【卡巴斯基】警告:FlashGet 可能自動下載木馬病毒

FlashGet下載軟體是中港台各地網友相當愛用的下載軟體,不但包含了HTTP、FTP分段下載功能,更支援BT、eDonkey等P2P下載功能,不過最近卡巴斯基實驗室接獲一些網友回報,FlashGet軟體可能因為某些因素,而造成安裝、使用此軟體的電腦感染木馬病毒。

以下引用自台灣卡巴斯基代理商奕瑞科技所提供的新聞稿,如果你對電腦安全有疑慮,,

請移除並暫時停用FlashGet下載軟體。(可改用免費、全中文化的Orbit下載軟體,比起FlashGet好用很多,說明:http://briian.com/?p=2731

 

卡巴斯基警告TrojanGet正侵蝕著全球的網路使用者

【台北訊】幾天前卡巴斯基實驗室陸續收到從使用者回報,防毒軟體偵測出木馬病毒出現在Flashget資料夾中。

資料分析結果顯示這個問題影響了全球Flashget的使用者。這個檔案被命名為inapp4.exe、inapp5.exe、 inapp6.exe(由卡巴斯基偵測出,並且命名為Trojan-DropperWin32.Agent.exe、 Dropper.Win32Agent.ezxo和 Trojan-Dowloader.Win32.Agent.kht)出現在使用者被感染的電腦中。

FlashGet網站並沒有任何與這個事件有關的資訊,但使用者的討論區卻大量地討論這個議題,儘管開發者並沒有對此有任何表示。

卡巴斯基實驗室分析人員推測,第一波感染事件發生在2月29日。在十多天裡,偽裝合法的程式的木馬,從開發者的位置被下載進入使用者的電腦安裝並執行木馬!

目前木馬程式目前已經從這個網址被移除,另外FGUpdate3.ini(同樣也經由網路下載至使用者電腦的程式)也回到原始的狀態。

卡巴斯基實驗室分析人員表示,顯然這個開發者的網站被駭客以及某個人操控,並取代標準結構的檔案,引導連結至某個木馬的所在位置。比較起以往常見的手法,此事件較為特殊的是,駭客不使用另一個網頁,駭客所利用的手法是增加一個連結在FGUpdate3.ini 檔案,執行FlashGet後,即使使用者並未點擊“Refresh”,FlashGet仍會利用 ini檔案中得到的資訊,每隔一段時間自動下載檔案至使用者的電腦中。這個「弱點」在FlashGet 1.9xx中的版本中就已經被提出。

所以,儘管這個網站不再被駭,使用者同樣難以防範。任何木馬程式都可以透過修改這個本機端的 ini檔案的手法,導致它的運作模式和 Trojan-Downloader 手法相似。而且因為 FlashGet 通常也會被使用者加入到信任的應用程式區域中,導致當有這樣的事件發生時,使用者不會接收到安全防護軟體的警告。

關於卡巴斯基實驗室:

Kaspersky Lab 卡巴斯基實驗室 (www.kaspersky.com.tw) 研發、生產與銷售內容安全管理解決方案以提供其客戶保護不受資訊科技的威脅。卡巴斯基實驗室提供個人家用以及企業網路的病毒、間諜程式、廣告軟體、木馬、蠕蟲、駭客以及垃圾郵件的防禦。多年以來,卡巴斯基實驗室不斷的面對惡意程式的爭戰並且已經取得各項特別的經驗與知識,使得卡巴斯基實驗室成為業界發展內容安全管理的領導者與專家。今日,卡巴斯基實驗室的產品在全球保護著超過兩億個使用者並且將其技術授權給全球許多業界的資訊安全領導廠商。請拜訪卡巴斯基實驗室網站以取得更多的資訊 www.kaspersky.com.tw

新聞稿原文:http://sinwen.com/?p=1630

 

【奕瑞科技提醒】TrojanGet正侵蝕著全球的網路使用者

【台北訊】幾天前我們開始收到從使用者傳來的消息,說道他們的防毒軟體已經察覺木馬病毒出現在 Flashget 資料夾目錄中。

clip_image001

資料分析結果顯示這個問題影響了全球 Flashget 的使用者。這個檔案被命名為inapp4.exe、inapp5.exe、inapp6.exe( 由卡巴斯基防毒軟體偵測出,並且命名為Trojan-DropperWin32.Agent.exe、Dropper.Win32Agent.ezxo和 Trojan-Dowloader.Win32.Agent.kht)出現在使用者被感染的電腦中。

其中最奇怪的地方在於可以被用來入侵這個系統上的木馬程式沒有被偵測出來。一些受到感染的使用者已經完全修補操作系統以及網頁瀏覽器,而惡意程式是如何滲透進他們的電腦的?

