各位區縣市網路中心的老師及先進 您好： 本單位接獲教育部轉達國家資通安全會報技術服務中心之漏洞/資安訊息警訊， 煩請各區縣市網路中心協助將此警訊於各單位公告區進行公告，以利該警訊之傳遞。 祝 順心如意 ======================================================== 張明達 Robin Chang E-mail: rcmd@cert.tanet.edu.tw Tel:+886-7-5250211 VOIP：98400010 臺灣學術網路危機處理中心 Taiwan Academic Network Computer Emergency Response Team From: tso0815 [mailto:tso0815@mail.moe.gov.tw] Sent: Wednesday, August 7, 2013 9:36 AM To: rcmd Cc: 王東琪; 何永欣; 林瑞龍gmail; 左寧生 Subject: Fw: [資安訊息警訊] 國家資通安全會報技術服務中心（事件編號：ICST-ANA-2013-0018) Importance: High 國家資通安全會報技術服務中心漏洞/資安訊息警訊,請TACERT轉知各區網中心及縣巿網路中心,要求所管轄之學校參照建議措施辦理 -----Forwarded message----- From:國家資通安全會報技術服務中心 To:ncert Subject: [資安訊息警訊] 國家資通安全會報技術服務中心（事件編號：ICST-ANA-2013-0018) 國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 發布編號 ICST-ANA-2013-0018 發布時間 Tue Aug 06 17:16:06 CST 2013 事件類型 攻擊活動預警 發現時間 Tue Aug 06 00:00:00 CST 2013 警訊名稱 播放軟體KMPlayer更新機制異常，請各單位注意並提高警覺 內容說明 技服中心接獲外部情資，播放軟體KMPlayer更新機制異常，駭客疑似透過播放軟體KMPlayer更新機制散播惡意程式。 KMPlayer執行後，若出現版本3.7.0.87更新訊息，將連線至http://cdn.kmplayer.com/player/update下載偽冒更新程式(KMP_3.7.0.87.exe)。 偽冒更新程式執行後，並不會變更原KMPlayer版本，但將植入惡意程式於下述資料夾(預設隱藏)： Windows XP C:\Documents and Settings\All Users\OleView\ACLUI.DLL C:\Documents and Settings\All Users\OleView\ACLUI.DLL.UI C:\Documents and Settings\All Users\OleView\OleView.exe Windows 7 C:\ProgramData\OleView\ACLUI.DLL C:\ProgramData\OleView\ACLUI.DLL.UI C:\ProgramData\OleView\OleView.exe 目前已知受感染電腦會連線以下中繼站: -pen.abacocafe.com -pens.abacocafe.com -cdn.abacocafe.com -vpen.abacocafe.com KMPlayer源自韓國的一套播放軟體，最新版本為3.6.0.87，支援各種常見的影音檔播放，且內建多國語系，由於使用情況相當普遍，影響範圍與衝擊不容小覷。請各機關立即清查機關內是否有連線上述中繼站的行為，若發現中繼站連線或異常行為，請立即至通報應變網站（https://www.ncert.nat.gov.tw）進行資安事故通報。 影響平台 所有KMPlayer 影響等級 高 建議措施 1.若發現上述惡意程式，請盡速刪除，或可透過下述防毒軟體進行偵測： (1)OfficeScan(趨勢科技) 病毒碼版次：CPR 10.200.01 (2)SmartScan(趨勢科技) 病毒碼版次：TBL 13436.002.00 (3)Avira 病毒碼版次：7.11.94.64 2.更新播放軟體KMPlayer時，注意更新版次是否與官網相符(目前官方最新版本為3.6.0.87)。 3.此攻擊事故已通知韓國相關單位，目前尚未接獲進一步處理說明，建議暫時停用多媒體播放軟體KMPlayer，改用其他播放軟體。 參考資料 無 此類通告發送對象為通報應變網站登記之資安聯絡人。若貴 單位之資安聯絡人有變更，可逕自登入通報應變網站（https://www.ncert.nat.gov.tw）進行修改。若您仍為貴單位之資安聯絡人但非本事件之處理人員，請協助將此通告告知相關處理人員。 如果您對此通告的內容有疑問或有關於此事件的建議，請勿直接回覆此信件，請以下述聯絡資訊與我們連絡。國家資通安全會報 技術服務中心 (http://www.icst.org.tw/) 地 址： 台北市富陽街116號 聯絡電話： 02-27339922 傳真電話： 02-27331655 電子郵件信箱： service@icst.org.tw ===================================== 教育部資訊及科技教育司 網路及資通安全科 左寧生 Ning-Sheng Tzuo TEL:02-7712-9082 FAX：(02)2737-7043 E-mail：tso0815@mail.moe.gov.tw 地 址：106臺北市和平東路二段106號12樓 ===================================== -------------------------------------------------------------------------------- 未在此訊息中找到病毒。 已透過 AVG 檢查 - www.avg.com 版本: 2012.0.2242 / 病毒庫: 3209/6057 - 發佈日期: 08/06/13