< 病毒警訊 > 播放軟體 KMPlayer更新機制異常,原來是BKDR_PLUGX 後門程式在搞鬼

趨勢科技發佈病毒警訊通知:BKDR_PLUGX。


attack

國家資通安全會報 技術服務中心於日前發布”播放軟體 KMPlayer更新機制異常”的資安通報。趨勢科技確認此為 BKDR_PLUGX家族系列之變種惡意後門程式,已於2013年8月6日星期二釋出病毒碼保護趨勢科技產品使用者。BKDR_PLUGX 為常見的惡意程式家族系列,主要具備後門程式功能以利駭客執行遠端遙控受害者電腦的行為。

依據國家資通安全應變網站所發佈之攻擊活動預警通報內容,該批 PLUGX 惡意後門程式疑似藉由 KMPlayer 影音播放程式之更新機制散佈。相關資訊請參考下列網址:

http://www.icst.org.tw/NewInfoDetail.aspx?seq=1414&lang=zh
https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018

趨勢科技已可偵測此波攻擊事件中之惡意程式。
病毒名稱:BKDR_PLUGX.ZZXX
相關惡意程式檔名:KMP_3.7.0.87.exe、ACLUI.DLL、ACLUI.DLL.UI。

病毒技術細節與惡意行為:
PLUGX 病毒家族在受感染系統中,不須經由使用者授權即可接受駭客命令進行惡意行為或竊取資料,例如:

  • 複製、新增、修改、開啟檔案;
  • 竊取使用者帳號密碼;
  • 重新啟動作業系統並以不同帳號登入;
  • 新增、修改、刪除機碼值;
  • 截取螢幕畫面或影片以蒐集使用者行為資料;
  • 連線至外部網站;
  • 終止作業程序。

PLUGX 並可讓駭客取得系統最高權限。

播放軟體 KMPlayer更新機制異常,原來是後門程式在搞鬼

此波攻擊事件中的 PLUGX 會植入惡意程式 ACLUI.DLL、ACLUI.DLL.UI,
並會連線至以下中繼站:

-pen.abacocafe.com
-pens.abacocafe.com
-cdn.abacocafe.com
-vpen.abacocafe.com

關於 PLUGX 病毒相關資訊可參考以下網址:
http://about-threats.trendmicro.com/Malware.aspx?
id=60322&name=BKDR_PLUGX&language=tw

http://about-threats.trendmicro.com/RelatedThreats.aspx?
id=112&name=Pulling%20the%20Plug%20on%20PlugX&language=tw

解決方案:
趨勢科技建議用戶將病毒碼更新至10.199.00,以阻止該病毒傳播和感染。