MSN台灣新聞網站被植入惡意連結
2008 年 06 月 16 日 – 13:37:46MSN台灣新聞網站被植入惡意連結,此惡意程式為 Win32/PSW.OnLineGames,最近有瀏覽這個網頁的網友,請要盡速檢查自己的電腦是否有中毒的情形。(Credit: Google)
對此網址,Google Search、McAfee SiteAdvisor、趨勢科技網頁信譽評等(Web Reputation Service)查詢結果,都顯示正常,證明此種技術並非Web安全威脅的完美解決分案。
惡意連結/程式碼是放置在上述網址 (其他頁面,可能要仔細檢查一下囉) 中的:
Google Search查詢結果(未發現異狀),如下圖所示:
McAfee SiteAdvisor查詢結果(未發現異狀),如下圖所示:
趨勢科技網頁信譽評等查詢結果(未發現異狀),如下圖所示:
執行之後,有下面的行為:
[Added process]
C:\WINDOWS\system394841.exe
C:\WINDOWS\system572232.exe
C:\WINDOWS\~tmp5068.exe
C:\WINDOWS\system32\aspimgr.exe
[DLL injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\dat98.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\system333314ow.dll
C:\WINDOWS\system32\dbi102.dll
[Added service]
NAME: aspimgr
DISPLAY: Microsoft ASPI Manager
FILE: C:\WINDOWS\system32\aspimgr.exe
NAME: seictrl
DISPLAY: Security Control
FILE: c:\windows\system32\rundll32.exe dbi102.dll,scan
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\dat98.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\dat99.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\dat9A.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\system333314ow.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\_check32.bat
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\4561[1].swf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\dj[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\ydcm[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\14[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\456[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\bak[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\b[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\click[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\k[1].js
C:\WINDOWS\2.log
C:\WINDOWS\s32.txt
C:\WINDOWS\system32\aspimgr.exe
C:\WINDOWS\system32\dbi102.dll
C:\WINDOWS\system394841.exe
C:\WINDOWS\system572232.exe
C:\WINDOWS\ws386.ini
C:\WINDOWS\~tmp5068.exe
[Added COM/BHO]
{00B58F06-D7A2-456A-AE04-EB9ABF822FE4}-C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\system333314ow.dll
{425882B0-B0BF-11CE-B59F-00AA006CB37D}-C:\WINDOWS\system32\npp\ndisnpp.dll
{E25C29AB-12B9-4523-A53C-324B5FBA648C}-C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat98.tmp
[Added registry]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Value=Shell
Data=』C:\WINDOWS\system32\Rundll32.exe』 『C:\WINDOWS\system32\shell32.dll』,Control_RunDLL 『C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat98.tmp』
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Value=butme.exe
Data=C:\WINDOWS\system572232.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Value=solo
Data=C:\WINDOWS\system394841.exe
到目前為止 (2008/6/16 @ 11:01),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):
dat9A.tmp:
[ Trend ], 『TROJ_AGENT.ALDB』
k[1].js:
[ HBEDV ], 『HEUR/HTML.Malware』
