階梯數位學院網站又被植入惡意連結
2007 年 06 月 02 日 – 20:58:00階梯數位學院網站又被植入惡意連結,此惡意程式為 Lineage 和 Agent 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。
惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:
執行之後,有下面的行為:
[DLL injection]
C:\WINDOWS\Help\B7C8A6484EE3.dll
[Added file]
C:\autorun.inf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\h[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gmsex[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\stat[1].htm
C:\Shell.exe
C:\WINDOWS\Help\B7C8A6484EE3.dll
C:\WINDOWS\Help\B7C8A6484EE3.exe
[ Added COM/BHO ]
{6FC2B704-28A3-464F-AEA2-034E1107B0C4}-C:\WINDOWS\Help\B7C8A6484EE3.dll
到目前為止 (2007/6/1 @ 09:34),下面的防毒軟體可以偵測到這些惡意檔案:
B7C8A6484EE3.exe:
[ Trend ], "TROJ_AGENT.IM"
gmsex[1].exe:
[ Trend ], "TROJ_AGENT.IM"
h[1].htm:
[ Trend ], "VBS_PSYME.ALS"
Shell.exe:
[ Trend ], "TROJ_AGENT.IM"
B7C8A6484EE3.dll:
[ Microsoft ], "PWS:Win32/Gamania.gen!B"
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, PAK:PE_Patch.MaskPE"
[ Panda ], "Suspicious file"
[ Nod32 ], "a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "HEUR/Malware"
autorun.inf:
[ McAfee ], "W32/USBAgent!inf"
“階梯數位學院網站又被植入惡意連結” 目前有 5 迴響
為甚麼可以掃的到的病毒都沒有德國的紅雨傘AntiVir防毒。
我昨天好不容易讓我的FreeBSD6.2把Clamav換成德國紅雨傘PE板上去。
做為Server掃毒和電子郵件掃描。
如果這種病毒掃不到…不見沒甚麼太大的用處。
By 越前リョーマ on 2007 年 06 月 3 日 - 17:54:00
其實Roger大寫的[ HBEDV ]就是大家所熟悉的AntiVir。
產出AntiVir的德國公司原名H+BEDV,後來在2006年3月1日改名為Avira,詳細原因請見該公司的News
http://www.avira.com/en/company_news/it_security_has_new_name_hbedv_turns_into_avira_.html
By alex8ph on 2007 年 06 月 4 日 - 10:20:00
不過Roger大寫的可以掃的到的病毒的防毒軟體好像幾乎都沒有avast耶~.~(因為我是用avast家用版的)那這樣是不是表示avast沒甚麼用呢?
By Anonymous on 2007 年 06 月 4 日 - 15:30:00
不會啦,avast還不錯啦。
By Roger on 2007 年 06 月 4 日 - 16:11:00
SOGA~HBEDV就是AntiVir。
AVAST我最近換下來了。
By 越前リョーマ on 2007 年 06 月 4 日 - 18:02:00