Audi Taiwan 網站被植入惡意連結
2007 年 05 月 21 日 – 13:21:00Audi Taiwan 網站被植入惡意連結,此惡意程式為 TROJ_NSPM,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息。另外,此惡意程式是利用微軟所公佈ANI 的安全漏洞 (Vulnerability in Windows Animated Cursor Handling)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: Sung)
惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:
執行之後,有下面的行為:
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\vip[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\css[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\vip[1].js
C:\WINDOWS\Debug\UserMode\3083516.dll
C:\WINDOWS\Debug\UserMode\3083516.exe
C:\WINDOWS\rising659.exe
[ Added COM/BHO ]
{A4A0D94D-2566-4876-9FC4-C26C6E107C66}-C:\WINDOWS\debug\userMode\3083516.dll
到目前為止 (2007/5/21 @ 09:18),下面的防毒軟體可以偵測到這些惡意檔案 (除了 ANI 的檔案外):
3083516.exe:
[ Trend ], 『TROJ_NSPM.FN』
css[1].exe:
[ Trend ], 『TROJ_NSPM.FN』
rising659.exe:
[ Trend ], 『TROJ_NSPM.FN』
3083516.dll:
[ Trend ], 『Possible_Infostl』
vip[1].htm:
[ Kaspersky ], 『Trojan-Downloader.JS.Agent.gj』
[ Ewido ], 『Downloader.Agent.fm』
“Audi Taiwan 網站被植入惡意連結” 目前有 3 迴響
好慘!記得在去年要買車到他們網站,也是首頁被置換,現在更變本加厲被植入惡意連結。這種網站還是少逛得好。
By Anonymous on 2007 年 05 月 23 日 - 17:39:00
大砲兄..我剛剛去http://www.audi.com.tw
逛了幾張頁面..並無發生奇異現象涅…我的首頁還是好好的..工作管理員程序也無異常增加涅
By hohc on 2007 年 05 月 26 日 - 17:51:00
大砲兄..我剛剛去逛AUDI網站..並無發現異狀涅…我的GOOGLE首頁還好好的沒被改.工作管理員也無暴增不明程序
By hohc on 2007 年 05 月 26 日 - 17:55:00