重大病毒警訊:攻擊微軟最新漏洞的 TSPY_GIMMIV.A 會竊取個人資訊

2008 年 10 月 24 日 – 19:08:22

針對微軟今日發佈的「MS08-067伺服器服務中的弱點可能允許遠端程式碼執行重大弱點」修正程式通知,目前已經出現了第一隻針對該弱點攻擊用戶端的木馬間諜程式 TSPY_GIMMIV.A,並藉由9個網站散播。該惡意程式會竊取使用者帳號密碼、系統資訊,並可能造成相關資安程式無法執行。

趨勢科技資深技術顧問戴燊表示,由於該病毒會自動連上其他網站下載惡意程式,甚至將竊取的機密加密後回傳至特定網址,這些不正常的下載和上傳動作,會造成連線速度變慢或是重新開機等現象。因此呼籲使用者若有發現上述情形,極有可能已經中毒,請即刻執行下列建議事項:

  1. 儘速更新MS08-067
  2. 趨勢科技用戶,請更新至最新病毒碼5.615.00,以及啟用WRS網頁信譽評等以攔截惡意網址
  3. 非趨勢科技用戶,請使用WTP Add-On(Web Threat Protection)免費防禦工具, http://www.trendmicro.com.tw/wtp/

TSPY_GIMMIV.A 的相關惡意行為:

開機自動執行:病毒會修改機碼,以便每次開機皆可執行

自動下載惡意檔案:病毒會持續至數個網站下載惡意檔案

竊取資訊:病毒會竊取下列資訊,並加密回傳至特定網址

  • 防毒軟體相關資訊
  • Outlook Express Credential Information
  • Protected Storage Information
  • 系統資訊
  • 個人帳號和密碼

安全防護軟體無法運行:該病毒會搜尋並刪除機碼,造成相關資安程式或防毒軟體無法運行

來源:趨勢科技

  1. “重大病毒警訊:攻擊微軟最新漏洞的 TSPY_GIMMIV.A 會竊取個人資訊” 目前有 13 迴響

  2. WTP Add-On防禦工具可以跟avast搭配使用嗎?會部會有衝突?
    還有可以測試香港有名的武術論壇http://www.kungfuboard.com/有無問題呢?謝謝~~

    By EVAN on 2008 年 10 月 25 日 - 21:43:15

  3. 基本上是沒有問題,如果你遇到問題,請告知我。另外,那個網址目前沒有問題。

    By Roger on 2008 年 10 月 25 日 - 23:21:17

  4. 這裡有更新快速的中文版最新資安事件中文版,歡迎大家常來逛

    http://www.ithome.com.tw/plog/index.php?blogId=1252

    目前文章:
    上網找萬聖節最酷造型 竟被流氓軟體駭到
    攻擊微軟最新漏洞的 TSPY_GIMMIV.A 會竊取個人資訊
    NoteBook 的分手信:拒絕當旅途中的毒行俠
    如果你是Sarah Palin,你的郵件帳號會被入侵嗎?
    當機又重開機!原來是流氓軟體利用螢幕保護程式製造恐慌
    金融風暴議題陸續被駭客操弄
    會修改路由器 DNS 設定的假解碼程式

    By 崔嘻 on 2008 年 10 月 26 日 - 11:03:27

  5. 請問這種病毒是藉由網站散播的嗎?
    上面提到"藉由9個網站散播.."請問是哪9個網站呢?
    還有除了更新還要注意些什麼呢?

    By MOK on 2008 年 10 月 26 日 - 22:20:52

  6. 1. 網站散播只是一種手法。
    2. 我不知道哪9個網站。
    3. 更新防毒軟體特徵碼,並且,盡量不要瀏覽奇怪網站或點擊來路不明的連結。

    By Roger on 2008 年 10 月 27 日 - 08:00:51

  7. Hi Mok,

    通常我們在發佈新聞稿時,不會把網址秀出來
    避免大家在閱讀文章時,不小心點選到連結,或是有心人士刻意轉寄帶有惡意連結的網址,造成更多人受害
    可以跟大家分享的是截止目前為止,發現的9個網址的結尾是.exe ,提醒大家遇到執行檔結尾網址,最好提高警覺

    給你很多很多的祝福

    崔嘻

    By 崔嘻 on 2008 年 10 月 27 日 - 11:10:29

  8. 請問一下,

    根據Microsoft Security Vulnerability Research & Defense的說法:
    http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx

    只要firewall有擋掉TCP port 139 & 445,
    外部攻擊者就無法傳送攻擊封包進來。

    所以,只要Firewall設定正確,
    應該就沒有立即的危險了?
    (不考慮user自己亂連網站or亂開檔案而中標的情況)
    還是說,還有其他的攻擊途徑?

    By YHAN on 2008 年 10 月 27 日 - 15:29:38

  9. 請教網址的結尾可以是".exe "嗎?
    這樣與正常的網址設定好像不太一樣,
    而且咕老師也找不到這種特殊的網址…

    另,TCP port如何自行設定擋掉 139 & 445?
    謝謝~

    By TestLook on 2008 年 10 月 27 日 - 21:09:54

  10. 據我所知,那九個檔案為:
    59.106.145.58/n1.exe
    59.106.145.58/n2.exe
    59.106.145.58/n3.exe
    59.106.145.58/n4.exe
    59.106.145.58/n5.exe
    59.106.145.58/n6.exe
    59.106.145.58/n7.exe
    59.106.145.58/n8.exe
    59.106.145.58/n9.exe

    回答「TestLook」:
    1. *.exe是檔案,不是網址。
    2. 停掉RPC或直接更新,可能比較好吧。
    3. 把PORT直接擋掉就好了,不過,有些服務就不能用了。

    剛剛看了MS的說明,對家庭用戶來說,擋掉從外部透過PORT 139和445的流量。

    By Roger on 2008 年 10 月 27 日 - 21:43:52

  11. 不好意思可以麻煩測試http://www.myfreshnet.com/BIG5/literature/
    http://ww2.myfreshnet.com/BIG5/literature/
    和其他的頁面有無問題呢?
    謝謝!

    By MOK on 2008 年 10 月 29 日 - 23:54:29

  12. 目前沒有發現問題。

    By Roger on 2008 年 10 月 30 日 - 09:46:47

  13. 謝謝~在麻煩站長測試這個專欄有無問題呢?http://www.myfreshnet.com/BIG5/literature/indextext.asp?free=100046062

    By MOK on 2008 年 11 月 3 日 - 20:40:25

  14. 沒發現有惡意程式。

    By Roger on 2008 年 11 月 4 日 - 01:37:10

請在此留下您的意見

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).