首先是3/14卡巴斯基實驗室的一個工程師在病毒分析日誌中寫了一篇文章 （如果說這不算官方說法那很奇怪，因為這個在卡巴斯基官網左側就有連結） http://www.viruslist.com/en/weblog?weblogid=208187496 接著3/17卡巴斯基台灣站翻譯該文並發佈（3/19刪除，後面有附當時內容）， 可以看出原文大意.... http://www.kaspersky.com.tw/KL-AboutUs/News2008/03n/0317.htm ZDNet在3/18晚間發佈了相關消息，FlashGet疑自動下載木馬程式 http://www.zdnet.com.tw/news/software/0,2000085678,20128243,00.htm 最後3/21卡巴斯基（天津）和FlashGet發佈聯合聲明 http://www.kaspersky.com.cn/KL-AboutUs/news2008/03n/080321.htm 不過，從這分聲明中並沒有看到問題檔案inapp4.exe、下載位置是在FlashGet官網 url=hp://dl.flashget.com/flashget/appA.cab的相關說明，工程師認為FlashGet 官網被人入侵，裡面被放了有問題的檔案這件事被無視了。（不過如果不是入侵那 代誌就更大條了....）因為FlashGet官網很可能會被使用者當成信任的網站，從這 裡下載檔案很可能逃過一些系統的安全機制不被發覺。 該問題檔案已經被刪除，FlashGet官網上沒有這個東西了，聯合聲明中保證大家抓 回去的FlashGet軟體本身是安全無毒的，不過這個弱點是發生在軟體自動升級的時 候就是啦.... 這個問題在1.9x版FlashGet都有（搞不好把ini檔換掉就連舊版的也....-_-），但 是聲明中沒看到相關訊息，當然前提是使用者先中了什麼蟲設定檔被竄改，還要有 某個信賴的網站被入侵放了怪東西，然後FlashGet自動抓下來使用者的防毒軟體又 沒攔到才會發生問題。 OK，鄉民可能說這種事情怎麼可能發生，不過這種事情既然已經發生了，那還是當 一回事吧！ 工程師並沒有叫人不要用FlashGet，他只叫使用者自己衡量，原文 Users should feel free to draw their own conclusions… and take whatever measures they feel to be appropriate. 老實說，現在頻寬也夠了，下不成重下就好了，有些地方用續傳軟體反而傳不了東 西，如果沒有特殊用途，用了也沒什麼意思。有些人自己用這類軟體很順，但是沒 什麼必要幫人裝系統還順便裝上。（有些人很愛裝，有些人很討厭，而我是沒用到 的軟體就不要裝的古代觀念....） 總歸就....自己衡量吧，專家都沒建議了咩....反正要找漏洞也是一狗票 卡巴斯基台灣站的譯文備份 http://www.kaspersky.com.tw/KL-AboutUs/News2008/03n/0317.htm 【台北訊】幾天前我們開始收到從使用者傳來的消息，說道他們的防毒軟體已經察覺木馬 病毒出現在 Flashget 資料夾目錄中。 資料分析結果顯示這個問題影響了全球 Flashget 的使用者。這個檔案被命名為 inapp4.exe、inapp5.exe、inapp6.exe( 由卡巴斯基防毒軟體偵測出，並且命名為 Trojan-DropperWin32.Agent.exe、Dropper.Win32Agent.ezxo和 Trojan-Dowloader.Win32.Agent.kht)出現在使用者被感染的電腦中。 其中最奇怪的地方在於可以被用來入侵這個系統上的木馬程式沒有被偵測出來。一些受到 感染的使用者已經完全修補操作系統以及網頁瀏覽器，而惡意程式是如何滲透進他們的電 腦的？ 首先必須注意的是這隻木馬的所在位置─FlashGet 的資料夾目錄中。仔細地看，除了帶 有木馬的檔案之外，其他的皆變成透明，而註有日期的FGUpdate3.ini檔案則已經被新增 更改至最新(與原始檔案不同的地方用藍色標記出來)。 [Add] FlashGet_LOGO.gif=1.0.0.1020 inapp4.exe=1.0.0.1031 [AddEx] [fgres1.ini] url=hp://dl.flashget.com/flashget/fgres1.cab flag=16 path=%product% [FlashGet_LOGO.gif] url=hp://dl.flashget.com/flashget/FlashGet_LOGO.cab flag=16 path=%product% [inapp4.exe] url=hp://dl.flashget.com/flashget/appA.cab flag=2 path=%product% 非常異常的是，連結到 inapp4.exe ( Trojans 的資料夾)引導至 FlashGet 網站，而這 個網站就是從 appA.cab.