MSN台灣新聞網站被植入惡意連結
2008 年 06 月 16 日 – 13:37:46MSN台灣新聞網站被植入惡意連結,此惡意程式為 Win32/PSW.OnLineGames,最近有瀏覽這個網頁的網友,請要盡速檢查自己的電腦是否有中毒的情形。(Credit: Google)
對此網址,Google Search、McAfee SiteAdvisor、趨勢科技網頁信譽評等(Web Reputation Service)查詢結果,都顯示正常,證明此種技術並非Web安全威脅的完美解決分案。
惡意連結/程式碼是放置在上述網址 (其他頁面,可能要仔細檢查一下囉) 中的:
Google Search查詢結果(未發現異狀),如下圖所示:
McAfee SiteAdvisor查詢結果(未發現異狀),如下圖所示:
趨勢科技網頁信譽評等查詢結果(未發現異狀),如下圖所示:
執行之後,有下面的行為:
[Added process]
C:\WINDOWS\system394841.exe
C:\WINDOWS\system572232.exe
C:\WINDOWS\~tmp5068.exe
C:\WINDOWS\system32\aspimgr.exe
[DLL injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\dat98.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\system333314ow.dll
C:\WINDOWS\system32\dbi102.dll
[Added service]
NAME: aspimgr
DISPLAY: Microsoft ASPI Manager
FILE: C:\WINDOWS\system32\aspimgr.exe
NAME: seictrl
DISPLAY: Security Control
FILE: c:\windows\system32\rundll32.exe dbi102.dll,scan
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\dat98.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\dat99.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\dat9A.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\system333314ow.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\_check32.bat
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\4561[1].swf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\dj[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\ydcm[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\14[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\456[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\bak[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\b[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\click[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\k[1].js
C:\WINDOWS\2.log
C:\WINDOWS\s32.txt
C:\WINDOWS\system32\aspimgr.exe
C:\WINDOWS\system32\dbi102.dll
C:\WINDOWS\system394841.exe
C:\WINDOWS\system572232.exe
C:\WINDOWS\ws386.ini
C:\WINDOWS\~tmp5068.exe
[Added COM/BHO]
{00B58F06-D7A2-456A-AE04-EB9ABF822FE4}-C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\system333314ow.dll
{425882B0-B0BF-11CE-B59F-00AA006CB37D}-C:\WINDOWS\system32\npp\ndisnpp.dll
{E25C29AB-12B9-4523-A53C-324B5FBA648C}-C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat98.tmp
[Added registry]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Value=Shell
Data="C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat98.tmp"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Value=butme.exe
Data=C:\WINDOWS\system572232.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Value=solo
Data=C:\WINDOWS\system394841.exe
到目前為止 (2008/6/16 @ 11:01),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):
dat9A.tmp:
[ Trend ], "TROJ_AGENT.ALDB"
k[1].js:
[ HBEDV ], "HEUR/HTML.Malware"
[ Norman ], "Trojan HTML/Exploit!IFrame.H"
index.htm:
[ Alpha_Gen ], "Possible_EncScr"
[ Beta_Gen ], "Possible_EncScr"
[ WebWasher ], "BlockReason.46 (suspicious)"
system333314ow.dll:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Sophos ], "Mal/Heuri-E"
[ HBEDV ], "TR/Spy.Gen"
[ eAladdin ], "Suspicious File [100]"
[ Authentium ], "W32/Threat-HLLIP-based!Maximus"
[ WebWasher ], "Trojan.Spy.Gen"
system394841.exe:
[ IntelliTrap ], "PAK_Generic.006″
[ Alpha_Gen ], "AP_MALPK-2″
[ Beta_Gen ], "AP_MALPK-2″
[ Kaspersky ], "PAK:PE_Patch, PAK:UPack"
[ Sophos ], "Mal/Behav-010″
[ Panda ], "Suspicious file"
[ Panda_Beta ], "Suspicious file"
[ Nod32 ], "probably unknown NewHeur_PE virus [7]"
[ Fortinet ], "suspicious"
[ Norman ], "Trojan W32/Suspicious_U.gen"
[ eAladdin ], "Suspicious File [104]"
[ WebWasher ], "BlockReason.46 (suspicious)"
dbi102.dll:
[ IntelliTrap ], "PAK_Generic.001″
[ Alpha_Gen ], "AP_Bits"
[ Beta_Gen ], "AP_Bits"
[ Sophos ], "Mal/Behav-204″
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.XPACK.Gen"
[ Rising ], "Trojan.PSW.Win32.GameOL.npo"
[ Ikarus ], "Trojan.Crypt.AV"
[ eAladdin ], "Suspicious File [100]"
[ WebWasher ], "Trojan.Crypt.XPACK.Gen"
[ bitdefender ], "Trojan.Crypt.AV"
aspimgr.exe:
[ Beta_Gen ], "Possible_Asprox"
[ Microsoft ], "Trojan:Win32/Danmec.gen!A"
[ McAfee ], "Proxy-Agent.af.gen"
[ McAfee_Beta ], "Proxy-Agent.af.gen"
[ Nod32 ], "probably a variant of Win32/Agent.NEQ trojan"
[ Ikarus ], "Virus.Win32.Agent.GPS"
[ WebWasher ], "BlockReason.46 (suspicious)"
system572232.exe:
[ McAfee ], "New Downloader-b !!"
