2008年10月24日 星期五

攻擊微軟最新漏洞的 TSPY_GIMMIV.A 會竊取個人資訊

反應: 
【2008 年 10 月 24 日台北訊】針對微軟今日發佈的「MS08-067伺服器服務中的弱點可能允許遠端程式碼執行重大弱點」修正程式通知,目前已經出現了第一隻針對該弱點攻擊用戶端的木馬間諜程式 TSPY_GIMMIV.A,該惡意程式會竊取使用者帳號密碼、系統資訊,並可能造成相關資安程式無法執行。趨勢科技預測短時間內將有更多的變種產生,請用戶及早更新更新MS08-067 修正程式。趨勢科技用戶請更新病毒碼5.615.00即可偵測此病毒以及啟用WRS網頁信譽評等以攔截惡意網址。

惡意程式現身網站
趨勢科技在9個網站發現了該惡意程式,如下:
http://{BLOCKED}.{BLOCKED}.145.58/n1.exe
http://{BLOCKED}.{BLOCKED}.145.58/n2.exe
http://{BLOCKED}.{BLOCKED}.145.58/n3.exe
http://{BLOCKED}.{BLOCKED}.145.58/n4.exe
http://{BLOCKED}.{BLOCKED}.145.58/n5.exe
http://{BLOCKED}.{BLOCKED}.145.58/n6.exe
http://{BLOCKED}.{BLOCKED}.145.58/n7.exe
http://{BLOCKED}.{BLOCKED}.145.58/n8.exe
http://{BLOCKED}.{BLOCKED}.145.58/n9.exe


感染系統後,病毒會產生一個檔案(即為 TSPY_GIMMIV.A)在下述路徑:%System%\wbem\sysmgr.dll

病毒行為
開機自動執行:病毒會修改下列機碼,以便每次開機皆可執行HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysmgr
Type = 110
Start = 2
ErrorControl = 0
ImagePath = %System%\svchost.exe -k sysmgr
DisplayName = "Windows NT Baseline"
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
sysmgr = "{Random HEX values}"

自動下載惡意檔案:
病毒會持續至下列網站下載病毒檔案,同樣偵測為TSPY_GIMMIV.A
http://{BLOCKED}dy.t35.com/icon.php
http://{BLOCKED}ra.atzend.com/icon.php
http://{BLOCKED}time.1gokurimu.com/icon.php

下載的檔案會儲存再下列路徑
%System%\wbem\basesvc.dll
%System%\wbem\syicon.dll
%System%\wbem\winbase.dll
同時病毒會下載下列檔案,但這些檔案為正常檔案
%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\winUpdate.exe
%User Profile%\Local Settings\Temp\cmd.exe

竊取資訊:病毒竊取下列資訊
  • 防毒軟體相關資訊
  • Outlook Express Credential Information
  • Protected Storage Information
  • 系統資訊
  • 個人帳號和密碼
  • 病毒會將竊取的資訊加密後儲存至%System%\esobs.dat
  • 將資料傳送至http://{BLOCKED}.{BLOCKED}.145.58/test2.php


安全防護軟體無法運行:
該病毒會搜尋並刪除下列機碼,造成相關資安程式或防毒軟體無法運行
  • avp.exe
  • SOFTWARE\BitDefender
  • SOFTWARE\Jiangmin
  • SOFTWARE\KasperskyLab
  • SOFTWARE\Kingsoft
  • SOFTWARE\Microsoft\OneCare Protection
  • SOFTWARE\Symantec\PatchInst\NIS
  • SOFTWARE\TrendMicro
  • SOFTWARE\rising



建議事項
1.儘速更新MS08-067
2.趨勢科技用戶請更新至最新病毒碼5.615.00,以及啟用WRS網頁信譽評等以攔截惡意網址
3.非趨勢科技用戶,請使用WTP Add-On(Web Threat Protection)免費防禦工具, http://www.trendmicro.com.tw/wtp/

trendmicro

2008年10月6日 星期一

Green IT 微軟推動軟體減碳

反應: 

台灣微軟營運暨行銷事業處副總陳宣霈昨天表示:「綠色競爭力」已成為衡量企業價值的另類重要指標,根據調查,有五成的廠商進行IT採購時,會把環保當作選擇供應商的重要條件。估計未來12年間,環保化IT將可為全球企業節省高達8,000億美金的成本。

而綠色節能不只是硬體的責任,透過軟體整合現有資源,以最低成本,讓硬體在綠色概念下產生最大效能,同樣重要。
微軟昨天啟動Green IT計畫,提出透過軟體發揮「最佳電源化管理」、「無紙化高效能辦公室」、「遠距會議減少碳足跡」及「伺服器的集中節能」等四大主張。
微軟主管昨天表示,以Windows Vista 簡單的「休眠」、「睡眠」電源管理功能為例,只要一個小動作,就能依使用者的工作習慣,透過電腦省電節費。以擁有200台電腦的企業來計算,一年就可省下電費達36.67萬元,減少排放44噸二氧化碳。

另外大家提到企業IT節能,直覺就會想到從硬體伺服器著手。微軟大中華區營運總監林偉華表示,如果無法透過軟體整合所有資源,硬體能夠做到的其實不如想像的多。
他舉微軟北京和上海實驗室整合的實際案子為例,在虛擬化整合前,需要1,955台實體機器,消耗1,075千瓦電力;但在落實軟體虛擬化後,實體伺服器降低到只需要149 台,消耗的電力也只剩下110千瓦,大約是原本的十分之一。
進一步換算,等於可省下27平方公尺的機房空間、超過135萬美元電費,並減少6,571噸二氧化碳排放,效益相當驚人。

參考資料:【2008/09/03 經濟日報】