< 病毒警訊 > 播放軟體 KMPlayer更新機制異常,原來是BKDR_PLUGX 後門程式在搞鬼

趨勢科技發佈病毒警訊通知：BKDR_PLUGX。

國家資通安全會報 技術服務中心於日前發布”播放軟體 KMPlayer更新機制異常”的資安通報。趨勢科技確認此為 BKDR_PLUGX家族系列之變種惡意後門程式，已於2013年8月6日星期二釋出病毒碼保護趨勢科技產品使用者。BKDR_PLUGX 為常見的惡意程式家族系列，主要具備後門程式功能以利駭客執行遠端遙控受害者電腦的行為。

依據國家資通安全應變網站所發佈之攻擊活動預警通報內容，該批 PLUGX 惡意後門程式疑似藉由 KMPlayer 影音播放程式之更新機制散佈。相關資訊請參考下列網址：

https://www.icst.org.tw/NewInfoDetail.aspx?seq=1414&lang=zh
https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018

趨勢科技已可偵測此波攻擊事件中之惡意程式。
病毒名稱：BKDR_PLUGX.ZZXX
相關惡意程式檔名：KMP_3.7.0.87.exe、ACLUI.DLL、ACLUI.DLL.UI。

病毒技術細節與惡意行為：
PLUGX 病毒家族在受感染系統中，不須經由使用者授權即可接受駭客命令進行惡意行為或竊取資料，例如：

• 複製、新增、修改、開啟檔案；
• 竊取使用者帳號密碼；
• 重新啟動作業系統並以不同帳號登入；
• 新增、修改、刪除機碼值；
• 截取螢幕畫面或影片以蒐集使用者行為資料；
• 連線至外部網站；
• 終止作業程序。

PLUGX 並可讓駭客取得系統最高權限。

此波攻擊事件中的 PLUGX 會植入惡意程式 ACLUI.DLL、ACLUI.DLL.UI，
並會連線至以下中繼站：

-pen.abacocafe.com
-pens.abacocafe.com
-cdn.abacocafe.com
-vpen.abacocafe.com

關於 PLUGX 病毒相關資訊可參考以下網址：
https://about-threats.trendmicro.com/Malware.aspx?
id=60322&name=BKDR_PLUGX&language=tw
https://about-threats.trendmicro.com/RelatedThreats.aspx?
id=112&name=Pulling%20the%20Plug%20on%20PlugX&language=tw

解決方案：
趨勢科技建議用戶將病毒碼更新至10.199.00，以阻止該病毒傳播和感染。