[ McAfee_Beta ], "New Downloader-b !!"
[ Sophos ], "Mal/Heuri-E"
[ Panda ], "Suspicious file"
[ Panda_Beta ], "Suspicious file"
[ Nod32 ], "probably unknown NewHeur_PE virus [7]"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Crypted"
[ Authentium ], "W32/Downloader-Sml-based!Maximus"
[ WebWasher ], "BlockReason.46 (suspicious)"
[ bitdefender ], "Generic.Malware.Sdld!!.41E2F2EA"
dat99.tmp:
[ IntelliTrap ], "PAK_Generic.001″
[ Alpha_Gen ], "AP_Bits"
[ Beta_Gen ], "AP_Bits"
[ Microsoft ], "PWS:Win32/Frethog.D"
[ McAfee ], "Generic PWS.y"
[ McAfee_Beta ], "Generic PWS.y"
[ Sophos ], "Mal/Packer"
[ Nod32 ], "a variant of Win32/PSW.OnLineGames.NOT trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
[ Norman ], "Trojan W32/Suspicious_N.gen"
[ eAladdin ], "Suspicious File [101]"
[ Authentium ], "W32/Threat-INLIB-based!Maximus"
[ WebWasher ], "Trojan.Crypt.NSPM.Gen"
dat98.tmp:
[ IntelliTrap ], "PAK_Generic.001″
[ Alpha_Gen ], "AP_Bits"
[ Beta_Gen ], "AP_Bits"
[ Microsoft ], "TrojanDropper:Win32/Rootkit.AFH"
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.aoqx"
[ McAfee ], "Generic Dropper"
[ McAfee_Beta ], "Generic Dropper"
[ Sophos ], "Mal/Packer"
[ Nod32 ], "a variant of Win32/PSW.OnLineGames.NOT trojan"
[ Fortinet ], "W32/OnLineGames.AOQX!tr.pws"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
[ Norman ], "Trojan W32/Suspicious_N.gen"
[ Rising ], "[>>nspack]:Trojan.PSW.Win32.GameOL.gca"
[ eAladdin ], "Suspicious File [101]"
[ WebWasher ], "Trojan.Crypt.NSPM.Gen"
b[1].js:
[ Microsoft ], "Trojan:JS/Redirector.N"
[ Sophos ], "Troj/Iframe-AG"
[ Norman ], "Trojan HTML/Exploit!IFrame.G"
dj[1].htm:
[ McAfee ], "[00000066.js]:VBS/Psyme"
[ McAfee_Beta ], "[00000066.js]:VBS/Psyme"
[ HBEDV ], "HEUR/HTML.Malware"
[ Ikarus ], "Trojan-Downloader.JS.Agent.di"
[ Ewido ], "Downloader.Multi.cb"
[ Authentium ], "JS/Agent.FW"
[ WebWasher ], "BlockReason.46 (suspicious)"
bak[1].exe:
[ Microsoft ], "TrojanDownloader:Win32/Small.gen!D"
[ Kaspersky ], "PAK:MPRESS"
[ Nod32 ], "probably unknown NewHeur_PE virus [7]"
[ Fortinet ], "suspicious"
