作者ltyintw (菈米雅嘶嘶)
看板AntiVirus
标题[请益] 最近少去伊莉
时间Mon Apr 24 01:55:16 2017
刚刚才发生不久的事
最近伊莉的首页被黑掉了
会随机触发一个页面
大意是说你的Flash Player 是21版的
要你去点黄色按钮下载新版的Flash Player安装档
(其实里面的javascript是把这个21写死的,现在的浏览器都是使用25版
就算用的是目前最新的25 他还是说你还在用21)
这个安装档案是被加料在重新打包过的
滑鼠移上去的小提示况显示该档案没有Adobe的签名
官方管道下载的有签名
可以用7-zip去提取里面的东西出来
额且他的恶意档下载网址是放在github的
重新加料过的
名为install_flash_player_ax.exe 的恶意档案是放在这个地方
https://github.com/flash-player-mirror/web/releases
如果最近有去到伊莉
暂时就不要去了
或是至少如果有看到那个 Flash Player的警告网页
千万不要点黄色的按钮
以上大概是这样
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.235.122.169
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1492970122.A.0B9.html
※ ltyintw:转录至看板 ask 04/24 01:57
※ 编辑: ltyintw (36.235.122.169), 04/24/2017 01:59:23
※ 编辑: ltyintw (36.235.122.169), 04/24/2017 02:00:13
※ 编辑: ltyintw (36.235.122.169), 04/24/2017 02:07:08
1F:推 abramtw: 感谢分享 所以预设关闭flash真的蛮重要的 04/24 07:46
2F:→ abramtw: 宁可等到非用不可的时候再去手动开启 04/24 07:47
3F:→ jh961202: 是说github没有检举机制?不知可否想办法让官方停权他 04/24 08:31
4F:推 jh961202: 找到检举管道了,已经寄信,不知道github会怎麽处理 04/24 08:35
5F:→ SCLPAL: 阿,所以昨天进不去是这样嘛? 04/24 08:49
6F:→ SCLPAL: 我好像有跳过,不过我都习惯之後自己去关往更新就没理 04/24 08:49
7F:→ a90648: 昨天有碰到,点下去後发现是执行档而不是跳往adobe网页 04/24 11:05
8F:→ a90648: 就没点确定下载了,原来是被黑了@@ 04/24 11:05
9F:→ aa82732664: 还没下载完,就取消了会不会中标阿QQ 04/24 11:19
被植入的要骗人去下载的页面,侦测出来的21在javascript是写死的
http://i.imgur.com/F4jxpfC.png
但是其实你已经安装更新的
http://i.imgur.com/vhzPYg2.png
我下载下来用7-zip去尝试猜测是不是压缩档来提取内容物
结果是正确的
http://i.imgur.com/AGCv38t.png
内容物有这些
第一个是真正的Adobe Flash Player 官方档案,有签名的
後面 二 三 四都是恶意档
http://i.imgur.com/BtDWEcg.png
对比被重新加料包装过的恶意安装档
http://i.imgur.com/bo4a67M.png
现在伊利目前可能采取先把网页的程式码全部清空
所以常常显示空白网页
或是网页空白是被浏览器挡下来的
内心:当初想把被植入在首页的那段
恶意javascript备份出来来分析行为,但是已经清除掉 没备份到
算是伊利反应还蛮快的
※ 编辑: ltyintw (36.235.122.169), 04/24/2017 12:12:54
10F:→ a90648: 没有执行应该是还好 04/24 12:07
※ 编辑: ltyintw (36.235.122.169), 04/24/2017 12:15:18
11F:→ spyair: 太恐怖啦 04/24 12:52
12F:推 KevinYu0504: 感谢告知,给楼主一个推 04/24 12:54
13F:→ KevinYu0504: 目前威胁似乎已经移除了? 04/24 12:54
14F:→ ltyintw: 看看有没有公告,至少我重新整理50次都不会跳出那个恶意 04/24 12:59
15F:→ ltyintw: 网页,不过伊利还有很多地方会跑出空白网页 04/24 13:00
16F:→ a90648: 知道这个恶意档是哪种类型的吗? 04/24 13:23
17F:→ gwofeng: 安装木马 04/24 13:52
18F:推 a3118: 装了有解吗? 04/24 14:15
19F:→ gwofeng: 很多防毒都扫的到了,BitDefender Avast Kaspersky 04/24 14:24
20F:→ gwofeng: 特徵是工作管理员可以看到powershell.exe常驻 04/24 14:39
22F:→ SCLPAL: 假如有中 就都是这个嘛?今天下班检查一下好了 04/24 15:15
23F:→ ltyintw: 木马吗? 比较传统的样子 04/24 15:29
25F:→ ltyintw: 可能是偷资料 或是回报给主控端该台电脑已成为肉鸡 04/24 17:58
26F:→ ltyintw: 可以帮忙DDOS之类的,不过很讶异竟然不是勒索软体 04/24 17:59
27F:→ gwofeng: 勒索病毒通常一发致命,骗使用者执行就赢了 04/24 18:09
28F:→ gwofeng: 木马才需要不让使用者察觉,所以有包真正的安装档进去 04/24 18:10
29F:→ teravideo: Flash player不是更新到25.0.0.148 04/24 20:02
30F:推 saca572381: 自从有一次电脑跳出来更新 按了後某些配菜被勒索 自 04/25 10:21
31F:→ saca572381: 此再也不相信这世界 04/25 10:21
32F:→ labbat: 楼上有创意 04/25 12:22
33F:→ ltyintw: 配菜? 04/25 12:38
34F:推 gravedigger: 请问一下中了只能重灌解决吗 04/25 17:11
35F:→ ltyintw: 不一定 只能重灌解决, 但是要去分析他的躲藏手法跟死後 04/26 18:37
36F:→ ltyintw: 复活的手法会很累 而且有时候为了把自身植入系统时为了执 04/26 18:37
37F:→ ltyintw: 行的更彻底,会去改一堆有的没的设定 04/26 18:37
38F:→ ltyintw: 所以在现今重灌几乎不到20分钟就可以完成的时代 .... 我 04/26 18:39
39F:→ ltyintw: 也会选择重灌 或是自己准备的类似ghost的还原档 04/26 18:39
40F:推 motokare: 推 谢谢分享! 04/26 21:59
41F:推 gravedigger: 以重灌 感谢 04/26 22:34
42F:推 chihippig: 我我我太晚看到了… 04/30 15:50
43F:推 osiutsaf8746: 楼上 我看到你po文才来关注的... 05/01 02:18
44F:推 nekoOAO: 推 感谢提醒! 05/01 14:00
45F:推 xo6u83zj: 原来我也是这样中奖的,感谢提醒,虽然太晚了QQ 05/01 20:16
46F:推 frank161616: 去逛了一下没看到这页ㄟ@@ 随机出现? 05/01 21:06
47F:推 hung097: 我好像是因为按了这个之後才中最新这一波的绑架... 05/03 14:01
48F:→ dfltnufa: Chrome不是一直都内键最新Flash或不再执行Flash…理论 05/03 22:55
49F:→ dfltnufa: 上秀出这讯息,就是有鬼了吧?! 05/03 22:55
50F:推 SalivaLpaca: QQ 05/04 21:17
51F:推 msnobody: 来不及了QQ 05/04 22:59
52F:推 Winston0707: QQ 受害者+1 05/06 16:47
53F:推 oioio9887: 有逛但没按没下载会中毒吗?QQ 05/06 19:08