[資安訊息警訊]國家資通安全會報技術服務中心:播放軟體KMPlayer更新機制異常

 

國家資通安全會報 技術服務中心
漏洞/資安訊息警訊
警訊名稱
播放軟體KMPlayer更新機制異常,請各單位注意並提高警覺
內容說明
技服中心接獲外部情資,播放軟體KMPlayer更新機制異常,駭客疑似透過播放軟體KMPlayer更新機制散播惡意程式。
KMPlayer執行後,若出現版本3.7.0.87更新訊息,將連線至http://cdn.kmplayer.com/player/update下載偽冒更新程式(KMP_3.7.0.87.exe)
偽冒更新程式執行後,並不會變更原KMPlayer版本,但將植入惡意程式於下述資料夾(預設隱藏):
Windows XP
C:Documents and SettingsAll UsersOleViewACLUI.DLL
C:Documents and SettingsAll UsersOleViewACLUI.DLL.UI
C:Documents and SettingsAll UsersOleViewOleView.exe
Windows 7
C:ProgramDataOleViewACLUI.DLL
C:ProgramDataOleViewACLUI.DLL.UI
C:ProgramDataOleViewOleView.exe
目前已知受感染電腦會連線以下中繼站:
-pen.abacocafe.com
-pens.abacocafe.com
-cdn.abacocafe.com
-vpen.abacocafe.com
KMPlayer源自韓國的一套播放軟體,最新版本為3.6.0.87,支援各種常見的影音檔播放,且內建多國語系,由於使用情況相當普遍,影響範圍與衝擊不容小覷。請各機關立即清查機關內是否有連線上述中繼站的行為,若發現中繼站連線或異常行為,請立即至通報應變網站(https://www.ncert.nat.gov.tw)進行資安事故通報
建議措施
1.若發現上述惡意程式,請盡速刪除,或可透過下述防毒軟體進行偵測:
(1)OfficeScan(趨勢科技) 病毒碼版次:CPR 10.200.01
(2)SmartScan(趨勢科技) 病毒碼版次:TBL 13436.002.00
(3)Avira 病毒碼版次:7.11.94.64
2.更新播放軟體KMPlayer時,注意更新版次是否與官網相符(目前官方最新版本為3.6.0.87)。
3.此攻擊事故已通知韓國相關單位,目前尚未接獲進一步處理說明,建議暫時停用多媒體播放軟體KMPlayer,改用其他播放軟體。