一個假冒的 Nokia 台灣區網站可能讓拜訪者被植入鍵盤側錄程式,以竊取天堂遊戲的帳號密碼
Websense® Security Labs™ 在監視網際網路上的流量以及網站的過程中發現,一個假冒的 Nokia 台灣區網站,將會讓拜訪的使用者有機會被植入一個「鍵盤側錄(Keylogger)」的木馬。該木馬是用來竊取線上遊戲--天堂(Lineage)玩家的帳號密碼。
假冒的 Nokia 台灣區網站,將會讓拜訪的使用者有機會被植入一個「鍵盤側錄(Keylogger)」的木馬。該木馬是用來竊取線上遊戲--天堂(Lineage)玩家的帳號密碼。這組惡意程式的檔名為main_n80.scr,目前已經發現至少一個網站含有該組惡意程式。 前述假冒的Nokia台灣區網站,帶有疑假亂真的網址,並且以盜鏈的方式從真的 Nokia 台灣區網站帶出相關網頁圖片。而依據該網站所存在的 IP 來看,主機地點應該是在香港,而網域名稱申請的名義也是用假的資料,因此尚未追查得到幕後的主使者。 而關於該惡意程式的感染細節,描述如下。 這支 main_80.scr 偽裝的螢幕保護程式,其實是一個自我解壓縮檔(SFX, self-extracting executable),解開後是下面的四個檔案。 * download.exe * winlogin.exe * server.exe * error.jpg 檔 main_80.scr 被執行時,它會利用 download.exe 來複製相關的檔案到 system32 目錄中,並且執行偽裝的 run32dll.exe。而這個假的 run32dll.exe 會顯示 error.jpg 的一個錯誤畫面,使用者誤以為程式有錯,而將其關閉後就沒有理它,但此時這支 run32dll.exe 會繼續常駐執行,並且啟動其他相關的惡意程式。 這些惡意程式會修改註冊資料(Registry),以確保下次使用者重開機時,惡意程式會自動啟動,並且檢查天堂線上遊戲是否存在。 感染系統被修改的檔案都是位於 system32 下,並說明如下︰ Kerne0110.exe 是惡意程式 winlogin.exe 的分身 Rundll32.exe 是惡意程式 download.exe 的分身 gg.bat 被建立 _2dll.dll 被建立 microsoftie0110.dll 被建立 msabc.dll 被建立 pKerme123.dll 被建立 RegistryInfo.dll 被建立 檢查 「天堂遊戲(Lineage)」是否已經安裝 假冒網站的內容如下,看起來真的以假亂真。 http://www.ithome.com.tw/ |
所有時間均為台北時間。現在的時間是 09:34 PM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *