社團法人中華民國管理科學學會網站又被植入惡意連結

2007 年 06 月 12 日 – 07:58:00

社團法人中華民國管理科學學會網站又被植入惡意連結,此惡意程式為 ONLINEG 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息。另外,此惡意程式是利用微軟所公佈ANI 的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝

惡意連結是放置在 Members.php (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\css[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\vip[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\vip[1].js
C:\WINDOWS\rising810.exe
C:\WINDOWS\Web\printers\images\fdhrthert.dll
C:\WINDOWS\Web\printers\images\fdhrthert.exe

[ Added COM/BHO ]
{08CB21EA-9E92-43B9-B3A0-679C1EC04C85}-C:\WINDOWS\Web\printers\images\fdhrthert.dll

到目前為止 (2007/6/11 @ 09:43),下面的防毒軟體可以偵測到這些惡意檔案 (除了 ANI 的檔案外):

fdhrthert.exe:
[ Trend ], "TSPY_ONLINEG.CVT"
rising810.exe:
[ Trend ], "TSPY_ONLINEG.CVT"
css[1].exe:
[ Trend ], "TSPY_ONLINEG.CVT"
fdhrthert.dll:
[ Trend ], "Possible_Infostl"
vip[1].htm:
[ Kaspersky ], "Trojan-Downloader.JS.Agent.gj"
[ Rising ], "Trojan.DL.JS.Agent.lex"
[ Ewido ], "Downloader.Agent.fm"

  1. “社團法人中華民國管理科學學會網站又被植入惡意連結” 目前有 2 迴響

  2. 請問一下 Members.php 這個檔案是在哪個路徑下呢 http://www.management.org.tw/Members.php 沒有這個檔案耶

    By Anonymous on 2007 年 06 月 28 日 - 01:06:00

  3. 是在member目錄下。

    By Roger on 2007 年 06 月 28 日 - 09:18:00

請在此留下您的意見

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).