訪客留言簿

星期二, 1月 20, 2009

[資安通知] 2009一月、MoonAV防毒遭駭、請改網站密碼

前言
  • 2009.02.03 今天去看了一下,MoonAV 官方把 163 版的連結撤掉了,不過對於網站被駭,或是防毒軟體內藏後門這兩件事,官方並沒有任何相關的正式聲明,討論區也沒什麼人反應這件事,更別談 Google 要能找到什麼資料了。

  • 2009.01.25 今天發現 Moon AV 網站復原到 1/16 左右了,但是連線速度很慢,而且 2.2.2.163(Stable) 依然還是之前那個有後門的版本(md5值一樣)!我開始懷疑這個從 2008/06/04 就放在網路上給人下載的東西,會不會只是 AntiVir 誤判了,又或者搞不好只是些病毒碼的資料庫而已。另外有個 www.radjuluminaria.com 的網站也被同一批人駭了。(請不要嘗試直接連接該網站)

MoonAV (www.moonsecure.com) 的網站官方上傳至 SourceForge 的檔案 (MsavSetup.2.2.2.163.exe) 確定遭惡意人士修改(植入多種後門程式),這個月 1/20 前有用過這軟體的,建議你移除 MoonAV,換 AntiVir 掃瞄系統分割區,修改重要網站密碼後,將電腦還原至安裝 MoonAV 前,或是重灌作業系統。

目前 1/20 我手上試過 AntiVir 、Panda ActiveScan 線上掃瞄、NOD32 三種,只有 AntiVir 才會警告有後門程式在系統中。(另外因為是防毒軟體本身帶惡意程式,所以你在允許防火牆讓它連線後就拿它沒輒了。)

……對了,說到 NOD32,為了防止有人一直濫用「無限期的試用版」,新版中更新時就強制要求提供信箱跟特殊密碼,實在有夠煩的說。

(不過 Moon Secure AV 在 1/16 左右我回報病毒給他們卻沒人理時,早就應該有警覺了才是,我真是糊塗了。 orz )

個人狀況敘述

MoonAV 是這幾天有人推給我的防毒軟體(採 GPL 的開放原始碼授權),所以我這幾天安裝後有在注意這東西。不過就在 GMT+8 的台灣時間 1/20 0:00 左右的時候,我用 Google 搜尋 MoonAV 官網發現網站首頁的標題變成一堆阿拉伯文(聽人說是「滲透網站成功」的意思),這時我覺得有點不妙,才把平時沒開即時防護的 AntiVir 打開,結果馬上就跳出後門程式警告,只好趕緊先關閉並移除 MoonAV,看 AntiVir 能抓多少是多少了。

在 1/16 左右下載的是有問題的,請各位確認一下是不是從這位址下載的這個檔案。

nchc.dl.sourceforge.net/sourceforge/moonav/MsavSetup.2.2.2.163.exe

後門程式是啥

後門程式、特洛伊木馬這類的,就是假裝成正常程式,在你安裝之後,偷偷將你的私人資料上傳給別人,好讓他們能利用你的個人資料幹壞事。(比如利用你的帳號到處發廣告或害別人拉到同樣的後門程式)

(補充:後門程式正式的用途,是為了入侵系統而開的通道,至於入侵後要幹嘛是另一回事,抱歉上面說得有點亂。)

基本上後門程式是為了讓人從遠端操控你的電腦而設計的,不過除非是針對性的,不然也只會跑程式設定好的行為,不會那麼厲害去找你的哪個檔案有什麼東西後才偷走。(不過像 MoonAV 這種掃毒程式被搞的話就不一定了,而且也不一定要偷東西,直接用你的電腦去攻擊別台電腦也行。)

另外後門程式具有遠端操縱電腦的特性,所以也能在你不注意時修改、刪除、偷塞資料。下面是 AntiVir 的 moonsysh.dll 檢驗報告。(懂德文的可以看看 computerbild.de 討論區的串

FilenameSize (Byte)Result
moonsysh.dll119.5 KBMALWARE

Please find a detailed report concerning each individual sample below:

FilenameResultmoonsysh.dllMALWARE

The file 'moonsysh.dll' has been determined to be 'MALWARE'. Our analysts named the threat BDS/Hupigon.dtto. The term "BDS/" denotes a Backdoor-Server program. Backdoor-Server programs are used to spy out, modify or delete data.Detection is added to our virus definition file (VDF) starting with version 7.01.01.13.

對了,有個叫 Free Anti-Spyware 的網站也有提供 moonsysh.dll 的掃瞄報告,不過我看不出這是何時更新上來的,也不確定這是怎樣的網站。

該怎麼辦

我也不知道,我平均一年才中一次需要重灌才能解決的惡意程式,而且現在沒備用電腦讓我玩新軟體,這次碰上的又只是偷偷摸摸不搞破壞的傢伙,所以我也很無助呀。 QQ

總之現在 AntiVir 多少有點用,先把 MoonAV 移除,防火牆規則重設,然後用 AntiVir 掃一遍系統分割區,先改改重要網站的密碼,再重灌作業系統(有辦法還原到安裝 MoonAV 前的也試試),然後再一次把所有的網站密碼、郵件密碼、即時通訊軟體帳戶的密碼都改一改吧。(有空的話,多用 CombofixHijackThis 掃一遍。)

然後不管你的電腦多爛,防毒軟體的即時防護還是要開的呀。 ToT

(還有 Comodo 防火牆的 log 真的太難用了啦,看來還是買 True Image 定期備份比較無腦了。另外 PeerGuardian 2 這防火牆也建議平時開著。)

相關圖片

4 comments:

Toomore Chiang 提到...

恐怖...

wini 提到...

哭哭,我猜前幾天電腦一直很頓,也是因為後門一直在記錄東西的關係吧,實在是頓到不行。(Windows 系統日誌我實在懶得看)

alicekey 提到...

裝防毒軟體反而中獎,真是太慘了...。我幫你寫個「慘」字。

wini 提到...

最慘的是我當天還在看別人的 mixi 帳號被 keylogger 盜來發木馬,結果當天就忘了開 AntiVir 即時防毒裝下去了……(因為怕兩個打架,所以才關的……沒想到居然加了殼,要安裝才知有沒有毒)

 

本站著作(不包含圖片、影音以及回應留言)係採用 Creative Commons 姓名標示-非商業性-相同方式分享 2.5 台灣 (中華民國) 授權條款授權