微点报警！三星数码相框光盘竟含木马程序（三星已提供更新）

softkiller

BEAREYES.COM 北京 [ 翻译 ] 作者: Dreamcatcher    2008年12月26日   来源：数码电子代理网


三星数码附光盘中含木马程序Frame Manager 1.08

目前数码相框产品已经开始进入寻常百姓家，而数码相框也赢得了越来越多普通民众的欢心。
不过，三星最近推出的一批数码相框却让它着实尴尬了一把。随其数码相框一同发售的的CD光盘中“自带”了附赠品：病毒！ 网络罪犯将有可能连接所有执行过该CD的电脑。

12月26日消息，三星电子(Samsung Electronics)日前发布公告表示，其生产的部分型号数码相框随附的软件光盘内含木马程序，并建议用户前往三星电子官网下载软件更新版http://www.samsung.com/us/support/download/supportDownMain.do

据悉，此次随附光盘中涉及包含木马程序的软件为Frame Manager 1.08，数码相框型号包括SPF-75H、SPF-76H、SPF-85H、SPF-85P及SPF-105P。

该软件中的木马程序名为W32.Sality.AE，早在4月份已引起安全厂商关注。三星电子表示，目前只有在Windows XP版的Frame Manager 1.08软件发现有此程序，且只有通过光盘安装此软件的使用者才有计算机中毒风险。

   

     
德国媒体PC Professionell曾在12月初就曾报道三星电子数码相框软件发现木马程序的消息。不久前，亚马逊也表示，10~12月间卖出的SPF-85H型号8英寸数码相框中，已有部分使用者发生计算机中毒的现象。

除了三星外，2007年美国电子零售业者BestBuy也曾发生自创品牌Insignia的数码相框软件内含有害程序的风波，当时该公司也立即停卖该产品。

赛迪顾问市场监测数据显示，2008年前三季度中国数码相框市场实现总销量26.65万台，比2007年同期增长293.5%，实现销售额3.3亿元，同比增长235.4%。对于中国市场而言，数码相框产品的基数还比较小，市场远未达到饱和。

独孤不平 注册用户 积分 81 发帖 79 注册 2008-10-3	#2 貌似那个带虚拟机感染的病毒，很可怕 ※ ※ ※ 本文纯属【独孤不平】个人意见，与【 微点交流论坛 】立场无关※ ※ ※
2008-12-28 23:29

