僑光技術學院網站被植入惡意連結
2007 年 10 月 04 日 – 16:34:00僑光技術學院網站被植入惡意連結,此惡意程式為 TROJ_DELF.HYF,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒。(Credit: Jimau)
惡意連結是放置在某些頁面 (np3.htm, stenter.htm) 中 (可能要仔細檢查一下囉) 中的:
執行之後,有下面的行為:
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\real[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\764994885[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\main[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\css[1].js
C:\WINDOWS\rising639.exe
C:\WINDOWS\system32\drivers\KrnDigger.SYS
C:\WINDOWS\system32\lo.dll
C:\WINDOWS\system32\ss.exe
到目前為止 (2007/10/4 @ 14:19),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):
rising639.exe:
[ Trend ], "TROJ_DELF.HYF"
css[1].js:
[ Alpha_Gen ], "Possible_EncScr"
[ Kaspersky ], "Trojan-Downloader.JS.Psyme.mr"
[ HBEDV ], "JS/Dldr.MarcoMedia"
KrnDigger.SYS:
[ Panda ], "Trj/Agent.GII"
[ Nod32 ], "Win32/RiskWare.PsUtils.18 application"
[ Fortinet ], "HackerTool/PsUtils"
[ HBEDV ], "SPR/Tool.PsUtils.18″
[ Rising ], "RootKit.Win32.Agent.ngr"
ss.exe:
[ Beta_Gen ], "AP_MALPK-2″
[ Kaspersky ], "PAK:PE_Patch, PAK:UPack"
[ McAfee ], "New Malware.aj !!"
[ Sophos ], "Mal/Packer"
[ Panda ], "Trj/Agent.DPE"
[ Nod32 ], "Win32/RiskWare.PsUtils.18 application"
[ Fortinet ], "HackerTool/PsUtils"
[ HBEDV ], "SPR/HideProcess.B.2″
[ Norman ], "Security Risk W32/Suspicious_U.gen"
“僑光技術學院網站被植入惡意連結” 目前有 1 迴響
果然沒錯,我還在想沒有人發現嗎?
學校很像也沒發現,
上電腦課的時候,學校首頁網頁開完,ie首頁就被綁架了,
上課用隨身碟,一回家就馬上先掃毒,真的掃到特洛伊病毒了!!
請各位同學保重,千萬不要這個時候上去…
By Anonymous on 2007 年 11 月 5 日 - 22:14:00