[ Norman ], 『Trojan HTML/Exploit!IFrame.H』
index.htm:
[ Alpha_Gen ], 『Possible_EncScr』
[ Beta_Gen ], 『Possible_EncScr』
[ WebWasher ], 『BlockReason.46 (suspicious)』
system333314ow.dll:
[ Kaspersky ], 『PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact』
[ Sophos ], 『Mal/Heuri-E』
[ HBEDV ], 『TR/Spy.Gen』
[ eAladdin ], 『Suspicious File [100]』
[ Authentium ], 『W32/Threat-HLLIP-based!Maximus』
[ WebWasher ], 『Trojan.Spy.Gen』
system394841.exe:
[ IntelliTrap ], 『PAK_Generic.006″
[ Alpha_Gen ], 『AP_MALPK-2″
[ Beta_Gen ], 『AP_MALPK-2″
[ Kaspersky ], 『PAK:PE_Patch, PAK:UPack』
[ Sophos ], 『Mal/Behav-010″
[ Panda ], 『Suspicious file』
[ Panda_Beta ], 『Suspicious file』
[ Nod32 ], 『probably unknown NewHeur_PE virus [7]』
[ Fortinet ], 『suspicious』
[ Norman ], 『Trojan W32/Suspicious_U.gen』
[ eAladdin ], 『Suspicious File [104]』
[ WebWasher ], 『BlockReason.46 (suspicious)』
dbi102.dll:
[ IntelliTrap ], 『PAK_Generic.001″
[ Alpha_Gen ], 『AP_Bits』
[ Beta_Gen ], 『AP_Bits』
[ Sophos ], 『Mal/Behav-204″
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.XPACK.Gen』
[ Rising ], 『Trojan.PSW.Win32.GameOL.npo』
[ Ikarus ], 『Trojan.Crypt.AV』
[ eAladdin ], 『Suspicious File [100]』
[ WebWasher ], 『Trojan.Crypt.XPACK.Gen』
[ bitdefender ], 『Trojan.Crypt.AV』
aspimgr.exe:
[ Beta_Gen ], 『Possible_Asprox』
[ Microsoft ], 『Trojan:Win32/Danmec.gen!A』
[ McAfee ], 『Proxy-Agent.af.gen』
[ McAfee_Beta ], 『Proxy-Agent.af.gen』
[ Nod32 ], 『probably a variant of Win32/Agent.NEQ trojan』
[ Ikarus ], 『Virus.Win32.Agent.GPS』
[ WebWasher ], 『BlockReason.46 (suspicious)』
system572232.exe:
[ McAfee ], 『New Downloader-b !!』
[ McAfee_Beta ], 『New Downloader-b !!』
[ Sophos ], 『Mal/Heuri-E』
[ Panda ], 『Suspicious file』
[ Panda_Beta ], 『Suspicious file』
[ Nod32 ], 『probably unknown NewHeur_PE virus [7]』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『HEUR/Crypted』
[ Authentium ], 『W32/Downloader-Sml-based!Maximus』
[ WebWasher ], 『BlockReason.46 (suspicious)』
[ bitdefender ], 『Generic.Malware.Sdld!!.41E2F2EA』
dat99.tmp:
[ IntelliTrap ], 『PAK_Generic.001″
[ Alpha_Gen ], 『AP_Bits』
[ Beta_Gen ], 『AP_Bits』
[ Microsoft ], 『PWS:Win32/Frethog.D』
[ McAfee ], 『Generic PWS.y』
[ McAfee_Beta ], 『Generic PWS.y』
[ Sophos ], 『Mal/Packer』
[ Nod32 ], 『a variant of Win32/PSW.OnLineGames.NOT trojan』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.NSPM.Gen』
[ Norman ], 『Trojan W32/Suspicious_N.gen』
[ eAladdin ], 『Suspicious File [101]』
[ Authentium ], 『W32/Threat-INLIB-based!Maximus』
[ WebWasher ], 『Trojan.Crypt.NSPM.Gen』
dat98.tmp:
[ IntelliTrap ], 『PAK_Generic.001″
[ Alpha_Gen ], 『AP_Bits』
[ Beta_Gen ], 『AP_Bits』
[ Microsoft ], 『TrojanDropper:Win32/Rootkit.AFH』
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.aoqx』
[ McAfee ], 『Generic Dropper』
[ McAfee_Beta ], 『Generic Dropper』
[ Sophos ], 『Mal/Packer』
[ Nod32 ], 『a variant of Win32/PSW.OnLineGames.NOT trojan』
[ Fortinet ], 『W32/OnLineGames.AOQX!tr.pws』