C:\WINDOWS\PCHealth\HelpCtr\Binaries

貌似不是那个W32.Sality.AE病毒

2008/4/21  感染執行檔的 W32.Sality.AE病毒 2008-04-21 感染執行檔的 W32.Sality.AE病毒 病毒型態： 病毒 影響平台： Windows 2000, Windows NT, Windows XP 概述： W32.Sality.AE 感染執行檔並下載惡意程式的病毒。 說明： 當 W32.Sality.AE 執行時，會產生下列動作： 1.復製本身成下列檔案： 　%System%\drivers\[RANDOM FILE NAME].sys 2.建立Op1mutx9記號，來確保同時只有單一病毒執行?正執行中。 3.建立下列子登錄機碼： 　HKEY_CURRENT_USER\Software\[USER NAME]914 　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80 　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER 4.建立下列登錄機碼，繞過防火牆管制： 　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\ 　FirewallPolicy\StandardProfile\AuthorizedApplications\List\"[INFECTED FILE]" 　= "[INFECTED FILE]:*:Enabled:ipsec" 5.修改下列登錄機碼： 　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ 　Internet Setting\"GlobalUserOffline" = "0" 　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ 　policies\system\"EnableLUA" = "0" 6.刪除下列登錄機碼： 　HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot 　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot 　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats 　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats 　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats 　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats 　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ 　Browser Helper Objects 　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ 　Browser Helper Objects 7.註冊本身成具有下列特性之服務： 　Service Name: WMI_MFC_TPSHOKER_80 　Display Name: WMI_MFC_TPSHOKER_80 　Startup Type: Automatic 8.刪除病毒本身。 9.停止下列服務： 　ALG 　aswUpdSv 　avast! Antivirus 　avast! Mail Scanner 　avast! Web Scanner 　BackWeb Plug-in - 4476822 　bdss 　BGLiveSvc 　BlackICE 　CAISafe 　ccEvtMgr 　ccProxy 　ccSetMgr 　F-Prot Antivirus Update Monitor 　fsbwsys 　FSDFWD 　F-Secure Gatekeeper Handler Starter 　fshttps 　FSMA 　InoRPC 　InoRT 　InoTask 　ISSVC 　KPF4 　LavasoftFirewall 　LIVESRV 　McAfeeFramework 　McShield 　McTaskManager 　navapsvc 　NOD32krn 　NPFMntor 　NSCService 　Outpost Firewall main module 　OutpostFirewall 　PAVFIRES 　PAVFNSVR 　PavProt 　PavPrSrv 　PAVSRV 　PcCtlCom 　PersonalFirewal 　PREVSRV 　ProtoPort Firewall service 　PSIMSVC 　RapApp 　SmcService 　SNDSrvc 　SPBBCSvc 　Symantec Core LC 　Tmntsrv 　TmPfw 　tmproxy 　UmxAgent 　UmxCfg 　UmxLU 　UmxPol 　vsmon 　VSSERV 　WebrootDesktopFirewallDataService 　WebrootFirewall 　XCOMM 　AVP 10.感染所有登記在下列登錄機碼中的執行檔： 　HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache 11.感染所有登記在下列登錄機碼中的.exe檔： 　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 12.感染可寫入的網路資源與C碟中，除了下列字串以外的所有.exe與.scr檔： 　SYSTEM 　AHEAD 13.被感染的檔案約增加 57,344 bytes。 14.