起因
批踢踢實業坊的YuKaiLuo在2013/12/07發文:[問題] 火狐社群網站的安裝程式是被加料嗎?
文中提到,從Moztw.org下載的火狐安裝程式被卡巴斯基封鎖,後來發現安裝程式與ftp://ftp.mozilla.org/上的安裝程式檔案大小不符,因此懷疑Moztw.org上的安裝程式遭到加料。之後網友發現Moztw.org下載連結的網域有異而回報至Moztw社群,經社群成員證實Moztw.org網站遭駭。
後續
Moztw.org發布的資安公告指出,受影響者範圍為2013/12/3至2013/12/7中午在Moztw.org下載Windows版的使用者以及討論區全體會員,補救措施有二:
- 這段期間下載Windows版的Firefox使用者,使用社群成員Carl所提供的清理程式,將後門程式所產生的檔案清除。
- 為求安全起見,雖然Moztw.org社群網站的資料庫中並未留存明碼密碼,但即日起仍將強制要求討論區會員修改密碼
清理程式
檔案載點:http://forum.moztw.org/download/file.php?id=12536
分流載點:https://mega.co.nz/#!pJp1kC4Q!OmJs1kQhT6xvcm4HMNDaBBET5KsXrvoYPCBgLH7b7hI
使用說明:
- 根據使用者的Windows作業系統版本不同
- Windows XP 使用者,請點 xpfix-tw.bat
- Windows 7 以上使用者,請點 win7fix.bat
- 執行完程式,若無受後門程式破壞則會顯示
- 由社群成員Carl 與小喵協力提供的批次檔主要做了這些事
- 停止運作中的 FrameWork.exe 及 MainEv
- 刪除使用者個人資料夾中暫存檔區的所有 .dll、.exe、.log、.xml 檔
- 刪除使用者個人資料夾中一個不應存在之資料夾 SystemLogin
- 修改該惡意程式調整過的登錄碼值
- 由於本清理檔由Windows batch所寫成,可直接以記事本開啟檢視檔案內容
錯誤: 找不到處理程序 "FrameWork.exe"。
系統找不到指定的檔案。
本著作依據Creative Commons 姓名標示-非商業性-相同方式分享授權條款釋出
內容如有錯誤 煩請不吝指教
留言