[ HBEDV ], 『TR/Crypt.NSPM.Gen』
[ Norman ], 『Trojan W32/Suspicious_N.gen』
[ Rising ], 『[>>nspack]:Trojan.PSW.Win32.GameOL.gca』
[ eAladdin ], 『Suspicious File [101]』
[ WebWasher ], 『Trojan.Crypt.NSPM.Gen』
b[1].js:
[ Microsoft ], 『Trojan:JS/Redirector.N』
[ Sophos ], 『Troj/Iframe-AG』
[ Norman ], 『Trojan HTML/Exploit!IFrame.G』
dj[1].htm:
[ McAfee ], 『[00000066.js]:VBS/Psyme』
[ McAfee_Beta ], 『[00000066.js]:VBS/Psyme』
[ HBEDV ], 『HEUR/HTML.Malware』
[ Ikarus ], 『Trojan-Downloader.JS.Agent.di』
[ Ewido ], 『Downloader.Multi.cb』
[ Authentium ], 『JS/Agent.FW』
[ WebWasher ], 『BlockReason.46 (suspicious)』
bak[1].exe:
[ Microsoft ], 『TrojanDownloader:Win32/Small.gen!D』
[ Kaspersky ], 『PAK:MPRESS』
[ Nod32 ], 『probably unknown NewHeur_PE virus [7]』
[ Fortinet ], 『suspicious』
[ Rising ], 『[>>vmppacker]:Packer.Win32.VmpPacker.a』
[ eAladdin ], 『Suspicious File [100]』
[ WebWasher ], 『BlockReason.46 (suspicious)』
4561[1].swf:
[ Symantec ], 『Downloader.Swif.C』
[ Kaspersky ], 『PAK:Swf2Swc, Trojan-Downloader.SWF.Small.bi』
[ Sophos ], 『Troj/SWFdlr-Gen, Troj/SWFdlr-Gen, Troj/SWFdlr-Gen』
[ Panda ], 『Exploit/Flash.C』
[ Panda_Beta ], 『Exploit/Flash.C』
[ HBEDV ], 『TR/Dldr.SWF.Small.BI』
[ Ikarus ], 『Win32.SuspectCrc』
[ WebWasher ], 『Trojan.Dldr.SWF.Small.BI』
456[1].htm:
[ Kaspersky ], 『Trojan-Downloader.HTML.Agent.jz, Trojan-Downloader.HTML.Agent.jz』
[ Sophos ], 『Troj/Dwnldr-HED』
[ HBEDV ], 『HEUR/HTML.Malware』
[ vba32 ], 『Trojan-Downloader.JS.Agent.nh』
[ Authentium ], 『JS/Agent.HQ』
[ WebWasher ], 『BlockReason.46 (suspicious)』
14[1].htm:
[ Microsoft ], 『[->(SCRIPT0000)]:TrojanDownloader:JS/Psyme.H』
[ Kaspersky ], 『Trojan-Downloader.JS.Small.ly』
[ McAfee ], 『VBS/Psyme』
[ McAfee_Beta ], 『VBS/Psyme』
[ Sophos ], 『Mal/Psyme-A』
[ HBEDV ], 『HEUR/HTML.Malware』
[ Norman ], 『Trojan VBS/Psyme.BF』
[ Ikarus ], 『Trojan-Downloader.JS.Psyme.kq』
[ Authentium ], 『JS/Psyme.CN』
[ WebWasher ], 『BlockReason.46 (suspicious)』
[ bitdefender ], 『Trojan.Downloader.Js.Psyme.KQ』
[ drweb ], 『VBS.Psyme.239″
~tmp5068.exe:
[ Microsoft ], 『TrojanDownloader:Win32/Small.gen!D』
[ Kaspersky ], 『PAK:MPRESS』
[ Nod32 ], 『probably unknown NewHeur_PE virus [7]』
[ Fortinet ], 『suspicious』
[ Rising ], 『[>>vmppacker]:Packer.Win32.VmpPacker.a』
[ eAladdin ], 『Suspicious File [100]』
[ WebWasher ], 『BlockReason.46 (suspicious)』
“MSN台灣新聞網站被植入惡意連結” 目前有 18 迴響
那個..剛才去過那裡看新聞耶
可是防毒軟體沒有動作
我要怎樣檢查是否中毒?!
By suda on 2008 年 06 月 16 日 - 18:38:40
檢查電腦是否有「執行之後的行為」。
By Roger on 2008 年 06 月 16 日 - 20:09:07
我跟suda的情況一樣,看了MSN新聞但卡巴並沒有警示
Roger大的意思昰到您所指出的所有執行情況的路徑中查看嗎?
因為列出的執行情況很多,一個一個查看很沒效率
有沒有更有效率的檢查方法?
還有另一個疑問
HTTP://www.heihei117.cn/k.js
HTTP://www.advabnr.com/b.js
這兩個昰惡意連結的網站嗎?意思是點了新聞頁面就會被轉到該網站?
還是並沒有這兩個網站,點腦在點了MSN新聞自動被殖入木馬?
By 饅頭 on 2008 年 06 月 17 日 - 14:39:01
新聞頁面包含這兩個惡意連結,當瀏覽頁面時,會觸發執行那兩個惡意連結…
By Roger on 2008 年 06 月 17 日 - 21:48:31
我也中了
趨勢防毒攔下來 卻刪不掉
一直跳出警告視窗 好煩
請教一下 該怎麼刪除阿????
