阿 土
2004-05-03, 06:22 PM
原始資料來自於:
http://www.cib.gov.tw/tw/news/news01_2.aspx?no=372
刑事局偵九隊自九十三年初開始先後接獲多家企業機構及個人報案表示,電腦出現異常、CPU使用量激增、電腦反應遲緩及帳號密碼無端遭竊等問題,旋在各受害公司及相關受害當事人協助下前往查察並偵測網路連線狀態實際瞭解相關狀況,發現受害企業內網之多台伺服器主機及個人電腦會有主動對外報到連線,甚至外洩鍵盤輸入帳號密碼情事,嚴重影響我國網路金融交易秩序,造成多家金融機構的恐慌,如多數銀行已暫停非約定帳戶的網路轉帳功能。復經初步檢查後,證實國內數百台受害企業(含金融、科技、網路、資訊及模具零件等傳統行業)、學校或個人電腦已大規模遭駭客入侵,並遭植入多種惡意木馬程式,電腦檔案內容,甚至整個資料庫或帳號密碼均被竊走,由於事態嚴重且惡意程式有不斷擴散、交叉感染情形,已非單靠刑事局偵九隊成員便能清除完畢,故警方特別發佈新聞稿公開呼籲且在刑事局網站之「破案快訊」上公布此次基本快速發現及移除惡意程式方法,並呼籲各重要私人企業及個人電腦使用者應儘速全面清查、移除可能潛在的惡意程式,避免受害事態持續擴大。
附件:基本快速發現及移除惡意程式方法
一、關閉所有已知對外連線程式,在確定網路沒有正常對外連線情況下,開啟cmd.exe,輸入利用「netstat -an -p tcp」指令清查異常對外通訊的應用程式,檢查是否有對外TCP 53及80 port連線,觀察是否具惡意程式特質,並注意VNC、Terminal Service 等遠端遙控5800、5000 and 3389 port之不明外來遙控連線。若使用者本身有安裝遠端遙控程式如VNC或Terminal Server,建議更改預設連線port,並設定存取連線之IP,以防駭客使用該遠端遙控程式。
二、檢查登錄編輯器(Regedit):清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自動啟動路徑下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字樣之機碼,若存在的話將該機碼刪除。
三、檢核微軟系統目錄中(路徑大多為C:\WINNT\SYSTEM32\ or C:\WINDOWS\system32)是否存在下列異常檔案,並刪除之:
(一)、惡意程式—peep.exe:通常會存放在c:\winnt\system32 目錄之下,執行後會自動產生explorer.exe於c:\winnt\system32目錄(正常之explorer.exe是存放在c:\winnt之目錄之下),並於網路連線後自動連線至跳板主機之80port,一般80port為網頁主機之用,peep.exe木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案資料。
(二)、惡意程式—service.exe:正常之系統檔為services.exe,存放於c:\winnt\system32目錄之下,若電腦有service.exe或非位於c:\winnt\system32目錄下之services.exe檔案則可能受到感染。Service.exe執行後會產生MFC42G.DLL及WinCom32.exe等兩個檔案,並於網路連線後以TCP方式連線至跳版主機之53port,一般53port為DNS之用,且是以UDP方式連線。
(三)、惡意程式—iexplore.exe:iexplore.exe被置於c:\windows\system32目錄中(正常位於c:\program Files\Internet Explorer),該程式改編自知名偷密碼程式之passwordspy、Backdoor.PowerSpider及PWSteal.Netsnake,為知名收集密碼資訊程式的變種,會蒐集受害者所輸入的帳號密碼後以電子郵件方式傳送至中國大陸的某個郵件主機。
(四)、其他異常程式:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、gates.exe、gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知檔名之惡意程式,另需人工檢核是否有異常程式,如「*.bat」及「*.reg」通常為駭客入侵後安裝惡意程式使用之檔案,及pslist.exe、pskill.exe、pulist.exe等p開頭之檔案則為駭客工具檔案,以上檔案通常存放於c:\winnt\system32目錄之下。
四、重新開機並注意電腦對外通訊情形。
警政署刑事局偵九隊 製
---------------------------------------------
93/05/27 偵破此案 , 抓到兇手後也找到解藥了 , 刑事局提供下載 , 擔心被植木馬的朋友可以下載
Peep 木馬程式流程圖:
https://www.cib.gov.tw/upload/CaseNewsFile/CN_File1_9953470403.jpg
Peep 木馬移除程式:
https://www.cib.gov.tw/upload/CaseNewsFile/CN_File2_3383488403.exe
刑事局新聞稿:
https://www.cib.gov.tw/tw/news/news01_2.aspx?no=405