刪除包含下列字串名稱的檔案： 　.VDB 　.AVC 　.KEY 　drw 　_AVPM 　A2GUARD 　AAVSHIELD 　AVAST 　ADVCHK 　AHNSD 　AIRDEFENSE 　ALERTSVC 　ALMON 　ALOGSERV 　ALSVC 　AMON 　ANTI-TROJAN 　AVZ 　ANTIVIR 　ANTS 　APVXDWIN 　ARMOR2NET 　ASHAVAST 　ASHDISP 　ASHENHCD 　ASHMAISV 　ASHPOPWZ 　ASHSERV 　ASHSIMPL 　ASHSKPCK 　ASHWEBSV 　ASWUPDSV 　ATCON 　ATUPDATER 　ATWATCH 　AUPDATE 　AUTODOWN 　AUTOTRACE 　AUTOUPDATE 　AVCIMAN 　AVCONSOL 　AVENGINE 　AVGAMSVR 　AVGCC 　AVGCC32 　AVGCTRL 　AVGEMC 　AVGFWSRV 　AVGNT 　AVGNTDD 　AVGNTMGR 　AVGSERV 　AVGUARD 　AVGUPSVC 　AVINITNT 　AVKSERV 　AVKSERVICE 　AVKWCTL 　AVP 　AVP32 　AVPCC 　AVPM 　AVPUPD 　AVSCHED32 　AVSYNMGR 　AVWUPD32 　AVWUPSRV 　AVXMONITOR9X 　AVXMONITORNT 　AVXQUAR 　BACKWEB-4476822 　BDMCON 　BDNEWS 　BDOESRV 　BDSS 　BDSUBMIT 　BDSWITCH 　BLACKD 　BLACKICE 　CAFIX 　CCAPP 　CCEVTMGR 　CCPROXY 　CCSETMGR 　CFIAUDIT 　CLAMTRAY 　CLAMWIN 　CLAW95 　CLAW95CF 　CLEANER 　CLEANER3 　CLISVC 　CMGRDIAN 　CUREIT 　DEFWATCH 　DOORS 　DRVIRUS 　DRWADINS 　DRWEB32W 　DRWEBSCD 　DRWEBUPW 　ESCANH95 　ESCANHNT 　EWIDOCTRL 　EZANTIVIRUSREGISTRATIONCHECK 　F-AGNT95 　FAMEH32 　FAST 　FCH32 　FILEMON 　FIRESVC 　FIRETRAY 　FIREWALL 　FPAVUPDM 　F-PROT95 　FRESHCLAM 　FRW 　FSAV32 　FSAVGUI 　FSBWSYS 　F-SCHED 　FSDFWD 　FSGK32 　FSGK32ST 　FSGUIEXE 　FSM32 　FSMA32 　FSMB32 　FSPEX. 　FSSM32 　F-STOPW 　GCASDTSERV 　GCASSERV 　GIANTANTISPYWAREMAIN 　GIANTANTISPYWAREUPDATER 　GUARDGUI 　GUARDNT 　HREGMON 　HRRES 　HSOCKPE 　HUPDATE 　IAMAPP 　IAMSERV 　ICLOAD95 　ICLOADNT 　ICMON 　ICSSUPPNT 　ICSUPP95 　ICSUPPNT 　IFACE 　INETUPD 　INOCIT 　INORPC 　INORT 　INOTASK 　INOUPTNG 　IOMON98 　ISAFE 　ISATRAY 　ISRV95 　ISSVC 　KAV 　KAVMM 　KAVPF 　KAVPFW 　KAVSTART 　KAVSVC 　KAVSVCUI 　KMAILMON 　KPFWSVC 　KWATCH 　LOCKDOWN2000 　LOGWATNT 　LUALL 　LUCOMSERVER 　LUUPDATE 　MCAGENT 　MCMNHDLR 　MCREGWIZ 　MCUPDATE 　MCVSSHLD 　MINILOG 　MYAGTSVC 　MYAGTTRY 　NAVAPSVC 　NAVAPW32 　NAVLU32 　NAVW32 　NOD32 　NEOWATCHLOG 　NEOWATCHTRAY 　NISSERV 　NISUM 　NMAIN 　NOD32 　NORMIST 　NOTSTART 　NPAVTRAY 　NPFMNTOR 　NPFMSG 　NPROTECT 　NSCHED32 　NSMDTR 　NSSSERV 　NSSTRAY 　NTRTSCAN 　NTXCONFIG 　NUPGRADE 　NVC95 　NVCOD 　NVCTE 　NVCUT 　NWSERVICE 　OFCPFWSVC 　OUTPOST 　PAV 　PAVFIRES 　PAVFNSVR 　PAVKRE 　PAVPROT 　PAVPROXY 　PAVPRSRV 　PAVSRV51 　PAVSS 　PCCGUIDE 　PCCIOMON 　PCCNTMON 　PCCPFW 　PCCTLCOM 　PCTAV 　PERSFW 　PERTSK 　PERVAC 　PNMSRV 　POP3TRAP 　POPROXY 　PREVSRV 　PSIMSVC 　QHM32 　QHONLINE 　QHONSVC 　QHPF 　QHWSCSVC 　RAVMON 　RAVTIMER 　REALMON 　REALMON95 　RFWMAIN 　RTVSCAN 　RTVSCN95 　RULAUNCH 　SAVADMINSERVICE 　SAVMAIN 　SAVPROGRESS 　SAVSCAN 　SCAN32 　SCANNINGPROCESS 　SCUREIT 　SDHELP 　SHSTAT 　SITECLI 　SPBBCSVC 　SPHINX 　SPIDERML 　SPIDERNT 　SPIDERUI 　SPYBOTSD 　SPYXX 　SS3EDIT 　STOPSIGNAV 　SWAGENT 　SWDOCTOR 　SWNETSUP 　SYMLCSVC 　SYMPROXYSVC 　SYMSPORT 　SYMWSC 　SYNMGR 　TAUMON 　TBMON 　TC 　TCA 　TCM 　TDS-3 　TEATIMER 　TFAK 　THAV 　THSM 　TMAS 　TMLISTEN 　TMNTSRV 　TMPFW 　TMPROXY 　TNBUTIL 　TRJSCAN 　UP2DATE 　VBA32ECM 　VBA32IFS 　VBA32LDR 　VBA32PP3 　VBSNTW 　VCHK 　VCRMON 　VETTRAY 　VIRUSKEEPER 　VPTRAY 　VRFWSVC 　VRMONNT 　VRMONSVC 　VRRW32 　VSECOMR 　VSHWIN32 　VSMON 　VSSERV 　VSSTAT 　WATCHDOG 　WEBPROXY 　WEBSCANX 　WEBTRAP 　WGFE95 　WINAW32 　WINROUTE 　WINSS 　WINSSNOTIFY 　WRADMIN 　WRCTRL 　XCOMMSVR 　ZATUTOR 　ZAUINST 　ZLCLIENT 　ZONEALARM 15.連接下列網址取得指令。