開機時,惡意程式會自動啟動,並且檢查天堂線上遊戲是否存在。 感染系統被修改的檔案都是位於 system32 下,並說明如下︰ Kerne0110.exe 是惡意程式 winlogin.exe 的分身 Rundll32.exe 是惡意程式 download.exe 的分身 gg.bat 被建立 _2dll.dll 被建立 microsoftie0110.dll 被建立 msabc.dll 被建立 pKerme123.dll 被建立 RegistryInfo.dll 被建立 檢查 「天堂遊戲(Lineage)」是否已經安裝 假冒網站的內容如下,看起來真的以假亂真。 http://www.ithome.com.tw/ |
__________________ |
|
送花文章: 3,
|