政大國際關係研究中心網站被植入惡意連結

2007 年 06 月 09 日 – 22:46:00

政大國際關係研究中心網站被植入惡意連結,此惡意程式為 DELF 和 灰鴿子變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外,此惡意程式是利用微軟所公佈 ANI 的安全漏洞 (Vulnerability in Windows Animated Cursor Handling)對此有興趣的網友,可以在虛擬機器上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(感謝網友通知)

惡意連結是放置在 h_about.htm (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\G_Server2007.exe

[DLL injection]
C:\Program Files\Common Files\Microsoft Shared\MSInfo\4980A6B4.dll
C:\WINDOWS\G_Server2007.DLL

[Added service]
NAME: ServerGrayPigeon2007
DISPLAY: GrayPigeon2007
FILE: C:\WINDOWS\G_Server2007.exe

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\dl1.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\tcsafe[1].htm
C:\Program Files\Common Files\Microsoft Shared\MSInfo\4980A6B4.dat
C:\Program Files\Common Files\Microsoft Shared\MSInfo\4980A6B4.dll
C:\wget\down.exe-1
C:\wget\w2k.jpg-1
C:\wget\wxp.jpg-1
C:\WINDOWS\4980A6B4.hlp
C:\WINDOWS\G_Server2007.DLL
C:\WINDOWS\G_Server2007.exe
C:\WINDOWS\Help\4980A6B4.chm

[Added COM/BHO]
{0A6B4980-4980-A6B4-80A6-9806B980A6B4}-C:\Program Files\Common Files\Microsoft Shared\MSINFO\4980A6B4.dll

到目前為止 (2007/6/8 @ 12:49),下面的防毒軟體可以偵測到這些惡意檔案:

4980A6B4.dat:
[ Trend ], "WORM_DELF.HUH"
4980A6B4.dll:
[ Trend ], "Possible_Infostl"
dl1.exe:
[ Trend ], "BKDR_HUPIGON.ETY"
down.exe:
[ Trend ], "WORM_DELF.HUH"
4980A6B4.chm:
[ Trend ], "WORM_DELF.HUH"

請在此留下您的意見

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).