佛教慈濟綜合醫院網站又被植入惡意連結
2007 年 07 月 23 日 – 08:07:00佛教慈濟綜合醫院網站又被植入惡意連結,此惡意程式為 Lineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。
惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:
執行之後,有下面的行為:
[Added process]
C:\WINDOWS\avp.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\gfdgj45.com
[DLL injection]
C:\WINDOWS\system32\mui\svchost.exe
C:\WINDOWS\system32\od3mdi.dll
C:\WINDOWS\system32\zhaunogp.dll
[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe
NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys
NAME: zhaunogp
DISPLAY: Network DDE ZHAUNOGP
FILE: C:\WINDOWS\system32\svchost.exe -k zhaunogp
[Added file]
C:\autorun.inf
C:\bl.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\gfdgj45.com
C:\Documents and Settings\Administrator\Local Settings\Temp\microsofts.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\microsofts.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\0614[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\3[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\ma[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\bt[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\click[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\default[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\yahoo[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\2[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\ma[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\anhao.dll
C:\WINDOWS\system32\mui\svchost.exe
C:\WINDOWS\system32\od3mdi.dll
C:\WINDOWS\system32\zhaunogp.dll
[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od3mdi.dll)
ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od3mdi.dll)
到目前為止 (2007/7/20 @ 14:41),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):
2[1].exe:
[ Symantec ], 『Trojan.Packed.16″
[ Kaspersky ], 『PAK:NakedPack, PAK:ASPack, PAK:PE_Patch, Trojan-PSW.Win32.Maran.jg』
[ Panda ], 『Suspicious file』
[ Nod32 ], 『a variant of Win32/PSW.Maran trojan』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/PSW.157696″
3[1].exe:
[ Kaspersky ], 『PAK:PE_Patch』
[ McAfee ], 『BackDoor-CKB』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『DR/PcClient.Gen』
0614[1].htm:
[ Microsoft ], 『Exploit:HTML/Expascii.gen』
[ McAfee ], 『ObfuscatedHtml』
[ Fortinet ], 『HTML/ASCII.gen!exploit』
avp.exe:
[ Kaspersky ], 『Trojan-PSW.Win32.Maran.jg』
[ McAfee ], 『PWS-Maran』
[ Nod32 ], 『a variant of Win32/PSW.Maran trojan』
[ HBEDV ], 『TR/PSW.Maran.JG.3″
bl.exe:
[ Symantec ], 『Trojan.Packed.16″
[ Kaspersky ], 『PAK:NakedPack』
[ Panda ], 『Suspicious file』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.XPACK.Gen』
[ Ewido ], 『Downloader.Agent.byj』
bt[1].htm:
[ Rising ], 『Trojan.DL.JS.Agent.lir』
gfdgj45.com:
[ Symantec ], 『Trojan.Packed.16″
[ Kaspersky ], 『PAK:NakedPack』
[ Panda ], 『Suspicious file』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.XPACK.Gen』
[ Ewido ], 『Downloader.Agent.byj』
microsofts.exe:
[ Symantec ], 『Trojan.Packed.16″
[ Kaspersky ], 『PAK:NakedPack』
[ Panda ], 『Suspicious file』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.XPACK.Gen』
[ Ewido ], 『Downloader.Agent.byj』
svchost.exe:
[ Symantec ], 『Trojan.Packed.16″
[ Kaspersky ], 『PAK:NakedPack』
[ Panda ], 『Suspicious file』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.XPACK.Gen』
[ Ewido ], 『Downloader.Agent.byj』
yahoo[1].htm:
[ Microsoft ], 『Exploit:HTML/Expascii.gen』
[ McAfee ], 『ObfuscatedHtml』
[ Fortinet ], 『HTML/ASCII.gen!exploit』
zhaunogp.dll:
[ Kaspersky ], 『Trojan.Win32.Agent.atk』
[ HBEDV ], 『HEUR/Malware』
[ Rising ], 『Trojan.Win32.Agent.ios』
1[1].exe:
[ Symantec ], 『Trojan.Packed.16″
[ Kaspersky ], 『PAK:NakedPack』
[ Panda ], 『Suspicious file』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.XPACK.Gen』
[ Ewido ], 『Downloader.Agent.byj』
“佛教慈濟綜合醫院網站又被植入惡意連結” 目前有 2 迴響
請問:
因為家人常要到慈濟醫院網站掛號.又不知道修好了沒..
不知慈濟綜合醫院網站修復了嗎?
By Anonymous on 2007 年 07 月 29 日 - 23:34:00
目前網站已經修復,但不確定他們是否有修復安全漏洞。
By Roger on 2007 年 07 月 30 日 - 00:13:00