来源:卡巴司机官网 http://www.kaspersky.com.tw/KL-AboutUs/News2008/03n/0317.htm 【台北讯】几天前我们开始收到从使用者传来的消息，说道他们的防毒软体已经察觉木马 病毒出现在 Flashget 资料夹目录中。 资料分析结果显示这个问题影响了全球 Flashget 的使用者。这个档案被命名为 inapp4.exe、inapp5.exe、inapp6.exe( 由卡巴斯基防毒软体侦测出，并且命名为 Trojan-DropperWin32.Agent.exe、Dropper.Win32Agent.ezxo和 Trojan-Dowloader.Win32.Agent.kht)出现在使用者被感染的电脑中。 其中最奇怪的地方在於可以被用来入侵这个系统上的木马程式没有被侦测出来。一些受到 感染的使用者已经完全修补操作系统以及网页浏览器，而恶意程式是如何渗透进他们的电 脑的？ 首先必须注意的是这只木马的所在位置─FlashGet 的资料夹目录中。仔细地看，除了带 有木马的档案之外，其他的皆变成透明，而注有日期的FGUpdate3.ini档案则已经被新增/ 更改至最新(与原始档案不同的地方用蓝色标记出来)。 [Add] fgres1.ini=1.0.0.1035 FlashGet_LOGO.gif=1.0.0.1020 inapp4.exe=1.0.0.1031 [AddEx] [fgres1.ini] url=hp://dl.flashget.com/flashget/fgres1.cab flag=16 path=%product% [FlashGet_LOGO.gif] url=hp://dl.flashget.com/flashget/FlashGet_LOGO.cab flag=16 path=%product% [inapp4.exe] url=hp://dl.flashget.com/flashget/appA.cab flag=2 path=%product% 非常异常的是，连结到 inapp4.exe ( Trojans 的资料夹)引导至 FlashGet 网站，而这 个网站就是从 appA.cab.下载下来的木马程式。 FlashGet 网站并没有任何与这个事件有关的资讯，但使用者的讨论区却大量地讨论这个 议题，尽管开发者并没有对此有任何表示。 根据这个讯息我们设法从网路上去寻找，发现第一波感染事件在2月29日被侦测到。在上 一个我们所知道的感染事件发生在3月9日。在这十天里，完全合法的程式伪装木马的下载 程式，从开发者的位置进入使用者的电脑安装并执行木马！ 木马程式目前已经从这个网址被移除，另外 FGUpdate3.ini (同样也经由网路下载至使用 者电脑的程式)也回到原始的状态。 FlashGet如何转变成木马下载程式？有一个明显的答案─这个开发者的网站被骇客以及某 个人操控，并取代标准结构的档案夹，引导连结至某个木马的所在位置。为什麽骇客不使 用另一个网页，或许这是经过深思熟虑的秘密行动，当一个连结至 FlashGet 结构中的资 料夹不会唤起猜疑。我们决定去检查是否它有可能可以使用这个技巧从任何网站下载任何 资料夹。这个答案是对的吗？是的！ 你需要的是去增加一个连结(任何可以代表你想要的资料夹)在 FGUpdate3.ini file，接 着当你执行 FlashGet 後，每隔一段时间它会自动下载至你的电脑。是否你打上“ Refresh”，FlashGet就会利用.ini资料夹中得到的资讯。「弱点」被提出在 FlashGet 1.9xx中的版本中。 所以，尽管这个网站不再被骇，使用者同样难以防范。任何木马程式都可以修改这个位置 ，.ini FlashGet的资料夹，导致它的运作模式和木马下载程式很相似。它并不值得 FlashGet经常将它当成托管应用对待，因此，网路作业活动导致经由申请或请求的网站不 会被怀疑，而使用者也不会收到警告。 至今为止，还没有接到从FlasfGet中国开发者的官方反应，这个事件剩下含糊不清的理由 ，并没有保证它不会在度发生。使用者应该感到自由地写下属於他们的结局，并衡量他们 觉得被窃取的东西。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 202.132.219.238