該指令包含下載其它惡意程式的網址： 　[http://]pedmeo222nb.info 　[http://]pzrk.ru 　[http://]technican.w.interia.pl 　[http://]www.kjwre9fqwieluoi.info 　[http://]bpowqbvcfds677.info 　[http://]bmakemegood24.com 　[http://]bperfectchoice1.com 　[http://]bcash-ddt.net 　[http://]bddr-cash.net 　[http://]btrn-cash.net 　[http://]bmoney-frn.net 　[http://]bclr-cash.net 　[http://]bxxxl-cash.net 　[http://]balsfhkewo7i487fksd.info 　[http://]buynvf96.info 16.防止存取下列字串之防毒網站： 　Cureit 　Drweb 　Onlinescan 　Spywareinfo 　Ewido 　Virusscan 　Windowsecurity 　Spywareguide 　Bitdefender 　Panda software 　Agnmitum 　Virustotal 　Sophos 　Trend Micro 　Etrust.com 　Symantec 　McAfee 　F-Secure 　Eset.com 　Kaspersky 17.於 %Windir%\system.ini中加入下列項目： 　[MCIDRV_VER] 解決方案： 1.暫時關閉系統還原功能 (Windows Me/XP) 　系統還原功能能夠使系統回復到預設狀態，假如電腦的資料毀損，則可以用來復原資料。 　系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改 　系統還原功能，當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾 　中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。 　關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁： 　關閉Windows Me還原功能 　關閉Windows XP還原功能 2.更新病毒定義檔 　至所使用防毒軟體之公司網站下載最新的病毒定義檔 　賽門鐵克 　趨勢科技 3.執行全系統掃描 　(a)執行防毒軟體，並設定為執行全系統掃描 　(b)如果偵測到病毒，則採取防毒軟體所建議的步驟 　(註1)如果沒有防毒軟體，可以到以下網站線上掃毒： 　http://www.kaspersky.com.tw/virusscanner/# 　http://www3.ca.com/securityadvisor/virusinfo/scan.aspx 　http://housecall.trendmicro.com/ 　(註2)如果防毒軟體無法刪除病毒，則需重新啟動至安全模式， 　　　 依防毒軟體指示刪除病毒，再進行下一步驟。 　(註3)如果出現檔案遺失的訊息，在完全移除病毒後便不會再出現，請點選「確定」略過訊息。 　(註4)如何開啟安全模式請參考。 　http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid 　/2001052409420406?OpenDocument&src=sec_doc_nam 　(c)如果掃描出任何病毒，請刪除病毒 　(註)假如防毒產品無法移除受感染的檔案，請以安全模式開啟，並再次執行掃毒程序， 　　　移除受感染的檔案後再重新開機至正常模式。重新開機時會有警告訊息 　　　(Warning messages)，因為此時威脅仍未完全解除，可忽略此警訊點選OK， 　　　指令完全移除後，重新開機便不會再出現警訊，警告訊息呈現如下列所示： 　　　Title: [FILE PATH] 　　　Message body: Windows cannot find [FILE NAME]. 　　　Make sure you typed the name correctly, and then try again. 　　　To search for a file, click the Start button, and then click Search. 4.刪除登入檔內的值(value)： 　(a)滑鼠左鍵點選 開始\執行 　(b)鍵入 regedit 　(c)滑鼠左鍵點選 確定 　(d)刪除下列登錄項目 　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\ 　　FirewallPolicy\StandardProfile\AuthorizedApplications\List\"[INFECTED FILE]" 　　= "[INFECTED FILE]:*:Enabled:ipsec" 　(e)刪除下列子登錄項目 　　HKEY_CURRENT_USER\Software\[USER NAME]914 　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80 　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER 　(f)如有需要，恢復下列登錄項目初始值 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ 　　Internet Setting\"GlobalUserOffline" = "0" 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ 　　policies\system\"EnableLUA" = "0" 　(g)如有需要，恢復下列子登錄項目初始值 　　HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot 　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ 　　Browser Helper Objects 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ 　　Browser Helper Objects 　(h)離開登錄檔編輯器 參考資料： http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-042106-1847-99 資料來源：賽門鐵克公司