By mimi on 2008 年 06 月 19 日 - 01:44:17
重新開機後做全系統掃瞄!
By JCD on 2008 年 06 月 19 日 - 01:47:37
幾乎所有的防毒軟體都無法清除已經中毒的系統,趨勢科技也不例外。如果你對病毒了解的話,可以根據上面執行後有什麼行為,進行手動清除的動作。
回答JCD:
如果已經中毒且防毒軟體一直無法清除,重新開機後,做系統掃描也沒有用。
By Roger on 2008 年 06 月 19 日 - 08:39:44
謝謝你們的回應
我用搜尋找到dbi102.dll檔案所在位置
可是殺不掉 拒絕被存取
趨勢也僅能隔離
最可惡的是一直在右下方 跳出警告視窗
這樣根本影響其他運作
還有ie7.0本來就爆難用
現在更常整個網頁當掉
本來的病毒不只這一個 還有orz.exe 還有幾個執行檔
昨天掃了半天 今天到目前為止只見到dbi102.dll
我不會電腦阿
Roger 大師 能不能弄個
讓我們這種電腦白痴自動執行刪除的檔阿? 感恩~~~
By mimi on 2008 年 06 月 19 日 - 13:13:59
這世上沒有保證不中毒的防毒軟體
也沒有100%安全的網站
只要使用網路就有中鏢的風險
可是我還是想請問高手們,有沒有更積極的防禦方法?
或者保護電腦完全零風險的希望,根本只是緣木求魚的想法?
By 饅頭 on 2008 年 06 月 19 日 - 16:08:36
完全零風險…..完全不使用就沒有風險嘍=w=;
所謂風險只有用其他手段去避險(本機備分、異地備份、還原
演練)資安評估風險也絕對不會把任何系統認定為絕對安全,
只是看要如何從操作面、政策面…等等去降低風險發生時
的影響。
個人使用者也可以參考看看….擬定你的風險(比方說遊戲
帳號被盜、網路銀行帳號被盜….)事件,想想你能承受多少
風險跟減少風險發生的機會(少用、提高密碼複雜度、不同
網站使用不同帳號密碼、多注意資安事件、少瀏覽不良網站
、關閉多數互動功能與自動下載、提高警覺….)就只能這樣
而已
By 重重 on 2008 年 06 月 19 日 - 16:22:58
請問:有通知他們嗎?還沒有修復嗎??
By Hitman on 2008 年 06 月 19 日 - 20:03:09
MSN新聞網站已經修復了。
By Roger on 2008 年 06 月 19 日 - 20:19:16
回覆mimi:
目前您可以使用IceSword(http://pjf.blogcn.com/index.shtml)或GMER(http://www.gmer.net/gmer.zip)試試看,至於我們會不會做這樣的工具,要視情況而定,不過,目前這不是我們最重要的工作。
By Roger on 2008 年 06 月 19 日 - 20:29:15
ya ya Roger大師太厲害了
我用IceSword 終於把它清除了 呼~~
而且要用強制刪除才可以 删掉
終於一洩心頭之恨!之前被搞得快瘋了
一直關視窗 難怪今天手這麼酸 =.=』
謝謝! 謝謝! 網路真是有溫暖阿。
By mimi on 2008 年 06 月 19 日 - 23:45:51
不是我厲害,是工具厲害,我只是提供資訊。
By Roger on 2008 年 06 月 20 日 - 07:20:27
mimi大大說:
「我不會電腦阿
Roger 大師 能不能弄個
讓我們這種電腦白痴自動執行刪除的檔阿? 感恩~~~」
mimi大大真是客氣呀!!
如果電腦白痴兩下就能把IceSword工具弄上手
ㄟㄟ…我還真不知該如何說哩…
呵呵…
不過話說回來,IceSword在做清除時,確實是很好的工具
By Crane on 2008 年 06 月 20 日 - 10:50:36
呵呵 樓上的Crane 看來你也是高手
我這樣是』久病成良醫』吧
wow 這裡高手這麼多又實用
I will remark it.
(and I will come back )^6^
By mimi on 2008 年 06 月 20 日 - 11:38:12
還是那句老話,有錢有閒的話趕快去上一下Roger大大在資策會開的課程.費用也不算貴,多少都會有一點幫助!正所謂師父領進門,修行在個人,善用別人的知識與經驗幫助自己成長,未嘗不是一件好事!
By tomatodog on 2008 年 06 月 20 日 - 13:18:55