Re: [求救] LOL被植入木馬該如何處理

作者: deepdish (Keep The Faith)   2015-01-14 00:29:51
參考這篇文章
https://www.ptt.cc/bbs/LoL/M.1420851966.A.CA7.html
根據玩家和資安專家影片講解
先檢查電腦有沒有這兩個奇怪的檔案
[惡意後門存放位置]
C:\Windows\System32\NtUserEx.dll
C:\Windows\System32\NtUserEx.dat
還不放心的話
最後趨勢科技有說做出 PlugX 後門程式清除工具
http://esupport.trendmicro.com/solution/zh-TW/1107253.aspx
試試看吧
※ 引述《jack19921221 (羚羊)》之銘言:
: 跨年前看到這個消息
: 馬上執行掃描 我是用小紅傘免費版
: 掃了四個半小時什麼都沒掃到
: 查一下之前的工作記錄發現在幾天前有找到LoLtwlaucher.exe視為木馬
: 可是在工作記錄中只記錄"已忽略"
: 今天再掃也沒掃到
: 我現在是解除安裝後刪除所有我找得到的lol相關檔案
: 想請教還有沒有其他的解決辦法呢
: 主要問題是如何確定有沒有中毒 以及 該怎麼處理 以及 處理後該如何確認已經沒事了呢
: 對不起問得很亂 因為真的不太懂
: 剛剛爬了貴板很多文 也學了不少 真的很感謝各位版友
: 以下附上garena原文
: 各位親愛的 Garena 玩家:
: 大家好,在 2014 年末的這一天,本來我們打算愉快地在 Facebook 上和你們說聲新年快樂的,不過顯然有些事情來的不是時候。
: 就在本月,我們發現遭到不明網路犯罪人士入侵,並在相關技術人員電腦、安裝檔伺服器中植入木馬程式,導致我們所派發的《英雄聯盟》、《流亡黯道 PoE》遊戲安裝檔遭到感染,可能影響的範圍是部分新安裝遊戲或重灌遊戲的玩家。在得知相關問題的當下,我們立即展開緊急處理,全面掃描內部硬體設備,並將相關檔案更新,目前所有的狀況已獲得解決。
: 直到今天,我們並沒有證據顯示任何玩家的個人資訊(包括信用卡、帳號密碼、姓名等)遭到洩露,我們會持續監控下去。同時,我們也確認玩家存放在我們伺服器上的資料已受到保護。
:  
: 現在,我們希望透過這篇公告,請玩家協助我們進行下列步驟,確保您的電腦不受威脅:
: 步驟一:更新最新檔案
: 我們已全面審視所有遊戲相關檔案,確保所有玩家在更新到遊戲最新版本時皆為安全無虞,所以請玩家務必將遊戲檔案更新。
: 步驟二:立即以防毒軟體掃描全系統
: 請安裝合法防毒軟體,並立即掃描電腦,以確保電腦不受感染。此外,切勿使用來路不明的程式及瀏覽可疑網站,建議使用 F-Secure、AVG 等各大防毒軟體。
: 步驟三:【更換密碼】
: 為確保玩家們的帳號安全,建議玩家定期更換密碼,避免有心人士盜用。
: 步驟四:【啟用免費的「Garena 兩步驟驗證」】
: 我們提供了對應手機電話的「Garena 兩步驟驗證」,歡迎玩家透過啟用此免費機制,加強對帳號密碼的保護。
:  
: 另外提醒各位,我們的人員不會在線上透過電話、競時通、Email 等任何方式詢問您的個人密碼。所以請妥善保管您的密碼,勿告知其他人員。
: 我們相信透過這些規則,可以大幅提升資訊安全。若各位仍對自己的電腦安全有疑慮,請更新防毒軟體後進行全面掃毒。我們的【線上小幫手】及【回報系統】也將熱忱為玩家解答相關問題,若對任一步驟或安全仍有疑問的玩家,歡迎隨時告知我們。
:  
: 我,代表台灣競舞娛樂有限公司,要為此向所有玩家鄭重地說聲對不起。我們在這些問題發生的當下非常自責,也一定在未來作更嚴密的監控,杜絕相關問題再度發生。
: 最後,我知道有少數用戶或組織在我們發現問題之前,就已經發現這個問題。我要謝謝你們的回報。
: 台灣競舞娛樂有限公司 台港澳區 執行長 
:
作者: hihieveryone (逐浪人)   2015-01-14 17:51:00
別傻了根本很多都清不掉你們根本就不知道那有多恐怖就連sony碰到攻擊也要倒下有誰能倖免?我最近在處理就感覺到難度高很多像是鑽到MBR裡面的隱碼對於沒兩個硬碟的玩家怎麼辦?清掉mbr就等於他全被清空了他要備份也不行因為備份的檔案都被感染了還有種會鑽到韌體裡的更煩你清掉mbr他還是在不用說其他手機和mac你們可以試試去攔截一些平常常用的小程式的動作會發現就算是防毒軟體手腳都不太乾淨就連我研究這個領域那麼久的人要解這些都花超多時間

Links booklink

Contact Us: admin [ a t ] ucptt.com