作者WebM7 (男七網管專用帳號)
看板NTUDormM7
標題from計中李美雯-破案快訊-國內企業電腦遭駭客大規模入侵植入木馬案
時間Mon May 17 22:02:34 2004
sorry, 這是一個遲來的消息
在我的"mail海"中,偶然發現 =.=||
http://cert.ntu.edu.tw的網安、下載專區、討論區是好地方
有空可以看看
-----------------------------------------------------------------------------
各位網管大家好,
以下的資訊已經於5/5公佈於
http://cert.ntu.edu.tw的最新消息,也許有的網管還未
習慣性的上網看相關資訊,所以以email通知各位。
(附註:現在駭客利用植入後門程式偷取電腦中的資料或者鍵盤的輸入資料,其嚴重性比
病毒還可怕,請多宣導台大資通安全網站的網安提供的基本防護,請使用者多
參考,有任何建議請儘快反應給我們。)
警方發佈新聞稿公布此次基本快速發現及移除惡意程式方法,並呼籲各重要私人企業及
個人電腦使用者應儘速全面清查、移除可能潛在的惡意程式,避免受害事態持續擴大...
詳情請參閱下面的網頁資訊:
http://www.cib.gov.tw/tw/news/news01_2.aspx?no=372
由於該網頁的文章非常冗長,所以茲將移除方法公佈如下,也請要求系所的所有使用者
進行檢測。
附件:基本快速發現及移除惡意程式方法
一、 關閉所有已知對外連線程式,在確定網路沒有正常對外連線情況下,開啟cmd.exe
,輸入利用「netstat -an -p tcp」指令清查異常對外通訊的應用程式,檢查是否有對
外TCP 53及80 port連線,觀察是否具惡意程式特質,並注意VNC、Terminal Service 等
遠端遙控5800、5000 and 3389 port之不明外來遙控連線。若使用者本身有安裝遠端遙控
程式如VNC或Terminal Server,建議更改預設連線port,並設定存取連線之IP,以防駭客
使用該遠端遙控程式。
二、 檢查登錄編輯器(Registry):清查
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自動啟動
路徑下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」
等字樣之機碼,若存在的話將該機碼刪除。
三、 檢核微軟系統目錄中(路徑大多為C:\WINNT\SYSTEM32\)是否存在下列異常檔案,
並刪除之:
(一)、惡意程式—peep.exe:通常會存放在c:\winnt\system32目錄之下,執行後會
自動產生explorer.exe於c:\winnt\system32目錄(正常之explorer.exe是存放在
c:\winnt之目錄之下),並於網路連線後自動連線至跳板主機之80port,一般80port為
網頁主機之用,peep.exe木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案
資料。
(二)、惡意程式—service.exe:正常之系統檔為services.exe,存放於
c:\winnt\system32目錄之下,若電腦有service.exe或非位於c:\winnt\system32目錄下
之services.exe檔案則可能受到感染。Service.exe執行後會產生MFC42G.DLL及
WinCom32.exe等兩個檔案,並於網路連線後以TCP方式連線至跳版主機之53port,一般
53port為DNS之用,且是以UDP方式連線。
(三)、惡意程式—iexplore.exe:iexplore.exe被置於c:\windows\system32目錄中
(正常位於c:\program Files\Internet Explorer),該程式改編自知名偷密碼程式之
passwordspy、Backdoor.PowerSpider及PWSteal.Netsnake,為知名收集密碼資訊程式
的變種,會蒐集受害者所輸入的帳號密碼後以電子郵件方式傳送至中國大陸的某個郵件
主機。
(四)、其他異常程式:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、
gates.exe、gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知檔名之惡意程式,
另需人工檢核是否有異常程式,如「*.bat」及「*.reg」通常為駭客入侵後安裝惡意
程式使用之檔案,及pslist.exe、pskill.exe、pulist.exe等p開頭之檔案則為駭客工具
檔案,以上檔案通常存放於c:\winnt\system32目錄之下。
四、 重新開機並注意電腦對外通訊情形。
-------------------------------------------
台灣大學計算機及資訊網路中心
李美雯
(02)3366-5010
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.112.250.171