[ Rising ], "[>>vmppacker]:Packer.Win32.VmpPacker.a"
[ eAladdin ], "Suspicious File [100]"
[ WebWasher ], "BlockReason.46 (suspicious)"
4561[1].swf:
[ Symantec ], "Downloader.Swif.C"
[ Kaspersky ], "PAK:Swf2Swc, Trojan-Downloader.SWF.Small.bi"
[ Sophos ], "Troj/SWFdlr-Gen, Troj/SWFdlr-Gen, Troj/SWFdlr-Gen"
[ Panda ], "Exploit/Flash.C"
[ Panda_Beta ], "Exploit/Flash.C"
[ HBEDV ], "TR/Dldr.SWF.Small.BI"
[ Ikarus ], "Win32.SuspectCrc"
[ WebWasher ], "Trojan.Dldr.SWF.Small.BI"
456[1].htm:
[ Kaspersky ], "Trojan-Downloader.HTML.Agent.jz, Trojan-Downloader.HTML.Agent.jz"
[ Sophos ], "Troj/Dwnldr-HED"
[ HBEDV ], "HEUR/HTML.Malware"
[ vba32 ], "Trojan-Downloader.JS.Agent.nh"
[ Authentium ], "JS/Agent.HQ"
[ WebWasher ], "BlockReason.46 (suspicious)"
14[1].htm:
[ Microsoft ], "[->(SCRIPT0000)]:TrojanDownloader:JS/Psyme.H"
[ Kaspersky ], "Trojan-Downloader.JS.Small.ly"
[ McAfee ], "VBS/Psyme"
[ McAfee_Beta ], "VBS/Psyme"
[ Sophos ], "Mal/Psyme-A"
[ HBEDV ], "HEUR/HTML.Malware"
[ Norman ], "Trojan VBS/Psyme.BF"
[ Ikarus ], "Trojan-Downloader.JS.Psyme.kq"
[ Authentium ], "JS/Psyme.CN"
[ WebWasher ], "BlockReason.46 (suspicious)"
[ bitdefender ], "Trojan.Downloader.Js.Psyme.KQ"
[ drweb ], "VBS.Psyme.239″
~tmp5068.exe:
[ Microsoft ], "TrojanDownloader:Win32/Small.gen!D"
[ Kaspersky ], "PAK:MPRESS"
[ Nod32 ], "probably unknown NewHeur_PE virus [7]"
[ Fortinet ], "suspicious"
[ Rising ], "[>>vmppacker]:Packer.Win32.VmpPacker.a"
[ eAladdin ], "Suspicious File [100]"
[ WebWasher ], "BlockReason.46 (suspicious)"
“MSN台灣新聞網站被植入惡意連結” 目前有 18 迴響
那個..剛才去過那裡看新聞耶
可是防毒軟體沒有動作
我要怎樣檢查是否中毒?!
By suda on 2008 年 06 月 16 日 - 18:38:40
檢查電腦是否有「執行之後的行為」。
By Roger on 2008 年 06 月 16 日 - 20:09:07
我跟suda的情況一樣,看了MSN新聞但卡巴並沒有警示
Roger大的意思昰到您所指出的所有執行情況的路徑中查看嗎?
因為列出的執行情況很多,一個一個查看很沒效率
有沒有更有效率的檢查方法?
還有另一個疑問
HTTP://www.heihei117.cn/k.js
HTTP://www.advabnr.com/b.js
這兩個昰惡意連結的網站嗎?意思是點了新聞頁面就會被轉到該網站?
還是並沒有這兩個網站,點腦在點了MSN新聞自動被殖入木馬?
By 饅頭 on 2008 年 06 月 17 日 - 14:39:01
新聞頁面包含這兩個惡意連結,當瀏覽頁面時,會觸發執行那兩個惡意連結…
By Roger on 2008 年 06 月 17 日 - 21:48:31
我也中了
趨勢防毒攔下來 卻刪不掉
一直跳出警告視窗 好煩
請教一下 該怎麼刪除阿????
By mimi on 2008 年 06 月 19 日 - 01:44:17
重新開機後做全系統掃瞄!
