韓國KMPlayer更新瑕疵 惡意程式恐入侵台灣

鉅亨網 – 2013年8月7日
行政院資通安全辦公室今(7)日表示，近期接獲外部情資，多媒體播放軟體KMPlayer於進行軟體更新時，可能會下載惡意程式，影響用戶電腦安全，目前已透過國家電腦事件處理中心(TWNCert)向韓國KrCert 與KMPlayer公司提出軟體更新異常狀況，希望KMPlayer公司能儘快說明。行政院資通安全辦公室指出，KMPlayer是源自韓國的一套多媒體 播放軟體，內建多國語系且支援各種常見的影音檔播放，因此深獲國人普遍使用，但檢測KMPlayer軟體更新行為，發現KMPlayer會連線至韓國伺服 器下載新版程式，部分IP使用者可能因不明原因下載到惡意程式，執行後會對用戶電腦進行側錄鍵盤、連線中繼站等惡意行為。資通安全辦公室建議，民眾若曾使 用KMPlayer自動更新功能下載新版軟體，可檢查主機是否存有特定惡意檔案，發現惡意檔案可逕行刪除，或可透過防毒軟體進行全機電腦掃描，避免受到惡 意程式的影響。



行政院資通安全辦公室進一步指出，觀察最近南韓重大資安事故案件，政府機關與民間單位皆常遭受組織型駭客入侵，並遭駭客透過軟體更新方式滲透一般用戶電腦 主機，藉此再發起影響層面更大的DDoS攻擊行為，例如近期南韓政府網站遭攻擊事故，都是經由此一手法進行。此外，行政院資通安全辦公室分析近期駭客攻擊 手法，駭客多利用具發行者簽章的合法程式，來呼叫惡意指令並執行攻擊行為，藉以規避各種檢測機制，顯示駭客攻擊模式已更縝密細緻。為避免我國民眾成為駭客 用來攻擊他人的跳板，建議民眾應加強網路與資訊安全意識，避免安裝或執行來路不明的軟體，以免遭受駭客掌控，成為網路攻擊行為的幫兇。詳細資訊可至行政院 國家資通安全會報技術服務中心網站查詢。



檢查自身版本號應為：
3.6.0.87
不正常的版本號
3.7.0.87

產生如下目前已知的路徑和檔案：

XP版本：
C:\Documents and Settings\All Users\OleView\ACLUI.DLL //不正常路徑
C:\Documents and Settings\All Users\OleView\ACLUI.DLL.UI
C:\Documents and Settings\All Users\OleView\OleView.exe
C:\Users\使用者名稱\Desktop\kb亂數.exe //不正常文件

WIN7：
C:\ProgramData\OleView\ACLUI.DLL //不正常路徑
C:\ProgramData\OleView\ACLUI.DLL.UI
C:\ProgramData\OleView\OleView.exe
C:\Users\使用者名稱\Desktop\kb亂數.exe //不正常文件

我拿到的病毒母體樣本，上傳virustotal� ��描結果如下：
[External URL submitted by user - Login required]

因母體可能亂數產生的，故MD5碼不同�� �所以該掃描報告僅供參考
貌似一個未知殼，不知道裡面的CODE有� ��。

電腦將會產生的網路行為：

將透過您電腦的80端口去遠端以下網域 它們的443端口
hxxp://pen.abacocafe.com
hxxp://pens.abacocafe.com
206.137.17.89

解決方式：
移除KMP播放器，進行殺軟全機掃毒。
常見的紅傘、AVAST、卡巴、熊貓、咖啡 、NOD32的殺軟均可進行查殺。
或根據目前已知的路徑去進行文件的�� �除。
假如沒有更新的人還在停留舊版本一切都是安全名單之下.