首先是3/14卡巴斯基实验室的一个工程师在病毒分析日志中写了一篇文章 （如果说这不算官方说法那很奇怪，因为这个在卡巴斯基官网左侧就有连结） http://www.viruslist.com/en/weblog?weblogid=208187496 接着3/17卡巴斯基台湾站翻译该文并发布（3/19删除，後面有附当时内容）， 可以看出原文大意.... http://www.kaspersky.com.tw/KL-AboutUs/News2008/03n/0317.htm ZDNet在3/18晚间发布了相关消息，FlashGet疑自动下载木马程式 http://www.zdnet.com.tw/news/software/0,2000085678,20128243,00.htm 最後3/21卡巴斯基（天津）和FlashGet发布联合声明 http://www.kaspersky.com.cn/KL-AboutUs/news2008/03n/080321.htm 不过，从这分声明中并没有看到问题档案inapp4.exe、下载位置是在FlashGet官网 url=hp://dl.flashget.com/flashget/appA.cab的相关说明，工程师认为FlashGet 官网被人入侵，里面被放了有问题的档案这件事被无视了。（不过如果不是入侵那 代志就更大条了....）因为FlashGet官网很可能会被使用者当成信任的网站，从这 里下载档案很可能逃过一些系统的安全机制不被发觉。 该问题档案已经被删除，FlashGet官网上没有这个东西了，联合声明中保证大家抓 回去的FlashGet软体本身是安全无毒的，不过这个弱点是发生在软体自动升级的时 候就是啦.... 这个问题在1.9x版FlashGet都有（搞不好把ini档换掉就连旧版的也....-_-），但 是声明中没看到相关讯息，当然前提是使用者先中了什麽虫设定档被窜改，还要有 某个信赖的网站被入侵放了怪东西，然後FlashGet自动抓下来使用者的防毒软体又 没拦到才会发生问题。 OK，乡民可能说这种事情怎麽可能发生，不过这种事情既然已经发生了，那还是当 一回事吧！ 工程师并没有叫人不要用FlashGet，他只叫使用者自己衡量，原文 Users should feel free to draw their own conclusions… and take whatever measures they feel to be appropriate. 老实说，现在频宽也够了，下不成重下就好了，有些地方用续传软体反而传不了东 西，如果没有特殊用途，用了也没什麽意思。有些人自己用这类软体很顺，但是没 什麽必要帮人装系统还顺便装上。（有些人很爱装，有些人很讨厌，而我是没用到 的软体就不要装的古代观念....） 总归就....自己衡量吧，专家都没建议了咩....反正要找漏洞也是一狗票 卡巴斯基台湾站的译文备份 http://www.kaspersky.com.tw/KL-AboutUs/News2008/03n/0317.htm 【台北讯】几天前我们开始收到从使用者传来的消息，说道他们的防毒软体已经察觉木马 病毒出现在 Flashget 资料夹目录中。 资料分析结果显示这个问题影响了全球 Flashget 的使用者。这个档案被命名为 inapp4.exe、inapp5.exe、inapp6.exe( 由卡巴斯基防毒软体侦测出，并且命名为 Trojan-DropperWin32.Agent.exe、Dropper.Win32Agent.ezxo和 Trojan-Dowloader.Win32.Agent.kht)出现在使用者被感染的电脑中。 其中最奇怪的地方在於可以被用来入侵这个系统上的木马程式没有被侦测出来。一些受到 感染的使用者已经完全修补操作系统以及网页浏览器，而恶意程式是如何渗透进他们的电 脑的？ 首先必须注意的是这只木马的所在位置─FlashGet 的资料夹目录中。仔细地看，除了带 有木马的档案之外，其他的皆变成透明，而注有日期的FGUpdate3.ini档案则已经被新增 更改至最新(与原始档案不同的地方用蓝色标记出来)。 [Add] FlashGet_LOGO.gif=1.0.0.1020 inapp4.exe=1.0.0.1031 [AddEx] [fgres1.ini] url=hp://dl.flashget.com/flashget/fgres1.cab flag=16 path=%product% [FlashGet_LOGO.gif] url=hp://dl.flashget.com/flashget/FlashGet_LOGO.cab flag=16 path=%product% [inapp4.exe] url=hp://dl.flashget.com/flashget/appA.cab flag=2 path=%product% 非常异常的是，连结到 inapp4.exe ( Trojans 的资料夹)引导至 FlashGet 网站，而这 个网站就是从 appA.cab.