By JCD on 2008 年 06 月 19 日 - 01:47:37
幾乎所有的防毒軟體都無法清除已經中毒的系統,趨勢科技也不例外。如果你對病毒了解的話,可以根據上面執行後有什麼行為,進行手動清除的動作。
回答JCD:
如果已經中毒且防毒軟體一直無法清除,重新開機後,做系統掃描也沒有用。
By Roger on 2008 年 06 月 19 日 - 08:39:44
謝謝你們的回應
我用搜尋找到dbi102.dll檔案所在位置
可是殺不掉 拒絕被存取
趨勢也僅能隔離
最可惡的是一直在右下方 跳出警告視窗
這樣根本影響其他運作
還有ie7.0本來就爆難用
現在更常整個網頁當掉
本來的病毒不只這一個 還有orz.exe 還有幾個執行檔
昨天掃了半天 今天到目前為止只見到dbi102.dll
我不會電腦阿
Roger 大師 能不能弄個
讓我們這種電腦白痴自動執行刪除的檔阿? 感恩~~~
By mimi on 2008 年 06 月 19 日 - 13:13:59
這世上沒有保證不中毒的防毒軟體
也沒有100%安全的網站
只要使用網路就有中鏢的風險
可是我還是想請問高手們,有沒有更積極的防禦方法?
或者保護電腦完全零風險的希望,根本只是緣木求魚的想法?
By 饅頭 on 2008 年 06 月 19 日 - 16:08:36
完全零風險…..完全不使用就沒有風險嘍=w=;
所謂風險只有用其他手段去避險(本機備分、異地備份、還原
演練)資安評估風險也絕對不會把任何系統認定為絕對安全,
只是看要如何從操作面、政策面…等等去降低風險發生時
的影響。
個人使用者也可以參考看看….擬定你的風險(比方說遊戲
帳號被盜、網路銀行帳號被盜….)事件,想想你能承受多少
風險跟減少風險發生的機會(少用、提高密碼複雜度、不同
網站使用不同帳號密碼、多注意資安事件、少瀏覽不良網站
、關閉多數互動功能與自動下載、提高警覺….)就只能這樣
而已
By 重重 on 2008 年 06 月 19 日 - 16:22:58
請問:有通知他們嗎?還沒有修復嗎??
By Hitman on 2008 年 06 月 19 日 - 20:03:09
MSN新聞網站已經修復了。
By Roger on 2008 年 06 月 19 日 - 20:19:16
回覆mimi:
目前您可以使用IceSword(http://pjf.blogcn.com/index.shtml)或GMER(http://www.gmer.net/gmer.zip)試試看,至於我們會不會做這樣的工具,要視情況而定,不過,目前這不是我們最重要的工作。
By Roger on 2008 年 06 月 19 日 - 20:29:15
ya ya Roger大師太厲害了
我用IceSword 終於把它清除了 呼~~
而且要用強制刪除才可以 删掉
終於一洩心頭之恨!之前被搞得快瘋了
一直關視窗 難怪今天手這麼酸 =.="
謝謝! 謝謝! 網路真是有溫暖阿。
By mimi on 2008 年 06 月 19 日 - 23:45:51
不是我厲害,是工具厲害,我只是提供資訊。
By Roger on 2008 年 06 月 20 日 - 07:20:27
mimi大大說:
「我不會電腦阿
Roger 大師 能不能弄個
讓我們這種電腦白痴自動執行刪除的檔阿? 感恩~~~」
mimi大大真是客氣呀!!
如果電腦白痴兩下就能把IceSword工具弄上手
ㄟㄟ…我還真不知該如何說哩…
呵呵…
不過話說回來,IceSword在做清除時,確實是很好的工具
By Crane on 2008 年 06 月 20 日 - 10:50:36
呵呵 樓上的Crane 看來你也是高手
我這樣是"久病成良醫"吧
wow 這裡高手這麼多又實用
I will remark it.
(and I will come back )^6^
By mimi on 2008 年 06 月 20 日 - 11:38:12
還是那句老話,有錢有閒的話趕快去上一下Roger大大在資策會開的課程.費用也不算貴,多少都會有一點幫助!正所謂師父領進門,修行在個人,善用別人的知識與經驗幫助自己成長,未嘗不是一件好事!
By tomatodog on 2008 年 06 月 20 日 - 13:18:55