每得科技首頁被植入惡意程式碼!
2006 年 12 月 30 日 – 00:14:00每得科技首頁被植入惡意程式碼,跟之前一些中毒的網站相同,不過,檔案好像變動過了,以至於防毒軟體也不是都偵測的道,所以,請各位小心囉。(建議使用 FireFox)
惡意程式碼是被放在下列的位置:
程式碼為:
執行之後,有下列的行為:
[Added process]
c:\Program Files\chinadu.exe
[DLL Injection]
C:\WINDOWS\java\classes\66A75.dll (注入某些執行程序如檔案總管等)
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\top[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\top[2].exe
C:\logex.txt (記錄檔)
C:\Program Files\chinadu.exe
C:\WINDOWS\java\classes\66A75.dll
C:\WINDOWS\java\classes\66A75.exe
[Added BHO]
{C8D81FE1-EF3D-4755-BA05-0BE477385679}-C:\WINDOWS\java\classes\66A75.dll
注意:下列的防毒軟體可以偵測到這些病毒檔案:
66A75.exe:
[ Kaspersky ], 『PAK:UPack, Trojan-PSW.Win32.Nilage.bdt』
[ Sophos ], 『Mal/Packer』
[ Panda ], 『Trj/QQPass.PR』
[ Nod32 ], 『a variant of Win32/PSW.Lineage.ACN trojan』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Agent.52144.A』
[ Norman ], 『Virus W32/Viking.EQ』
[ Ewido ], 『Trojan.OnLineGames.cy』
chinadu.exe:
[ Kaspersky ], 『PAK:UPack, Trojan-PSW.Win32.Nilage.bdt』
[ Sophos ], 『Mal/Packer』
[ Panda ], 『Trj/QQPass.PR』
[ Nod32 ], 『a variant of Win32/PSW.Lineage.ACN trojan』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Agent.52144.A』
[ Norman ], 『Virus W32/Viking.EQ』
[ Ewido ], 『Trojan.OnLineGames.cy』
top[1].exe:
[ Kaspersky ], 『PAK:NSPack, PAK:PE_Patch, PAK:MEW, Trojan-Downloader.Win32.Agent.bds』
[ Sophos ], 『Mal/Packer』
[ Nod32 ], 『probably unknown NewHeur_PE virus [7]『
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Agent.4554″
[ Norman ], 『Trojan W32/Malware.FHI』
[ Ewido ], 『Downloader.Agent.bds』
top[2].exe:
[ Kaspersky ], 『PAK:UPack, Trojan-PSW.Win32.Nilage.bdt』
[ Sophos ], 『Mal/Packer』
[ Panda ], 『Trj/QQPass.PR』
[ Nod32 ], 『a variant of Win32/PSW.Lineage.ACN trojan』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Agent.52144.A』
[ Norman ], 『Virus W32/Viking.EQ』
[ Ewido ], 『Trojan.OnLineGames.cy』
66A75.dll:
[ Kaspersky ], 『Trojan-PSW.Win32.Nilage.bdt』
[ Panda ], 『Trj/QQPass.PR』
[ Nod32 ], 『a variant of Win32/PSW.Lineage.DN trojan』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/PSW.Nilage.bdt』
