無分類雜文 10 Nov 2007 01:48 pm

推到 Twitter!
推到 Plurk!


購買任何硬碟請先格式化!



剛剛在 IRC 上,有人貼出一則新聞:全新硬碟 被植木馬程式 個人資料 瞬間流向北京

由新聞上附的截圖,看起來應該是 MAXTOR BASICS 500G 這一顆出了問題。

maxtor500G

新聞中提到:

調查局電腦犯罪偵辦科發現,該兩個木馬程式會感染其他插入的隨身碟,並感染autorun.inf、windows.scr檔案,且會主動連線及上傳資料到www.nice8.org或www.we168.org,經查,登記該兩個網址公司都設在中國北京,動機顯不尋常。

調查局發現,使用者只要安裝該硬碟,電腦程式就會自動連線上述特定網址,電腦資料變成「全都露」,可遠距方式輕易竊取電腦資料,研判應是中國網軍實施資訊戰,有計劃竊取我國政府敏感、國防機密及大企業商業機密。

這件全新硬碟竟含木馬程式案件,是因今年十月初,有民眾向調查局報案指出,他到一家大賣場購買上述硬碟,但回家安裝後就發現可能被植入木馬程式,他認為,該硬碟是國際知名硬碟大廠製造,品質應該有保障才對,若被植入木馬程式病毒,「將很可怕」。

調查局認為,一般民眾很少購買容量如此大的硬碟,若政府機關、軍情單位官員電腦連接上此硬碟,國家機密可能會被秘密竊走,「那就嚴重了」;調查局資安人員 也指出,不可輕忽的危機是,透過該可攜式硬碟的傳遞使用,病毒會形成「複式傳染」,不同電腦、硬碟都在不知情下被傳染,並遭中國監控、下載資料,目前遭感 染電腦無法精確估計,倘若我政府機關、重要政黨人士的電腦被連鎖感染,後果更是不堪設想。

正常來說,一顆硬碟出廠後,應該是呈現未分割、格式狀態。所以筆者跑去網路上可買到此顆硬碟的購物頁面觀看此毒物規格。

仔細一看,本物並不是裸裝硬碟,而是已加裝外接盒的即可用硬碟,而產品的文案更強調

安裝容易,不需作格式化設定,不需驅動程式,只要接上USB連接埠,Maxtor Basics就會自動地出現在[我的電腦]中的圖示,馬上就可以快速地擴充你的儲存容量。

這類產品出廠後在廠商會幫消費者貼心的作預先格式化,方便使用者一拿到就馬上可以使用。而這則事件的情形即是硬碟在預先格式化動作後,則遭到污染。

以往從來未傳出此類產品被污染事件,而消費者拿到此類產品後,往往也是欣喜的插上即刻使用。現在看來,最保險的作法,就是不管是買什麼產品開始使用前,都需要先關閉 AUTORUN,並且使用前通通格式化!

14:20 update:剛剛跑去 Seagate 網站與 Google 上亂看,發現早已有此條消息。但與此新聞有出入,不只 500G 的型號有問題,其他容量的也有類似問題。而竊取的資訊是非國防機密 …而是 …線上帳號密碼 ..orz(不過也不可輕忽,難防以後對岸不會用此招盜用軍事機密,只要鎖定 .doc 亂槍打鳥就行),另外此病毒也會順便破壞 *.mp3。

根據 Kaspersky 的資料,該病毒名為 Virus.Win32.AutoRun.ah,這種竊密病毒會搜尋線上遊戲的密碼,然後傳送到位於中國的伺服器。此外,它還會刪除其他竊密軟體,並且停用病毒偵測軟體。



This work is licensed under a Creative Commons Attribution-Share Alike 2.5 Taiwan License. [本文採 cc-by-sa 授權,白話意思就是可以直接轉走,但是要附出處與作者)]

Creative Commons License

20 Responses to “購買任何硬碟請先格式化!”


  1. on 10 Nov 2007 at 1:58 pm 1.Dryden said …

    補充一個小技巧
    再插上USB隨身碟、硬碟前
    按住Shift鍵不放
    插入後電腦偵測到後再放開
    就不會執行自動撥放

  2. on 10 Nov 2007 at 2:05 pm 2.XD said …

    我記得 USB隨身碟等可卸除裝置,在 XP 中是不能用 Autorun.inf 去自動執行的。會不會是 Rootkit?

  3. on 10 Nov 2007 at 2:26 pm 3.sntc06 said …

    某甲:我昨天要你幫我燒的遊戲燒好了嗎?
    某乙:幹XX的我DVD空片一放進去就中毒了!

  4. on 10 Nov 2007 at 2:38 pm 4.Dryden said …

    我中過Worm.Win32.Delf.aj這隻
    應該就是以自動撥放去感染的
    隨身碟傳檔案方便,但大家插來插去
    去印刷廠出個圖回來,隨身碟就中標了…

    Worm.Win32.Delf.aj病毒相關資訊
    http://zeroplex.blogspot.com/2007/01/usbmonsdll-kb2006aexe.html

  5. on 10 Nov 2007 at 2:53 pm 5.蛋治 said …

    500GB的一般民眾很少購買? 哈哈.
    ACG魔人等級的, 我想家中最少有十個八個500GB的硬碟了吧?

