接續上次的鍵盤側錄事件。
上星期將病毒刪除之後,我本來比較偏向認為是某個不知情的可憐受害者,在不知道自己隨身碟中毒的狀況下不小心把病毒傳到系館電腦。
但是星期五下午上課時,我發現這次事件的規模比想像中還要大。
其實整個電腦教室的電腦,不管是由中央伺服器 C204-SERVER1、C204-SERVER2、C204-SERVER3 控管的電腦、還是兩側的大約 10 台獨立電腦,全部都有問題,感染的病毒和上星期我發現的一模一樣,大家之前打過的東西全都錄,開始時間最早來到 2012 年 4 月。
除此之外,上星期已經被我刪除病毒的那台電腦,又再次被植入側錄程式了。這次的方法非常粗糙,開始 > 所有程式 > 啟動 (位置在 C:\Users\...\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup) 下有一個 Start.exe,沒有數位簽章、沒有任何介面、沒有詳細資料,種種跡象指出這個東西嫌疑非常大。用 WinHex 打開可以看到 "Key Logger Class" 之類的字串,根本測都不用測就可以確定又是一支側錄程式。但是和上次不同的是,根據搜尋結果這支是一個 GPL 3.0 開放源碼 (Open Source) 的側錄程式,而且是某人自己用 MinGW GCC 編譯的。但是嫌犯忘記一件事,這支側錄程式會嘗試把紀錄檔 KLUpdate.bin 以隱藏屬性放置在 C:\Program Files 下,但是因為電腦的使用者權限不夠而無法寫入,側錄程式就當在那不動。
以這種狀況研判,肯定是有個無聊的人利用系館電腦裸奔的弱點,植入病毒竊取別人的帳號密碼,至於是純粹惡作劇還是另有目的就只有真正抓到嫌犯之後才會知道。
有鑑於這次事件的規模,我已經知會負責的系統工程師,目前有問題的 C204-SERVER1、C204-SERVER2、C204-SERVER3 已經離線進行重灌,而獨立電腦也有待處理。雖然如此,我覺得類似狀況還會再次發生,因為那幾台伺服器和獨立電腦都能夠連外,而且都裸奔不裝防毒、也從來沒裝過 Windows 更新,安全上完全只靠限制使用者權限可能稍嫌不足。但是站在系統工程師的角度想,因為很多系上課程、學生作業...... 等等都會用到這裡的電腦,維持電腦正常、持續的運作是他的工作要務,安裝防毒、安裝 Windows 更新之後可能會有意想不到的東西出錯,防毒誤判、影響效能、軟體衝突...... 等等各種鳥事發生,因此在佈署軟體之前都需要測試,而且佈署之前還要備份,發現問題時才能馬上還原。電腦問題發生時,通常使用者第一件事只知道幹譙系統工程師,因此與其忙個半死確保軟體都保持在最新、卻要冒著東西出錯被幹譙的風險,系統工程師大概會覺得乾脆什麼都不做比較保險,這我非常可以體會,因為我有一個曾經靠這行吃飯的爸爸。
看來以後用我自己的筆電就好了,至少我非常清楚自己電腦的安全。
No comments:
Post a Comment