[ 本帖最后由 softkiller 于 2008-12-30 11:33 编辑 ]

Kitman

Begin scan in 'C:\Users\Kitman\Desktop\Samsung Electronics W32.Sality.AE'
C:\Users\Kitman\Desktop\Samsung Electronics W32.Sality.AE\autorun.inf
    [DETECTION] Is the TR/Autorun.113 Trojan
    [NOTE]      A backup was created as '49cc4419.qua'  ( QUARANTINE )
    [NOTE]      The file was deleted!
C:\Users\Kitman\Desktop\Samsung Electronics W32.Sality.AE\HelpHost.com
    [DETECTION] Is the TR/Crypt.CFI.Gen Trojan
    [NOTE]      A backup was created as '49c44409.qua'  ( QUARANTINE )
    [NOTE]      The file was deleted!
C:\Users\Kitman\Desktop\Samsung Electronics W32.Sality.AE\pif.exe
    [DETECTION] Contains code of the W32/Sality Windows virus
    [NOTE]      A backup was created as '49be440d.qua'  ( QUARANTINE )
    [NOTE]      The file was deleted!

[ 本帖最后由 Kitman 于 2008-12-29 11:28 编辑 ]

挪威的冬天

正常 Asus EeePC/EBox 甚至到 Apple iPod 都有过类似历史

信息        2008-12-29  11:32:40        您此次查毒共查出2个病毒以及危险代码                       
信息        2008-12-29  11:32:40        您此次查毒共查了内存模块0个，磁盘引导扇区0个，文件4个                       
信息        2008-12-29  11:32:40        金山毒霸主程序查毒过程结束，查毒方式：命令行查毒                       
病毒        2008-12-29  11:32:40        D:\Desktop\Samsung Electronics W32.Sality.AE.rar\pif.exe        Win32.Sality.vb.97280        跳过，未处理       
病毒        2008-12-29  11:32:40        D:\Desktop\Samsung Electronics W32.Sality.AE.rar\HelpHost.com        Win32.Virut.q.10240        跳过，未处理

156200

咦好像貌似之前看过一个帖子说三星的什么网站上被挂马，莫非.........?八卦了下  。。囧

shmily512099

http://www.cnbeta.com/articles/73308.htm

三星数码相框随附软件含木马程序

西风萧雨

驭龙

我的F-Secure Client Security 8.0

fzz8848

潘达达

果真有，这也太不负责任了

sam.to

这软件光盘是三星提供?