資料來源
事情的始末在資安界人士的眼中看起來是非常誇張的,因此在看到艾克索夫報導此事以後筆者也跟進了。
故事是這樣開始的...
有一天呢,路人甲在瀏覽水果報首頁的時候,看到了上面的 AdMax 廣告影音,同時瀏覽器也出現了建議安裝 ActiveX 元件的提示。還特別註明了:”安裝後請重新開機,以提升網路效能” 的字句。


安裝後,畫面竟然閃了一下!?接下來,路人甲的系統槽的驅動程式目錄也多了一個檔案 system32\drivers\TCPIP.SYS.ORIGINAL。
經過路人甲檢查以後,才發現這個元件做了幾件事。原本使用者只是以為安裝一個單純只是優化讀取影音廣告的元件。
沒想到它夾藏了 EvID4226Patch 的TCP半開連線數的修改程式。而且當初的畫面一閃,就是代你點到畫面警告的確認窗。在安裝元件同時,意圖隱瞞且規避需使用者允許、確認的動作,把驅動程式給改掉了。


這真的是很過頭的事。
OK,WindowsXP 在 SP2 之所以刻意的將 TCP sessions 降低在 10 ,就是要防避類似 SP1 時 疾風事件 的大規模蠕蟲攻擊事件重新上演。而很多人因為使用 P2P 軟體的關係,在 SP2 的限制下需要優化下載速度,所以也會安裝這個可修改 TCP sessions 數的補丁。但修改 session 數這件事往往是出於自己意志的行為,很多人在做修改之前,就也知道將會帶來的風險。
可是這次的事件卻不一樣,這個動作完全是刻意忽略使用者知的權利然後竄改檔案,將用戶置於未知的風險下。廠商的說法卻也僅僅只是重申這個動作,僅為了提高大量下載的效率。卻完全規避了將帶來的風險…
實在太誇張了。
This work is licensed under a Creative Commons Attribution-Share Alike 2.5 Taiwan License. [本文採 cc-by-sa 授權,白話意思就是可以直接轉走,但是要附出處與作者)]
【以下是為相關報導】
[艾克索夫年度獨家] 毒蘋果自作聰明亂改系統驅動程式
VirusTotal對此惡意插件的掃瞄報告