下載下來的木馬程式。 FlashGet 網站並沒有任何與這個事件有關的資訊，但使用者的討論區卻大量地討論這個 議題，儘管開發者並沒有對此有任何表示。 根據這個訊息我們設法從網路上去尋找，發現第一波感染事件在2月29日被偵測到。在上 一個我們所知道的感染事件發生在3月9日。在這十天裡，完全合法的程式偽裝木馬的下載 程式，從開發者的位置進入使用者的電腦安裝並執行木馬！ 木馬程式目前已經從這個網址被移除，另外 FGUpdate3.ini (同樣也經由網路下載至使用 者電腦的程式)也回到原始的狀態。 FlashGet如何轉變成木馬下載程式？有一個明顯的答案─這個開發者的網站被駭客以及某 個人操控，並取代標準結構的檔案夾，引導連結至某個木馬的所在位置。為什麼駭客不使 用另一個網頁，或許這是經過深思熟慮的秘密行動，當一個連結至 FlashGet 結構中的資 料夾不會喚起猜疑。我們決定去檢查是否它有可能可以使用這個技巧從任何網站下載任何 資料夾。這個答案是對的嗎？是的！ 你需要的是去增加一個連結(任何可以代表你想要的資料夾)在 FGUpdate3.ini file，接 著當你執行 FlashGet 後，每隔一段時間它會自動下載至你的電腦。是否你打上“ Refresh”，FlashGet就會利用.ini資料夾中得到的資訊。「弱點」被提出在 FlashGet 1.9xx中的版本中。 所以，儘管這個網站不再被駭，使用者同樣難以防範。任何木馬程式都可以修改這個位置 ，.ini FlashGet的資料夾，導致它的運作模式和木馬下載程式很相似。它並不值得 FlashGet經常將它當成託管應用對待，因此，網路作業活動導致經由申請或請求的網站不 會被懷疑，而使用者也不會收到警告。 至今為止，還沒有接到從FlasfGet中國開發者的官方反應，這個事件剩下含糊不清的理由 ，並沒有保證它不會在度發生。使用者應該感到自由地寫下屬於他們的結局，並衡量他們 覺得被竊取的東西。 卡巴斯基（天津）和FlashGet的聯合聲明 http://www.kaspersky.com.cn/KL-AboutUs/news2008/03n/080321.htm 針對近日網上流傳的「卡巴斯基稱FlashGet包含病毒」問題，網際快車信息技術 有限公司與卡巴斯基（天津）科技有限公司特作出如下聯合聲明： 1、「卡巴斯基稱FlashGet包含病毒」的新聞並非卡巴斯基官方發佈，而是修改 了卡巴斯基台灣網站上之前發佈過的一篇文章內容。台灣文章的內容來自於卡巴斯基 實驗室一位病毒分析師的日誌，分析師在日誌中所述的情況，有可能是用戶的電腦本 身中了病毒，將病毒文件拷貝至FlashGet的安裝目錄下，並且修改了FlashGet的更新 配置文件，從而可能會產生自動下載帶毒文件的情況，並未指明FlashGet程序文件本 身含有病毒。 2、卡巴斯基實驗室分析師在原文中並未建議用戶不應將FlashGet做為日常應用 軟件，目前卡巴斯基中國技術支持中心也尚未接到關於此類問題的用戶反饋。 3、FlashGet（快車）是世界範圍內影響廣泛的一款國產軟件，一直都是業界公 認安全、穩定的下載工具。到目前為止，卡巴斯基確定快車（FlashGet）軟件本 身安全無毒，用戶可以放心使用。 4、卡巴斯基和FlashGet提醒廣大用戶注意互聯網安全，在獲取互聯網資源的同 時，要保證開啟反病毒軟件的實時保護和主動防禦功能，並定期更新反病毒數據庫， 以增強對新病毒的防禦能力。 特此聲明！ 卡巴斯基（天津）科技有限公司 網際快車信息技術有限公司 2008年3月21日 -- ◢███◣ ◤ ≡ ______________________________________ ─⊙-⊙- / \ 皿　 _/ 把台灣那些可悲的節目收一收 該吃飯了 / ◣ ︶◢ \______________________________________/ --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 163.27.70.9 ※ 編輯: hirokofan 來自: 163.27.70.9 (04/07 15:26) ※ 編輯: hirokofan 來自: 163.27.70.9 (04/07 15:32) ※ 編輯: hirokofan 來自: 163.27.70.9 (04/07 17:08) ※ jns0117:轉錄至看板 NIU-ECE94b 04/14 16:52