中國國民黨網站又被植入惡意連結 :-(

2007 年 11 月 14 日 – 09:05:00

注意:此惡意檔案放置在國民黨網站中,所以,『網站信譽評等技術』有可能失效。

中國國民黨網站又被植入惡意連結,此惡意程式為 Backdoor.Win32.PcClient.bal 或 Rootkit/PcClient.FK,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒。

惡意連結/程式碼是放置在 main.asp (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[DLL injection]
C:\WINDOWS\system32\clrptm.dll

[Added service]
NAME: yysjstwz
DISPLAY: yysjstwz
FILE: \??\C:\WINDOWS\system32\drivers\clrptm.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\temp003[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\category1_1_1_4_3[1].htm
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb
C:\WINDOWS\system32\clrptm.dll
C:\WINDOWS\system32\drivers\clrptm.sys

到目前為止 (2007/11/14 @ 09:00),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

clrptm.dll:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, Backdoor.Win32.PcClient.bal"
[ Sophos ], "Mal/Behav-024″
[ Nod32 ], "probably a variant of Win32/Genetik trojan"
[ vba32 ], "Trojan-Downloader.Win32.Delf.ain"
[ Sunbelt ], "VIPRE.Suspicious"
[ WebWasher ], "BlockReason.46 (suspicious)"
[ bitdefender ], "Backdoor.Agent.YYF"
clrptm.sys:
[ Alpha_Gen ], "Possible_Rootkit"
[ Kaspersky ], "Rootkit.Win32.Agent.iz"
[ McAfee ], "New Malware.an !!"
[ McAfee_Beta ], "New Malware.an !!"
[ Panda ], "Rootkit/PcClient.FK"
[ Panda_Beta ], "Rootkit/PcClient.FK"
[ Nod32 ], "probably unknown NewHeur_PE virus [7]"
[ HBEDV ], "TR/Rootkit.Gen"
[ Rising ], "RootKit.Win32.Agent.nhx"
[ quickheal ], "Rootkit.Agent.iz"
[ WebWasher ], "Trojan.Rootkit.Gen"
temp003[1].jpg:
[ IntelliTrap ], "PAK_Generic.001″
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, Backdoor.Win32.PcClient.aid"
[ Ikarus ], "Backdoor.Win32.PcClient.yw"
[ vba32 ], "Trojan.Win32.Agent.ckf"
[ Sunbelt ], "VIPRE.Suspicious"
[ WebWasher ], "BlockReason.46 (suspicious)"
[ bitdefender ], "Backdoor.Generic.25313″
category1_1_1_4_3[1].htm:
[ Alpha_Gen ], "Possible_EncScr"
[ Beta_Gen ], "Possible_EncScr"
[ Microsoft ], "[->(SCRIPT0001)]:Worm:VBS/VBSWG.gen"
[ HBEDV ], "HEUR/Exploit.HTML"
[ WebWasher ], "BlockReason.46 (suspicious)"

  1. “中國國民黨網站又被植入惡意連結 :-(” 目前有 4 迴響

  2. 請問大砲老師
    這些在BLOG上面所爆的資料都是怎麼檢測出來的呢?
    公司最近有需求,現在在比較您跟X-Solve的技術,是否有相關簡易的資料可以說明呢?謝謝

    By V怪客 on 2007 年 11 月 14 日 - 09:56:00

  3. 有部份是程式做的,有部份是手動做的。基本上,技術都差不多,目前不方便提供,有需要可以聯絡我,謝謝。

    By Roger on 2007 年 11 月 14 日 - 10:47:00

  4. 『網頁信譽評等』應該可以定義到 URL 吧!
    http://www.trend.com.tw/micro/webthreat/Core_tech.html

    By fruit579 on 2007 年 11 月 15 日 - 01:13:00

  5. 目前"category1_1_1_4_3.asp"這個網頁已經找不到了.

    Panda開進去也沒有任何反應了.

    By Anonymous on 2007 年 11 月 18 日 - 07:02:00

請在此留下您的意見

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).