中華民國英語文教師學會網站遭駭且被植入惡意連結

2008 年 04 月 28 日 – 16:42:40

中華民國英語文教師學會網站被植入惡意連結,此惡意程式為 TSPY_ONLINEG.FYU,最近有瀏覽這個網頁的網友,請要盡速檢查自己的電腦是否有中毒的情形。

對此網址,Google Search、McAfee SiteAdvisor趨勢科技網頁信譽評等(Web Reputation Service)查詢結果,都顯示正常,證明此種技術並非Web安全威脅的完美解決分案,換言之,資訊安全絕對無法做到百分百的安全。

惡意連結/程式碼是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

Google Search查詢結果(未發現異狀),如下圖所示:

McAfee SiteAdvisor查詢結果(未發現異狀),如下圖所示:

趨勢科技網頁信譽評等查詢結果(未發現異狀),如下圖所示:

執行之後,有下面的行為:

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\MicroSofts.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gm[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\css[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\vccd[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\1809243[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\eta.org[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\webx[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\b2[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\down[1].exe
C:\_uninsep.bat

到目前為止 (2008/4/28 @ 15:19),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

down[1].exe:
[ Trend ], "TSPY_ONLINEG.FYU"
b2[1].htm:
[     Alpha_Gen    ], "Heur_Infrm-1″
[     HBEDV        ], "HTML/Infected.WebPage.Gen"
[     Norman       ], "Trojan HTML/Exploit!IFrame.G"
[     WebWasher    ], "Script.Infected.WebPage.Gen"
css[1].js:
[     Kaspersky    ], "PAK:JSPack, PAK:JSPack, unknown format."
[     HBEDV        ], "HEUR/Exploit.HTML"
gm[1].htm:
[     WebWasher    ], "BlockReason.46 (suspicious)"
vccd[1].htm:
[     Alpha_Gen    ], "Heur_Infrm-2″
[     Norman       ], "Trojan HTML/Exploit!IFrame.G"
webx[1].htm:
[     HBEDV        ], "HEUR/Exploit.HTML"

  1. “中華民國英語文教師學會網站遭駭且被植入惡意連結” 目前有 4 迴響

  2. 應該要用被植入的惡意連結去 McAfee SiteAdvisor 或趨勢科技網頁信譽評等(Web Reputation Service)查詢才對吧!
    畢竟這兩個服務都是會在用戶端直接阻擋惡意網頁,和 Google Search 警示瀏覽網頁有可能會被植入惡意程式的方式不同!

    By oolong on 2008 年 04 月 29 日 - 00:26:33

  3. 他們號稱都有做Content Inspection,測試結果不符合預期結果。如果他們只比對惡意連結的話,那他們還敢說他們的技術很好嗎?另外,惡意連結或IP常常變化,這種技術根本跟不上攻擊者的腳步,屬於被動式防禦。

    By Roger on 2008 年 04 月 29 日 - 11:08:32

  4. Hi Roger

    你檢測的方式有誤歐~~應該用malware link HTTP://vccd.cn 做檢測才對
    而不是用www.eta.org.tw檢測,另外TrendMicro WRS是可以block HTTP://vccd.cn 的!!

    By PP on 2008 年 05 月 1 日 - 18:47:56

  5. 在這篇(http://rogerspeaking.com/2008/04/759)文章中,我有說明趨勢科技的WRS可以偵測到那個惡意連結。

    防毒軟體號稱他們有做Content Inspection,感覺好像沒有。如果防毒軟體只比對惡意連結,存在正常網站的惡意程式碼,他們就無法檢測出來。

    By Roger on 2008 年 05 月 1 日 - 20:12:22

請在此留下您的意見

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).