國光客運網站被植入惡意連結
2007 年 10 月 18 日 – 23:33:00國光客運網站被植入惡意連結,此惡意程式為 TROJ_HEURI.AW,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒。(Credit: Jimau 和匿名網友)
惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:
執行之後,有下面的行為:
[DLL injection]
C:\WINDOWS\system32\sysfldr.dll
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\exe[1]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\out[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\out[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\out[2].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\index[1].htm
C:\WINDOWS\system32\sysfldr.dll
到目前為止 (2007/10/17 @ 00:25),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):
sysfldr.dll:
[ Trend ], "TROJ_HEURI.AW"
exe[1]:
[ Kaspersky ], "PAK:FSG"
[ Sophos ], "Mal/Basine-C"
[ Panda ], "Suspicious file"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Crypted"
[ Norman ], "Security Risk Suspicious_F.gen"
“國光客運網站被植入惡意連結” 目前有 1 迴響
國光客運的首頁已暫時移除這個惡意鏈結,但在它的徵才的網頁上並沒有移除喔…如下網址:
hxxp://www.kingbus.com.tw /webadmin/images/ejob-kingbus.htm
我有拍下來,有圖為證:http://tw.myblog.yahoo.com/edward_205_6/article?mid=597&prev=598&next=595
By 天罣 on 2007 年 11 月 9 日 - 03:21:00