    而且, 政府及軍方部門要購買電腦配件, 不會到大賣場自行選購吧? 真是的…

  6. on 10 Nov 2007 at 2:56 pm 6.S. Peter said …

    >我記得 USB隨身碟等可卸除裝置,在 XP 中是不能用
    >Autorun.inf 去自動執行的。

    以平均每週處理一個中毒隨身碟的經驗告訴您:可以。

    隨身碟插下去跳出來的詢問視窗就是自動執行的成果;若直接左鍵兩下點開,XP也會去讀autorun.inf。除了取消自動播放,我自己在系統安全性原則中設了一條路徑規則阻止存取H:\autorun.inf(隨身碟的那幾個槽),有沒有用不知道。

    這個木馬下載是盜號老毒(讓多數防毒失效,再連到對岸網頁下載木馬本體),5月時就在大陸蔓延(簡體網頁一堆有關Ghost.pif的討論),一個說法是,Seagate的調查結果指向中國廠商的製造疏失。猜想是中國廠商使用中毒的設備大量FORMAT或測試硬碟時感染。

    自由時報信口開河亂屁一通,把廠商生產過程的嚴重疏失扯到風馬牛不相關的地方去。中國每天生產幾十隻木馬,中國網軍會遜成這樣?

  7. on 10 Nov 2007 at 2:59 pm 7.S. Peter said …

    最近熱門的kavo病毒產生的autorun.inf長這樣:

    [AutoRun]
    open=ntdelect.com
    ;shell\open=Open(&O)
    shell\open\Command=ntdelect.com
    shell\open\Default=1
    ;shell\explore=Manager(&X)
    shell\explore\Command=ntdelect.com

    簡單說就是以隱藏狀態呼叫系統執行病毒本體ntdelect.com。其他隨身碟病毒的autorun.inf也大同小異。

  8. on 10 Nov 2007 at 3:11 pm 8.VinTW said …

    >以往從來未傳出此類產品被污染事件
    Buffalo之前不就來過類似的?
    http://www.ithome.com.tw/itadm/article.php?c=45701
    我覺得有一點陰謀論(自由時報居然拿這當頭條…)
    畢竟Whois上面國家填北京不見得機器就在北京吧
    而且現在用DN去查正解已經查不到了耶XD

  9. on 10 Nov 2007 at 6:56 pm 9.豬老大 said …

    只要是數落中國的不是,自由時報沒什麼做不到的事

  10. on 10 Nov 2007 at 7:38 pm 10.zhiqin.he said …

    這是不是像Ipod事件一樣??
    只能說生產線的設備真的要好好的防護一番…
    免得損及商譽…

    另外,現在的媒體什麼都不會,都只會「看一個影,生一個子」,一整個無言吶!
    網軍真的要植入木馬,怎會用autorun.inf這種爛招,勾結代工廠,寫在韌體不是更好!?

  11. on 10 Nov 2007 at 10:00 pm 11.Player Lin said …

    反正,台灣某些媒體只要看到中國搞出來的新聞,絕對不會放過的…一定要塞入一些政治XX的東西在裡面…。

    至於調查局的說法,或許過於誇張…
    但是,雖然這隻病毒是設計成竊取帳號密碼,但是也很難說會不會被加料進其他的惡意功能…

    (不過,這個手法說真的,太嫩了…hack 韌體還更有效XD)

  12. on 11 Nov 2007 at 12:31 am 12.路過(znzoo) said …

    雖然說機密資料洩密誇張了點…
    但是也不能完全保證沒有機會發生阿…
    只能說廠商品管出了問題…
    倒楣的還是消費者OTL

  13. on 11 Nov 2007 at 10:51 am 13.必填 said …

    買新硬碟有毒找調查局報案……?哪個民眾那麼瞎
    先找消基會吧~

  14. on 11 Nov 2007 at 9:59 pm 14.呆宇 said …

    科科………
    看完真的一整個無言而已
    因為這只針對WIN平台………
    其他平台下 根本沒啥事情
    老實講 應該好好數落微軟的不是才對

  15. on 14 Nov 2007 at 3:02 am 15.z3Nix said …

    MIC的產品最近負面新聞真多阿…

    哈哈哈

  16. on 14 Nov 2007 at 2:19 pm 16.flyfly34 said …

    硬碟接上USB會自動感染,程式會自動執行,把資料傳給特定網站

    問題是有多少使用者會關閉Autorun這功能呢?
    然後接上去要格式化?是不是也來不及了?

  17. on 15 Nov 2007 at 12:22 am 17.Blog E » Blog Archive » links for 2007-11-14 said …

    [...] Blog.XDite.net ? 購買任何硬碟請先格式化! 補充一個小技巧再插上USB隨身碟、硬碟前..按住Shift鍵不放…插入後電腦偵測到後再放開..就不會執行自動撥放…..我中過Worm.Win32.Delf.aj這隻 Worm.Win32.Delf.aj病毒相關資訊 http://zeroplex.blogspot.com/2007 [...]

  18. on 16 Nov 2007 at 7:14 pm 18.Pig said …

    從軔體下手並不會是個好方法,除了真的成功的話很有成就感外 :p
    (真的有人這樣做,我就想信他真的是做興趣了)

    你從軔體下手的話,要連上網路就是一個大問題了,這個是很難從軔體去控制的,因為你需要能掌控作業系統的能力。軔體要說能動手腳的話那大概也只是把病毒亂丟而已,而事實上這個只要塞 partition 就做得到了,而且軔體的空間應該是不足以放下那麼多東西。

  19. on 18 Nov 2007 at 11:16 am 19.wliomsky said …

    電腦好可怕,什麼都有毒

    還是乖一點,新東西要先格式化,別人的東西先掃毒…

  20. on 18 Nov 2007 at 3:35 pm 20.Kuon said …

    TO 13F:
    案件處理者也可以是消費者:)

    TO 18F:
    韌體只需要將特定的磁區設為隱藏或是非隱藏即可.

    這是很通用的方案.

Trackback This Post | Subscribe to the comments through RSS Feed

Leave a Reply