首先必須注意的是這隻木馬的所在位置─FlashGet 的資料夾目錄中。仔細地看,除了帶有木馬的檔案之外,其他的皆變成透明,而註有日期的FGUpdate3.ini檔案則已經被新增/更改至最新(與原始檔案不同的地方用藍色標記出來)。

[Add]
fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031

[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%

[inapp4.exe]
url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%

clip_image002

 

非常異常的是,連結到 inapp4.exe ( Trojans 的資料夾)引導至 FlashGet 網站,而這個網站就是從 appA.cab.下載下來的木馬程式。

FlashGet 網站並沒有任何與這個事件有關的資訊,但使用者的討論區卻大量地討論這個議題,儘管開發者並沒有對此有任何表示。

根據這個訊息我們設法從網路上去尋找,發現第一波感染事件在2月29日被偵測到。在上一個我們所知道的感染事件發生在3月9日。在這十天裡,完全合法的程式偽裝木馬的下載程式,從開發者的位置進入使用者的電腦安裝並執行木馬!

木馬程式目前已經從這個網址被移除,另外 FGUpdate3.ini (同樣也經由網路下載至使用者電腦的程式)也回到原始的狀態。

 

FlashGet如何轉變成木馬下載程式?有一個明顯的答案─這個開發者的網站被駭客以及某個人操控,並取代標準結構的檔案夾,引導連結至某個木馬的所在位置。為什麼駭客不使用另一個網頁,或許這是經過深思熟慮的秘密行動,當一個連結至 FlashGet 結構中的資料夾不會喚起猜疑。我們決定去檢查是否它有可能可以使用這個技巧從任何網站下載任何資料夾。這個答案是對的嗎?是的!

你需要的是去增加一個連結(任何可以代表你想要的資料夾)在 FGUpdate3.ini file,接著當你執行 FlashGet 後,每隔一段時間它會自動下載至你的電腦。是否你打上“Refresh”,FlashGet就會利用.ini資料夾中得到的資訊。「弱點」被提出在 FlashGet 1.9xx中的版本中。

所以,儘管這個網站不再被駭,使用者同樣難以防範。任何木馬程式都可以修改這個位置,.ini FlashGet的資料夾,導致它的運作模式和木馬下載程式很相似。它並不值得FlashGet經常將它當成託管應用對待,因此,網路作業活動導致經由申請或請求的網站不會被懷疑,而使用者也不會收到警告。

至今為止,還沒有接到從FlasfGet中國開發者的官方反應,這個事件剩下含糊不清的理由,並沒有保證它不會在度發生。使用者應該感到自由地寫下屬於他們的結局,並衡量他們覺得被竊取的東西。

 

關於卡巴斯基實驗室:

Kaspersky Lab 卡巴斯基實驗室 (www.kaspersky.com.tw) 研發、生產與銷售內容安全管理解決方案以提供其客戶保護不受資訊科技的威脅。卡巴斯基實驗室提供個人家用以及企業網路的病毒、間諜程式、廣告軟體、木馬、蠕蟲、駭客以及垃圾郵件的防禦。多年以來,卡巴斯基實驗室不斷的面對惡意程式的爭戰並且已經取得各項特別的經驗與知識,使得卡巴斯基實驗室成為業界發展內容安全管理的領導者與專家。今日,卡巴斯基實驗室的產品在全球保護著超過兩億個使用者並且將其技術授權給全球許多業界的資訊安全領導廠商。請拜訪卡巴斯基實驗室網站以取得更多的資訊 www.kaspersky.com.tw


新聞稿原文:http://sinwen.com/?p=1627

 

 

延伸閱讀:

如何用Orbit下載YouTube影片?(支援Vlog、土豆網、RapidShare、Flash、MP3下載)

一次下載網頁中的全部音樂、圖檔或影片! (Orbit Downloader)

 

更新:剛剛看到一個聲明文件,給網友們參考:

 

快車、卡巴斯基關於“卡巴斯基稱FlashGet包含病毒”的聯合聲明

針對近日網上流傳的“卡巴斯基稱FlashGet包含病毒”問題,網際快車信息技術有限公司與卡巴斯基(天津)科技有限公司特作出如下聯合聲明:

1、 “卡巴斯基稱FlashGet包含病毒”的新聞並非卡巴斯基官方發布,而是修改了卡巴斯基台灣網站上之前發布過的一篇文章內容。台灣文章的內容來自於卡巴斯基實驗室一位病毒分析師的日誌,分析師在日誌中所述的情況,有可能是用戶的電腦本身中了病毒,將病毒文件拷貝至FlashGet的安裝目錄下,並且修改了FlashGet的更新配置文件,從而可能會產生自動下載帶毒文件的情況,並未指明FlashGet程序文件本身含有病毒。

2、卡巴斯基實驗室分析師在原文中並未建議用戶不應將FlashGet做為日常應用軟件,目前卡巴斯基中國技術支持中心也尚未接到關於此類問題的用戶反饋。

3、FlashGet(快車)是世界範圍內影響廣泛的一款國產軟件,一直都是業界公認安全、穩定的下載工具。到目前為止,卡巴斯基確定快車(FlashGet)軟件本身安全無毒,用戶可以放心使用。

4、卡巴斯基和FlashGet提醒廣大用戶注意互聯網安全,在獲取互聯網資源的同時,要保證開啟反病毒軟件的實時保護和主動防禦功能,並定期更新反病毒數據庫,以增強對新病毒的防禦能力。

特此聲明!

卡巴斯基(天津)科技有限公司
網際快車信息技術有限公司
2008年3月21日

原文網址:
http://www.kaspersky.com.cn/KL-AboutUs/news2008/03n/080321.htm

最後更新:10-04, 2013 下午 5:19

kjbrian

Author: 不來恩

briiancom@gmail.com

相關資訊

訪客留言:

22 Replies to “【卡巴斯基】警告:FlashGet 可能自動下載木馬病毒”

  1. 今天打開電腦 防毒軟體NOD32就掃到了文中提及的病毒

    “Trojan-Dowloader.Win32.Agent.kht” orz

    後來二話不說 立刻刪了FlashGet 不敢再使用了

  2. >…續傳軟體帶給伺服器的負擔…
    3.Server Manager是可以解決這個問題的,要嘛關閉續傳功能,要嘛限制單一IP的連線數。

  3. 1.FlashGet還是大陸的軟體嗎? 不是已經被某公司買下原始碼了??
    2.我用了FlashGet好幾個月沒有這個問題,不過我有把FlashGet的自動更新關掉。
    我猜應該是因為FlashGet的更新伺服器被入侵,然後伺服器上的FlashGet被放上
    有問題的版本,因此自動更新然後安裝以後就會中獎。因此倘若伺服器沒有管理好,
    類似的問題在其他軟體(甚至硬體(by firmware))都有可能會發生。

  4. Flashget是我幾年前用的東西…
    當初其實就有安全性這問題了.

    說實在的, 我從來不推薦任何人下載類似Flashget的續傳軟體.
    一來是因為很多人根本不知道續傳軟體帶給伺服器的負擔,
    這是我後來跟一些架伺服器的人學到的.
    不過很可惜, 又有多少人在意呢. 損失的總是架設的人.
    最後要就是伺服器翹掉不然就是關閉下載(這也是為何很多下載點死的特別快).
    所以如果能不用續傳軟體盡量不要用… 因為真的很傷伺服器.
    因為續傳軟體說穿了就是搶走別人的下載管道讓別人變慢字己變快.
    加上你的方便相對也帶給別人負擔.

    在來就是Flashget的安全性. Flashget讓大家免費下載,
    那他們賺什? Flashget在很早已前就已經被人看穿程式理多放了一些”特別檔案”.
    至於偷取個人資料? 這我不清楚, 不過肯定的是,
    一定有廣告檔案之類在你的電腦裡散撥.

    總之這種軟體都不安全.

  5. 我也是flash被卡巴跟小紅傘同樣都掃到病毒以後放棄他轉投Orbit的~用起來跟flash差不多~相當不錯~愛用至今~

  6. 嗯嗯~可以理解~
    前幾天才聽前輩說flashget會自己把所有的使用者下載清單資料全部傳回公司去~
    (中共的陰謀!?)

  7. 其實可以耶,我不是直接貼上網址在Orbit下載的,而是

    1.先開啟Orbit的 Grab++,
    2.開啟NBA網頁,讓他讀影片,
    3.Grab++ 抓到真實影音檔的網址,
    4.透過 Grab++ 跟Orbit下載影片內容

    譬如說下面這個網頁的影片,
    http://broadband.nba.com/cc/playa.php?content=video&url=http://boss.streamos.com/wmedia/nba/nbacom/top10s_specialties/best_of_2007/top10_rockets_streak_080317.asx&video=blank&nbasite=nba

    我可以透過Orbit下載到20幾MB的檔案。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *