※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-13 07:46:42
看板 AntiVirus
作者 標題 [請益] 最近少去伊莉
時間 Mon Apr 24 01:55:16 2017
剛剛才發生不久的事
最近伊莉的首頁被黑掉了
會隨機觸發一個頁面
大意是說你的Flash Player 是21版的
要你去點黃色按鈕下載新版的Flash Player安裝檔
(其實裡面的javascript是把這個21寫死的,現在的瀏覽器都是使用25版
就算用的是目前最新的25 他還是說你還在用21)
這個安裝檔案是被加料在重新打包過的
滑鼠移上去的小提示況顯示該檔案沒有Adobe的簽名
官方管道下載的有簽名
可以用7-zip去提取裡面的東西出來
額且他的惡意檔下載網址是放在github的
重新加料過的
名為install_flash_player_ax.exe 的惡意檔案是放在這個地方
https://github.com/flash-player-mirror/web/releases
如果最近有去到伊莉
暫時就不要去了
或是至少如果有看到那個 Flash Player的警告網頁
千萬不要點黃色的按鈕
以上大概是這樣
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.235.122.169
※ 文章代碼(AID): #1O_EgA2v (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1492970122.A.0B9.html
※ ltyintw:轉錄至看板 ask 04/24 01:57
※ 編輯: ltyintw (36.235.122.169), 04/24/2017 01:59:23※ 編輯: ltyintw (36.235.122.169), 04/24/2017 02:00:13
※ 編輯: ltyintw (36.235.122.169), 04/24/2017 02:07:08
推 : 感謝分享 所以預設關閉flash真的蠻重要的1F 04/24 07:46
→ : 寧可等到非用不可的時候再去手動開啟
→ : 寧可等到非用不可的時候再去手動開啟
→ : 是說github沒有檢舉機制?不知可否想辦法讓官方停權他3F 04/24 08:31
推 : 找到檢舉管道了,已經寄信,不知道github會怎麼處理
推 : 找到檢舉管道了,已經寄信,不知道github會怎麼處理
→ : 阿,所以昨天進不去是這樣嘛?5F 04/24 08:49
→ : 我好像有跳過,不過我都習慣之後自己去關往更新就沒理
→ : 我好像有跳過,不過我都習慣之後自己去關往更新就沒理
→ : 昨天有碰到,點下去後發現是執行檔而不是跳往adobe網頁7F 04/24 11:05
→ : 就沒點確定下載了,原來是被黑了@@
→ : 就沒點確定下載了,原來是被黑了@@
→ : 還沒下載完,就取消了會不會中標阿QQ9F 04/24 11:19
被植入的要騙人去下載的頁面,偵測出來的21在javascript是寫死的
http://i.imgur.com/F4jxpfC.png
![[圖]](http://i.imgur.com/F4jxpfCh.png)
但是其實你已經安裝更新的
http://i.imgur.com/vhzPYg2.png
![[圖]](http://i.imgur.com/vhzPYg2.png)
我下載下來用7-zip去嘗試猜測是不是壓縮檔來提取內容物
結果是正確的
http://i.imgur.com/AGCv38t.png
![[圖]](http://i.imgur.com/AGCv38t.png)
內容物有這些
第一個是真正的Adobe Flash Player 官方檔案,有簽名的
後面 二 三 四都是惡意檔
http://i.imgur.com/BtDWEcg.png
![[圖]](http://i.imgur.com/BtDWEcg.png)
對比被重新加料包裝過的惡意安裝檔
http://i.imgur.com/bo4a67M.png
![[圖]](http://i.imgur.com/bo4a67M.png)
現在伊利目前可能採取先把網頁的程式碼全部清空
所以常常顯示空白網頁
或是網頁空白是被瀏覽器擋下來的
內心:當初想把被植入在首頁的那段
惡意javascript備份出來來分析行為,但是已經清除掉 沒備份到
算是伊利反應還蠻快的
※ 編輯: ltyintw (36.235.122.169), 04/24/2017 12:12:54
→ : 沒有執行應該是還好10F 04/24 12:07
※ 編輯: ltyintw (36.235.122.169), 04/24/2017 12:15:18→ : 太恐怖啦11F 04/24 12:52
推 : 感謝告知,給樓主一個推12F 04/24 12:54
→ : 目前威脅似乎已經移除了?
→ : 目前威脅似乎已經移除了?
→ : 看看有沒有公告,至少我重新整理50次都不會跳出那個惡意14F 04/24 12:59
→ : 網頁,不過伊利還有很多地方會跑出空白網頁
→ : 網頁,不過伊利還有很多地方會跑出空白網頁
→ : 知道這個惡意檔是哪種類型的嗎?16F 04/24 13:23
→ : 安裝木馬17F 04/24 13:52
推 : 裝了有解嗎?18F 04/24 14:15
→ : 很多防毒都掃的到了,BitDefender Avast Kaspersky19F 04/24 14:24
→ : 特徵是工作管理員可以看到powershell.exe常駐
→ : http://imgur.com/a/xkvNs 而且一直對外連線
→ : 特徵是工作管理員可以看到powershell.exe常駐
→ : http://imgur.com/a/xkvNs 而且一直對外連線
![[圖]](http://i.imgur.com/gonZmKo.jpg)
→ : 假如有中 就都是這個嘛?今天下班檢查一下好了22F 04/24 15:15
→ : 木馬嗎? 比較傳統的樣子23F 04/24 15:29
Free Automated Malware Analysis Service - powered by VxStream Sandbox - Viewing online file analysis results for 'setup.exe' Submit malware for free analysis with VxStream Sandbox and Hybrid Analysis technology. Payload Security develops and licenses analysis tools to fight ...
→ : 可能是偷資料 或是回報給主控端該台電腦已成為肉雞25F 04/24 17:58
→ : 可以幫忙DDOS之類的,不過很訝異竟然不是勒索軟體
→ : 可以幫忙DDOS之類的,不過很訝異竟然不是勒索軟體
→ : 勒索病毒通常一發致命,騙使用者執行就贏了27F 04/24 18:09
→ : 木馬才需要不讓使用者察覺,所以有包真正的安裝檔進去
→ : 木馬才需要不讓使用者察覺,所以有包真正的安裝檔進去
→ : Flash player不是更新到29F 25.0.0.148 英國 04/24 20:02
推 : 自從有一次電腦跳出來更新 按了後某些配菜被勒索 自30F 04/25 10:21
→ : 此再也不相信這世界
→ : 此再也不相信這世界
→ : 樓上有創意32F 04/25 12:22
→ : 配菜?33F 04/25 12:38
推 : 請問一下中了只能重灌解決嗎34F 04/25 17:11
→ : 不一定 只能重灌解決, 但是要去分析他的躲藏手法跟死後35F 04/26 18:37
→ : 復活的手法會很累 而且有時候為了把自身植入系統時為了執
→ : 行的更徹底,會去改一堆有的沒的設定
→ : 所以在現今重灌幾乎不到20分鐘就可以完成的時代 .... 我
→ : 也會選擇重灌 或是自己準備的類似ghost的還原檔
→ : 復活的手法會很累 而且有時候為了把自身植入系統時為了執
→ : 行的更徹底,會去改一堆有的沒的設定
→ : 所以在現今重灌幾乎不到20分鐘就可以完成的時代 .... 我
→ : 也會選擇重灌 或是自己準備的類似ghost的還原檔
推 : 推 謝謝分享!40F 04/26 21:59
推 : 以重灌 感謝41F 04/26 22:34
推 : 我我我太晚看到了…42F 04/30 15:50
推 : 樓上 我看到你po文才來關注的...43F 05/01 02:18
推 : 推 感謝提醒!44F 05/01 14:00
推 : 原來我也是這樣中獎的,感謝提醒,雖然太晚了QQ45F 05/01 20:16
推 : 去逛了一下沒看到這頁ㄟ@@ 隨機出現?46F 05/01 21:06
推 : 我好像是因為按了這個之後才中最新這一波的綁架...47F 05/03 14:01
→ : Chrome不是一直都內鍵最新Flash或不再執行Flash…理論48F 05/03 22:55
→ : 上秀出這訊息,就是有鬼了吧?!
→ : 上秀出這訊息,就是有鬼了吧?!
推 : QQ50F 05/04 21:17
推 : 來不及了QQ51F 05/04 22:59
推 : QQ 受害者+152F 05/06 16:47
推 : 有逛但沒按沒下載會中毒嗎?QQ53F 05/06 19:08
--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 788
回列表(←)
分享