不知多少人跟小編一樣有使用韓國多媒體播放軟件 - KMPlayer,近日台灣行政院資通安全辦公室指它進行更新時,可能會下載惡意程式影響用戶電腦安全。
近日 KMPlayer 被檢測到出現更新到 3.6.0.87 版本訊息時,將連線至 http://cdn.kmplayer.com/player/update 下載偽冒更新程式 (KMP_3.7.0.87.exe),用家執行偽冒更新程式後,KMPlayer 的版本不單不會更新,更會植入惡意程式對用戶電腦進行側錄鍵盤、連線中繼站等惡意行為。資通安全辦公室建議用家若曾使用 KMPlayer 自動更新功能下載新版軟件,可檢查主機是否存有特定惡意檔案,發現惡意檔案可自行刪除或可透過防毒軟件進行全機電腦掃描,免受惡意程式影響。資安辦公室目前已透過國家電腦事件處理中心 (TWNCert) 向韓國 KrCert 與 KMPlayer 公司提出軟體更新異常狀況,希望 KMPlayer 公司能儘快說明。
執行偽冒更新程式後,惡意程式將植入以下資料夾 (預設隱藏):
Windows XP
C:\Documents and Settings\All Users\OleView\ACLUI.DLL
C:\Documents and Settings\All Users\OleView\ACLUI.DLL.UI
C:\Documents and Settings\All Users\OleView\OleView.exe
Windows 7
C:\ProgramData\OleView\ACLUI.DLL
C:\ProgramData\OleView\ACLUI.DLL.UI
C:\ProgramData\OleView\OleView.exe
目前已知受感染電腦會連線以下中繼站:
-pen.abacocafe.com
-pens.abacocafe.com
-cdn.abacocafe.com
-vpen.abacocafe.com