網路城邦
回本城市首頁 騎鱉饅頭
市長:騎鱉a饅頭  副市長:
加入本城市推薦本城市加入我的最愛訂閱最新文章
udn城市不分類不分類【騎鱉饅頭】城市/討論區/
討論區♤防毒 防駭♤ 字體:
上一個討論主題 回文章列表 下一個討論主題
【資訊】壹蘋果影音廣告竄改系統驅動程式
 瀏覽642|回應0推薦0

cat1314520
等級:
留言加入好友

資料來源

事情的始末在資安界人士的眼中看起來是非常誇張的,因此在看到艾克索夫報導此事以後筆者也跟進了。

故事是這樣開始的...

有一天呢,路人甲在瀏覽水果報首頁的時候,看到了上面的 AdMax 廣告影音,同時瀏覽器也出現了建議安裝 ActiveX 元件的提示。還特別註明了:”安裝後請重新開機,以提升網路效能” 的字句。

apple_main

apple_main2

安裝後,畫面竟然閃了一下!?接下來,路人甲的系統槽的驅動程式目錄也多了一個檔案 system32\drivers\TCPIP.SYS.ORIGINAL。

經過路人甲檢查以後,才發現這個元件做了幾件事。原本使用者只是以為安裝一個單純只是優化讀取影音廣告的元件。

沒想到它夾藏了 EvID4226Patch 的TCP半開連線數的修改程式。而且當初的畫面一閃,就是代你點到畫面警告的確認窗。在安裝元件同時,意圖隱瞞且規避需使用者允許、確認的動作,把驅動程式給改掉了。

apple_main3
tcp_half

這真的是很過頭的事。

OK,WindowsXP 在 SP2 之所以刻意的將 TCP sessions 降低在 10 ,就是要防避類似 SP1 時 疾風事件 的大規模蠕蟲攻擊事件重新上演。而很多人因為使用 P2P 軟體的關係,在 SP2 的限制下需要優化下載速度,所以也會安裝這個可修改 TCP sessions 數的補丁。但修改 session 數這件事往往是出於自己意志的行為,很多人在做修改之前,就也知道將會帶來的風險。

可是這次的事件卻不一樣,這個動作完全是刻意忽略使用者知的權利然後竄改檔案,將用戶置於未知的風險下。廠商的說法卻也僅僅只是重申這個動作,僅為了提高大量下載的效率。卻完全規避了將帶來的風險…

實在太誇張了。


回應 回應給此人 推薦文章 列印 加入我的文摘

引用
引用網址:https://city.udn.com/forum/trackback.jsp?no=58159&aid=2545830