贊助商連結
http://www.cib.gov.tw/tw/news/news01_2.aspx?no=372
刑事局偵九隊自九十三年初開始先後接獲多家企業機構及個人報案表示,電腦出現異常、CPU使用量激增、電腦反應遲緩及帳號密碼無端遭竊等問題,旋在各受害公司及相關受害當事人協助下前往查察並偵測網路連線狀態實際瞭解相關狀況,發現受害企業內網之多台伺服器主機及個人電腦會有主動對外報到連線,甚至外洩鍵盤輸入帳號密碼情事,嚴重影響我國網路金融交易秩序,造成多家金融機構的恐慌,如多數銀行已暫停非約定帳戶的網路轉帳功能。復經初步檢查後,證實國內數百台受害企業(含金融、科技、網路、資訊及模具零件等傳統行業)、學校或個人電腦已大規模遭駭客入侵,並遭植入多種惡意木馬程式,電腦檔案內容,甚至整個資料庫或帳號密碼均被竊走,由於事態嚴重且惡意程式有不斷擴散、交叉感染情形,已非單靠刑事局偵九隊成員便能清除完畢,故警方特別發佈新聞稿公開呼籲且在刑事局網站之「破案快訊」上公布此次基本快速發現及移除惡意程式方法,並呼籲各重要私人企業及個人電腦使用者應儘速全面清查、移除可能潛在的惡意程式,避免受害事態持續擴大。
附件:基本快速發現及移除惡意程式方法
一、關閉所有已知對外連線程式,在確定網路沒有正常對外連線情況下,開啟cmd.exe,輸入利用「netstat -an -p tcp」指令清查異常對外通訊的應用程式,檢查是否有對外TCP 53及80 port連線,觀察是否具惡意程式特質,並注意VNC、Terminal Service 等遠端遙控5800、5000 and 3389 port之不明外來遙控連線。若使用者本身有安裝遠端遙控程式如VNC或Terminal Server,建議更改預設連線port,並設定存取連線之IP,以防駭客使用該遠端遙控程式。
二、檢查登錄編輯器(Regedit):清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自動啟動路徑下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字樣之機碼,若存在的話將該機碼刪除。
三、檢核微軟系統目錄中(路徑大多為C:\WINNT\SYSTEM32\ or C:\WINDOWS\system32)是否存在下列異常檔案,並刪除之:
(一)、惡意程式—peep.exe:通常會存放在c:\winnt\system32 目錄之下,執行後會自動產生explorer.exe於c:\winnt\system32目錄(正常之explorer.exe是存放在c:\winnt之目錄之下),並於網路連線後自動連線至跳板主機之80port,一般80port為網頁主機之用,peep.exe木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案資料。
(二)、惡意程式—service.exe:正常之系統檔為services.exe,存放於c:\winnt\system32目錄之下,若電腦有service.exe或非位於c:\winnt\system32目錄下之services.exe檔案則可能受到感染。Service.exe執行後會產生MFC42G.DLL及WinCom32.exe等兩個檔案,並於網路連線後以TCP方式連線至跳版主機之53port,一般53port為DNS之用,且是以UDP方式連線。
(三)、惡意程式—iexplore.exe:iexplore.exe被置於c:\windows\system32目錄中(正常位於c:\program Files\Internet Explorer),該程式改編自知名偷密碼程式之passwordspy、Backdoor.PowerSpider及PWSteal.Netsnake,為知名收集密碼資訊程式的變種,會蒐集受害者所輸入的帳號密碼後以電子郵件方式傳送至中國大陸的某個郵件主機。
(四)、其他異常程式:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、gates.exe、gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知檔名之惡意程式,另需人工檢核是否有異常程式,如「*.bat」及「*.reg」通常為駭客入侵後安裝惡意程式使用之檔案,及pslist.exe、pskill.exe、pulist.exe等p開頭之檔案則為駭客工具檔案,以上檔案通常存放於c:\winnt\system32目錄之下。
四、重新開機並注意電腦對外通訊情形。
警政署刑事局偵九隊 製
---------------------------------------------
93/05/27 偵破此案 , 抓到兇手後也找到解藥了 , 刑事局提供下載 , 擔心被植木馬的朋友可以下載
Peep 木馬程式流程圖:
https://www.cib.gov.tw/upload/CaseNewsFile/CN_File1_9953470403.jpg
Peep 木馬移除程式:
https://www.cib.gov.tw/upload/CaseNewsFile/CN_File2_3383488403.exe
刑事局新聞稿:
https://www.cib.gov.tw/tw/news/news01_2.aspx?no=405
贊助商連結