下载下来的木马程式。 FlashGet 网站并没有任何与这个事件有关的资讯，但使用者的讨论区却大量地讨论这个 议题，尽管开发者并没有对此有任何表示。 根据这个讯息我们设法从网路上去寻找，发现第一波感染事件在2月29日被侦测到。在上 一个我们所知道的感染事件发生在3月9日。在这十天里，完全合法的程式伪装木马的下载 程式，从开发者的位置进入使用者的电脑安装并执行木马！ 木马程式目前已经从这个网址被移除，另外 FGUpdate3.ini (同样也经由网路下载至使用 者电脑的程式)也回到原始的状态。 FlashGet如何转变成木马下载程式？有一个明显的答案─这个开发者的网站被骇客以及某 个人操控，并取代标准结构的档案夹，引导连结至某个木马的所在位置。为什麽骇客不使 用另一个网页，或许这是经过深思熟虑的秘密行动，当一个连结至 FlashGet 结构中的资 料夹不会唤起猜疑。我们决定去检查是否它有可能可以使用这个技巧从任何网站下载任何 资料夹。这个答案是对的吗？是的！ 你需要的是去增加一个连结(任何可以代表你想要的资料夹)在 FGUpdate3.ini file，接 着当你执行 FlashGet 後，每隔一段时间它会自动下载至你的电脑。是否你打上“ Refresh”，FlashGet就会利用.ini资料夹中得到的资讯。「弱点」被提出在 FlashGet 1.9xx中的版本中。 所以，尽管这个网站不再被骇，使用者同样难以防范。任何木马程式都可以修改这个位置 ，.ini FlashGet的资料夹，导致它的运作模式和木马下载程式很相似。它并不值得 FlashGet经常将它当成托管应用对待，因此，网路作业活动导致经由申请或请求的网站不 会被怀疑，而使用者也不会收到警告。 至今为止，还没有接到从FlasfGet中国开发者的官方反应，这个事件剩下含糊不清的理由 ，并没有保证它不会在度发生。使用者应该感到自由地写下属於他们的结局，并衡量他们 觉得被窃取的东西。 卡巴斯基（天津）和FlashGet的联合声明 http://www.kaspersky.com.cn/KL-AboutUs/news2008/03n/080321.htm 针对近日网上流传的「卡巴斯基称FlashGet包含病毒」问题，网际快车信息技术 有限公司与卡巴斯基（天津）科技有限公司特作出如下联合声明： 1、「卡巴斯基称FlashGet包含病毒」的新闻并非卡巴斯基官方发布，而是修改 了卡巴斯基台湾网站上之前发布过的一篇文章内容。台湾文章的内容来自於卡巴斯基 实验室一位病毒分析师的日志，分析师在日志中所述的情况，有可能是用户的电脑本 身中了病毒，将病毒文件拷贝至FlashGet的安装目录下，并且修改了FlashGet的更新 配置文件，从而可能会产生自动下载带毒文件的情况，并未指明FlashGet程序文件本 身含有病毒。 2、卡巴斯基实验室分析师在原文中并未建议用户不应将FlashGet做为日常应用 软件，目前卡巴斯基中国技术支持中心也尚未接到关於此类问题的用户反馈。 3、FlashGet（快车）是世界范围内影响广泛的一款国产软件，一直都是业界公 认安全、稳定的下载工具。到目前为止，卡巴斯基确定快车（FlashGet）软件本 身安全无毒，用户可以放心使用。 4、卡巴斯基和FlashGet提醒广大用户注意互联网安全，在获取互联网资源的同 时，要保证开启反病毒软件的实时保护和主动防御功能，并定期更新反病毒数据库， 以增强对新病毒的防御能力。 特此声明！ 卡巴斯基（天津）科技有限公司 网际快车信息技术有限公司 2008年3月21日 -- ◢███◣ ◤ ≡ ______________________________________ ─⊙-⊙- / \ 皿　 _/ 把台湾那些可悲的节目收一收 该吃饭了 / ◣ ︶◢ \______________________________________/ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 163.27.70.9 ※ 编辑: hirokofan 来自: 163.27.70.9 (04/07 15:26) ※ 编辑: hirokofan 来自: 163.27.70.9 (04/07 15:32) ※ 编辑: hirokofan 来自: 163.27.70.9 (04/07 17:08) ※ jns0117:转录至看板 NIU-ECE94b 04/14 16:52