close
來源 巴哈姆特
這篇巴哈姆特網站公告這些「Garena 資訊安全事件補充」真少人看.....可見還有很多玩家不知情
英雄聯盟LoL
流亡黯道PoE
台灣已經有電腦雜誌「PCDIY!電腦硬派月刊」在開始報導了....這個驚人的消息
http://www.pcdiy.com.tw/webroot/article.php?art=1020
用競時通更新也會中木馬的原因:
因為 競時通 和 網頁更新 的下載點都是同一個 但是不同伺服器運作
只要玩家連到被植入木馬的伺服器 就會下載到有木馬的更新檔案 
所以才會有的玩家沒中木馬 有的玩家有中木馬
「重要」惡意木馬拆包分析 / 惡意木馬殺除方法:
擔心中獎此木馬的看這邊
擔心中獎此木馬的看這邊
pkqkok(時之痕) 發現的連結寫的超詳細 有完整的殺除木馬方法
甚至連官方的更新檔案什麼時候發現有「ntuserEX惡意木馬」都說出來了
重點來了.....一個非官方的x掛網站做的處理居然比Garena官方還要專業?!
重點來了.....一個非官方的x掛網站做的處理居然比Garena官方還要專業?!
重點來了.....一個非官方的x掛網站做的處理居然比Garena官方還要專業?!
(玩家想了解的是 .木馬名?位置在哪? 如何確認檔案乾淨? 但是Garena官方通通都沒說明)
Garena競時通連上受木馬感染伺服器 - 證明
「競時通本身的檔案」也中標
但是本人沒中獎
所以不知道「競時通」會有什麼木馬......
玩家發布時間是2015-01-05的01:12:51,代表昨天是2015-01-04 
Garena客服出事情之前的回應:
一開始Garena官方管理人員居然還說是防毒誤判...部分玩家搞不好會相信...但是後面被證實有
首先...受害玩家在這 時間是2014-12-04
http://forum.gamer.com.tw/C.php?bsn=17532&snA=471877&locked=T&page=1&gothis=4101657#4101657
http://forum.gamer.com.tw/C.php?bsn=17532&snA=471877&locked=T&page=1&gothis=4101657#4101657
後來官方自己公告「Garena 資訊安全聲明」證實Garena部分更新用的伺服器有被植入木馬
公告時間是2014-12-31 http://lol.garena.tw/news/news_info.php?nid=2530
感覺像是新年禮物
送你一份木馬
但是11月和12月的更新包就有玩家掃到木馬...還有人9月也有掃到
本來連巴哈LoL版主都不相信,但Garena親自公告後,這是whhungbill版主的回應方式
ntuserEX木馬證據 - 拆開更新包後去比對有問題的LoLTWLauncher.exe遊戲啟動檔
(乾淨更新包、有暗藏木馬的更新包,不論你使用競時通還是網頁都有可能抓到)
這是最好的證明! 原來你們家的LoLTWLauncher還會連上這個gs4.playdr2.tw非官方網站喔
我怎麼之前掃木馬和執行LoLTWLauncher時都沒發現這個非官方網站阿???
非官方gs4.playdr2.tw網站還租用香港ip地址202.65.214.220
這太可疑了......這個網站
原來偷偷連上這個gs4.playdr2.tw網址只是防毒誤判阿?
重點來了....爆發資安事情後
時間2015-01-03
Garena客服出事情之後的回應居然一樣: (員工真的該加強了 員工你還在睡覺嗎?員工
)
)
這位失職的客服人員叫白尾狐
還在說防毒誤判?
你需要加強資安意識了~~~~這位Garena員工
如果是我誤會那就抱歉了,但起碼也要提供SHA1碼供玩家比對是否是你說的POETWLauncher乾淨檔案。
因為這篇公告「Garena 資訊安全事件補充 Q & A」有提到
公告時間是2015-01-03的12:59
提到「我們將其中有問題的幾個檔案重新製作並上架,放在空的乾淨伺服器,讓玩家馬上更新,以覆蓋原本有問題的舊檔案。」
也提到「只是單純地透過競時通的遊戲自動更新,或是下載手動更新檔,我們目前沒有發現任何問題。但為了保險起見,我們建議您能進行掃毒確保無虞。」
重點又來了.......
Garena官方在2015-01-03公告完全沒說「競時通本身」是否沒木馬
也保留語氣表示「現在透過競時通更新」抓到的更新包不一定沒有,只是抓出有問題的檔案重新製作並上傳到更新包內
Garena官方可以做的解決方法:
在更新包上面寫著SHA1碼供玩家比對...因為更新包很大...所以只要提供幾個「關鍵的檔案」就可
例如LoLTWLauncher被木馬植入的後果就會非常嚴重
因為LoL更新包更新完會自己執行這個LoLTWLauncher檔案
執行這個LoLTWLauncher檔案後會自動跳出Garena競時通的登入畫面
然後.....你知道的
Garena競時通以後也要有SHA1碼
還有其他登入檔案也是,例如POETWLauncher的也中木馬
遭惡意木馬植入的檔案有:
POETWLauncher
GameLauncher
LoLTWLauncher
還有「競時通」的部份檔案.....
注意了...這些都是競時通平常會開啟的檔案
解說:
(示範其中比較有名氣的LoL更新包)
被植入木馬的更新包GarenaTWLoL_Install_20141125 → LoLTWLauncher.exe → (木馬)ntuserEX.dll、(木馬)1416423562.491936.exe...等
因為ntuserEX木馬被驗出有惡意行為,所以導致也跟著LoLTWLauncher被驗出惡意
LoLTWLauncher遭到竄改,當然驗出的SHA1碼就不一樣啦
由於下載點是多台伺服器運作
以免玩家下載人數過多負荷不了
只要玩家連到被植入木馬的伺服器...就會下載到有惡意木馬的更新檔案
所以才導致有的玩家沒中木馬....有的玩家有中木馬
希望各位玩家
可以把這篇陸續回報給 Garena客服 和 Garena管理人員
因為憑我的力量是不足的
最後.....希望你們的「競時通」都是連上乾淨的伺服器
不要中了ntuserEX惡意木馬
也要小心不要更新到遭到竄改的「競時通檔案」
全站熱搜
留言列表
冰與火之歌:權力遊戲 (7)
