=== 2005.02.09. ===
【請勿進入遊戲新幹線網站】(本新聞稿已在 17:30 修正)
目前看起來是修復完畢的樣子,但是官方未發布消息,
所以請勿冒然嘗試!
目前該公司所註冊的 DNS 已被人竄改,
你所進入的該網站內的一切全都不是該公司所提供的,
請勿進入!(註:本句說得有點誇張,實際情形請洽新幹線服務人員)
(從某智冠公司的網頁也有連向新幹線的超連結,也請別點!)
注意!有木馬!
這要等個一整天才能解除危險的樣子,所以請十號後再進入。
以下幾者 DN 及 IP 目前是被盜用的狀態,會不會登入到有問題的伺服器是命。
http://ro.gameflier.com/
http://tth.gameflier.com/
http://www.gameflier.com/
http://61.220.60.178
http://61.220.60.180
請改用以下的主機 ip 來連新幹線
http://61.220.60.179/main.asp
http://61.220.60.181/main.asp
http://61.220.60.182/main.asp
這是在二月四日便有人發現的問題,
相關討論可到巴哈姆特電玩資訊站的 Ragnarok-t 版,
找精華區 7-18-2 所收錄之討論串看看。
http://webbbs.gamer.com.tw/brdAnnounce.php?brd=Ragnarok-T
DNS 是跟某某機構申請的玩意這樣,這點要看申請的 Domain Name 而定。
八成是新幹線申請時的帳號密碼被破或是被偷了之類的,
所以才會被偷改掉,現在各位找 gameflier 進去的已經不是新幹線的網站了,
那個的 DNS 所指向的 ip 已經是假的了,請用正確的 ip 位址來連。
輸入 gameflier 的 DN 後, DNServer 會指引你到主機的 ip 位址去,
所以你申請的 DN 的帳號密碼被破,也就代表打你的 DN 的人會被帶到怪地方去,
各位公司的網管人員請一定要注意呀,密碼請用八個以上的英數混合字。
受危害瀏覽器:全部(一般使用者請不要在目前的該網站輸入任何資料)
會中毒之作業系統:IE 版本為非 WinXP SP2 以上的 Windows 作業系統(iframe / frame / embed 的漏洞)
木馬程式疑似躲藏在這些位置
C:\Windows\inertinfo.exe
C:\Windows\d1lhost.exe
C:\Windows\kerne132.dll
C:\Windows\use32.dll
= 應對法 =
「iframe / frame / embed 指令 for IE 安全性漏洞」解決方案以及說明:
1、您應盡速更新Internet Explorer積存安全性更新(889293)。
微軟網站相關說明:
http://www.microsoft.com/taiwan/security/bulletin/ms04-040.mspx
但是強烈建議玩家您:
請點「開始」→「Windows Update」來為您的系統作全面性的更新。
並且請您「啟動自動更新」功能,以全面保護您的電腦。
2、請更換 Mozilla FireFox 瀏覽器:http://moztw.org/
3、請玩家安裝防毒軟體並且更新以及常駐,
4、Panda Antivirus 相關說明:http://tinyurl.com/53neh
(本短名網址技術來源於:TinyURL.com,
http://tinyurl.com/53neh 將連結到:http://www.pandasoftware.com.tw/
company/comp_promote_contex.asp?txtQMid=262&Show=OPEN )
(消息提供:某巴哈電玩站的某洽x版的某 n 兄)
(特別感謝某 c 跟某 v 網友的以身試毒)
=== 2005.01.20. ===
【請勿進入大眾唱片網站】
www.tcr.com.tw
目前有木馬這樣,不過 XP 有更新到 XP SP2 ,
或是使用非 IE 引擎的瀏覽器都不會中此攻擊。
該木馬為目前台灣常見的中國大陸那方放的 iframe 式木馬,
有防毒軟體並已更新過的應該也沒問題,
防火牆應該也能擋住,不過我忘了要開哪項功能了。
這種木馬大致上只是用來盜帳號用的而已,
就算中了,只要別用 IE 引擎的來輸入敏感資料就行。
(判斷有沒有中獎的方法??我沒試過不清楚。)
相關圖片:
www_tcr_com_tw_count_01.PNG
www_tcr_com_tw_count_02.PNG
www_tcr_com_tw_count_03.PNG
www_tcr_com_tw_count_04.PNG
=== 2004.11.21. ===
今天要來對一篇近來的新聞進行評論,
雖然該新聞據官方說是假消息的樣子。
http://taiwan.cnet.com/news/software/0,2000064574,20094369,00.htm
我要針對兩處提出疑問:
一、Linux違反了228項專利。
不過他並沒有說出是哪一個發行版本(distributions),
這點各位只要上 Google 輸入「發行版本」就能找到一堆了,
就我所知有在放出 Linux 的 ISO 映像檔的站就有這麼多。
http://www.linuxiso.org/
基本上使用了 GNU GPL 的許可證的軟體,
都是力保其為完全自由的軟體,
所以是不必擔心版權侵害問題的,
關於 GNU GPL 的非官方中譯可到李果正先生的網站中查看。
http://edt1023.sayya.org/licenses.html#gpl
二、開放原始碼軟體是誰寫的則沒人知道,來源也不清楚。
基本上這是要看你用的是哪款,
而且重點是「開放源碼」是只要有能力就看得懂,
我們根本不必管該軟體是誰寫的,
反正我們也可以自行改寫,
重要的是該軟體的「概念」,
而且各位「不該」隨意使用開放源碼軟體,
因為它們都是「無保證」的,
當然專利軟體也是無保證啦。
如果各位對於使用開放源碼的自由軟體有疑慮,
可以向 Mozilla 社群尋求幫助。
http://www.mozilla.org/
http://moztw.org/
=== 2004.11.09. ===
作者: wini (外星駭客) 站內: Chat
標題: Re: [緊急警告]請勿進入 CA 組合國際台灣網站。
時間: Tue Nov 9 21:36:21 2004
總整理(感謝n大師發現此木馬及提供檢查和解決的方式)
一、台灣CA組合、基地跟遊戲橘子以及cgaya都中過此木馬的植入。
伺服器不管是用 IIS 還 Apache 都中獎的樣子。
台灣CA組合要明天(11/10)才能處理,請同情一下可憐的台灣公司吧。
二、用 IE 開會發現「狀態列」出現一個「{」。
非 IE 系不會有事,該 Javascript 語法是 IE Only 的。
會出現「{」是因為該指向的木馬網頁的 <title> 為「{」,
事實上也可以是別的,以後可能看到的就不是這樣子了。
該 Javascript 使用的是 JavaScript.Encode ,
只有 IE 系的會去 Decode 而已。
三、台灣CA組合上的目前只有熊貓可以解除該木馬。
熊貓的線上掃毒可以處理掉,過不久其它的應該也行。
不過要小心如果感染了 rundll32.exe 的話,這個會被砍掉。
(名稱不知是否有記錯)
更新,Panda、kaspersky、F-Prot、
HEBV、AntiVir及F-secure已經可偵測到此木馬了,
另外這木馬在 11/3 就已佈了。
四、要檢查有否中獎, 2000/XP 請按 Ctrl-Alt-Del 開工作管理員,
找看看有沒有「#.exe」和「Exploret.exe」的程式在運作,
還有在「C:\Program Files\」下有無多出一「記事本檔案」。
不過如果已經中了還重開機的話,請求助掃毒軟體來幫你抓。
五、若有裝防火牆,如 outpost ,預設會擋掉一定大小以下的圖片,
以及 iframe ,不過不清楚能不能防止住該木馬的入侵。
要擋住該 iframe ,可能得要設 width 0 height 0 才行的樣子。
六、有做 Windows Update ,並且在 SP2 之前的所有更新都有做就能擋掉。
= 問題網站的源碼截圖(請自行在前頭加「h」) =
CA組合
ttp://www25.brinkster.com/explorernen/privatepic/ca.jpg
遊戲基地
ttp://www25.brinkster.com/explorernen/privatepic/gamebase.jpg
遊戲橘子
ttp://www25.brinkster.com/explorernen/privatepic/websafe.jpg
該 htm 網頁源碼
ttp://www.geocities.jp/kouyunahi/img/trojan.PNG
該 javascript 源碼
(未入手)
= 外國 CERT 的新聞 =
http://www.kb.cert.org/vuls/id/842160
出處 http://www.kb.cert.org
= VirusList.com 的情報 =
http://www.viruslist.com/en/viruses/encyclopedia?virusid=60006
by http://www.viruslist.com/
= PandaSoftware.com 的情報 =
原網址
http://www.pandasoftware.com/
virus_info/encyclopedia/ficha.aspx?iddeteccion=120585
短網址
http://tinyurl.com/3nnw9
--
※ Origin: 巴哈姆特 ◆ From: 210.209.138.33
※ 修改: 2004/11/9 21:37:47 [210.209.138.33]