真是倒霉啊!老人昨天下午上網時,突然發現在 google 首頁左上角有一個怪怪的小黑點,只有用 firefox 才看的到,ie 看不到它,而且發現狀態列竟然在跑一個奇怪的網址 aaa.369678.cn 及 48.db.51.1a,雖然很快的就發現狀況不妙,但是已為時已晚,才短短不到 15 秒的時間,老人知道自己的 IBM T43(2668-O2V) 已經中毒被駭了~而且接著整個網段的電腦也跟著都掛了~不是「慘烈」所可以形容的。

最後發現原因是出在一封大陸的信件,原來是副總剛從大陸回來,請同事幫他收信~結果當其中一封信開啟後,就是災難的開始囉;共計受到的電腦有五部,最後因為都無法完全根治毒源,所以都只好重灌了。還好我自己用的電腦都有 .gho 的備份檔,可以很快還原系統的基本環境;不過有兩次才剛還原就立刻中毒,就像是以前快速散播的「疾風」,但卻又比它更麻煩,所以花了一番功夫才搞定所有的電腦。

話說回來,這次中毒怎麼會這麼嚴重呢?我也覺得很驚訝,其實老人平常很重視系統的安全性,但最後卻因為「人為因素」受到波及;這次的中毒被駭事件,實在也搞不清楚是到底中了多少隻毒,連 KAV,AVS,AVG Pro,AVG Spyware,AntiVir,Ad-Aware 等都束手無策。而且也查過註冊檔、系統程序、安全模式...經過兩三個小時的檢測,老人所有的絕招都用光的情況下,最後只好向「一堆毒物」投降。

事件概要:
  • 只要開網頁,無論是哪一種瀏覽器、哪一首頁,網頁的原始碼中都直接被植入 [iframe src='hxxp://aaa.369678.cn/ppp.htm' width=0 height=0][/iframe]
  • 左上角有一個怪怪的小黑點,但只有用 firefox 才看的到,ie 看不到它;狀態列會連接網址 aaa.369678.cn 及 48.db.51.1a
  • 連到 aaa.369678.cn 後,就有一堆東西不斷的被下載產生,諸如 jsp, js, asp, exe, htm 等不斷在 Temporary Internet Files 被生成。
  • 多種防毒防駭工具都無效,而且每部電腦的情況都有一點不同,真是難以形容~
  • 上網找 aaa.369678.cn,可以找到一些相關的舊資料,以這些資料來看,只是低風險、很容易解決的東西;實在不像是這次落難的情況~

ezpost 發表在 痞客邦 PIXNET 留言(0) 人氣()