作者WebM7 (男七网管专用帐号)
看板NTUDormM7
标题from计中李美雯-破案快讯-国内企业电脑遭骇客大规模入侵植入木马案
时间Mon May 17 22:02:34 2004
sorry, 这是一个迟来的消息
在我的"mail海"中,偶然发现 =.=||
http://cert.ntu.edu.tw的网安、下载专区、讨论区是好地方
有空可以看看
-----------------------------------------------------------------------------
各位网管大家好,
以下的资讯已经於5/5公布於
http://cert.ntu.edu.tw的最新消息,也许有的网管还未
习惯性的上网看相关资讯,所以以email通知各位。
(附注:现在骇客利用植入後门程式偷取电脑中的资料或者键盘的输入资料,其严重性比
病毒还可怕,请多宣导台大资通安全网站的网安提供的基本防护,请使用者多
参考,有任何建议请尽快反应给我们。)
警方发布新闻稿公布此次基本快速发现及移除恶意程式方法,并呼吁各重要私人企业及
个人电脑使用者应尽速全面清查、移除可能潜在的恶意程式,避免受害事态持续扩大...
详情请参阅下面的网页资讯:
http://www.cib.gov.tw/tw/news/news01_2.aspx?no=372
由於该网页的文章非常冗长,所以兹将移除方法公布如下,也请要求系所的所有使用者
进行检测。
附件:基本快速发现及移除恶意程式方法
一、 关闭所有已知对外连线程式,在确定网路没有正常对外连线情况下,开启cmd.exe
,输入利用「netstat -an -p tcp」指令清查异常对外通讯的应用程式,检查是否有对
外TCP 53及80 port连线,观察是否具恶意程式特质,并注意VNC、Terminal Service 等
远端遥控5800、5000 and 3389 port之不明外来遥控连线。若使用者本身有安装远端遥控
程式如VNC或Terminal Server,建议更改预设连线port,并设定存取连线之IP,以防骇客
使用该远端遥控程式。
二、 检查登录编辑器(Registry):清查
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自动启动
路径下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」
等字样之机码,若存在的话将该机码删除。
三、 检核微软系统目录中(路径大多为C:\WINNT\SYSTEM32\)是否存在下列异常档案,
并删除之:
(一)、恶意程式—peep.exe:通常会存放在c:\winnt\system32目录之下,执行後会
自动产生explorer.exe於c:\winnt\system32目录(正常之explorer.exe是存放在
c:\winnt之目录之下),并於网路连线後自动连线至跳板主机之80port,一般80port为
网页主机之用,peep.exe木马程式则用做远端遥控并可传递受感染之电脑内任何档案
资料。
(二)、恶意程式—service.exe:正常之系统档为services.exe,存放於
c:\winnt\system32目录之下,若电脑有service.exe或非位於c:\winnt\system32目录下
之services.exe档案则可能受到感染。Service.exe执行後会产生MFC42G.DLL及
WinCom32.exe等两个档案,并於网路连线後以TCP方式连线至跳版主机之53port,一般
53port为DNS之用,且是以UDP方式连线。
(三)、恶意程式—iexplore.exe:iexplore.exe被置於c:\windows\system32目录中
(正常位於c:\program Files\Internet Explorer),该程式改编自知名偷密码程式之
passwordspy、Backdoor.PowerSpider及PWSteal.Netsnake,为知名收集密码资讯程式
的变种,会蒐集受害者所输入的帐号密码後以电子邮件方式传送至中国大陆的某个邮件
主机。
(四)、其他异常程式:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、
gates.exe、gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知档名之恶意程式,
另需人工检核是否有异常程式,如「*.bat」及「*.reg」通常为骇客入侵後安装恶意
程式使用之档案,及pslist.exe、pskill.exe、pulist.exe等p开头之档案则为骇客工具
档案,以上档案通常存放於c:\winnt\system32目录之下。
四、 重新开机并注意电脑对外通讯情形。
-------------------------------------------
台湾大学计算机及资讯网路中心
李美雯
(02)3366-5010
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.112.250.171