澎湖逍遙遊網站被植入惡意連結
2008 年 06 月 19 日 – 10:35:27澎湖逍遙遊網站被植入惡意連結,此惡意程式為 Trojan.PSW.Win32.OnlineGames.faw,最近有瀏覽這個網頁的網友,請要盡速檢查自己的電腦是否有中毒的情形。
對此惡意連結,Google Search、McAfee SiteAdvisor、趨勢科技網頁信譽評等(Web Reputation Service)查詢結果,都顯示正常,證明此種技術並非Web安全威脅的完美解決分案。
惡意連結/程式碼是放置在上述網址 (其他頁面,可能要仔細檢查一下囉) 中的:
McAfee SiteAdvisor查詢結果(未發現異狀),如下圖所示:
趨勢科技網頁信譽評等查詢結果(未發現異狀),如下圖所示:
執行之後,有下面的行為:
[DLL injection]
C:\WINDOWS\Help\F3C74E3FA248.dll
[Added file]
C:\bocl.com
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\w1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\index[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\images[1].htm
C:\WINDOWS\Help\F3C74E3FA248.dll
C:\WINDOWS\Help\F3C74E3FA248.exe
[Added COM/BHO]
{1DBD6574-D6D0-4782-94C3-69619E719765}-C:\WINDOWS\HELP\F3C74E3FA248.dll
到目前為止 (2008/6/19 @ 1:25),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):
F3C74E3FA248.dll:
[ Trend ], “Mal_Infostl”
F3C74E3FA248.exe:
[ IntelliTrap ], “PAK_Generic.001″
[ Microsoft ], “[->(UPX)]:Trojan:Win32/Helpud.A”
[ Kaspersky ], “PAK:BeRo, PAK:PE_Patch.UPX, PAK:UPX, PAK:PE_Patch.MaskPE”
[ Alwil ], “Win32:OnLineGames-AHK [Trj]”
[ Nod32 ], “a variant of Win32/PSW.OnLineGames.NNS trojan”
[ Fortinet ], “suspicious”
[ HBEDV ], “TR/ATRAPS.Gen”
[ Norman ], “[Heuristic Sandbox detection]:Virus W32/Malware”
[ Rising ], “[>>packlz]:Trojan.PSW.Win32.OnlineGames.faw”
[ Ikarus ], “Virus.Win32.OnLineGames.AHK”
[ eAladdin ], “Suspicious File [100]”
[ WebWasher ], “BlockReason.0″
[ bitdefender ], “GenPack:Trojan.PWS.OnlineGames.QZJ”
[ drweb ], “Trojan.PWS.Lineage.origin”
images[1].htm:
[ HBEDV ], “HTML/Crypted.Gen”
[ WebWasher ], “BlockReason.0″
index[1].htm:
[ WebWasher ], “BlockReason.0″
w1[1].exe:
[ IntelliTrap ], “PAK_Generic.001″
[ Microsoft ], “[->(UPX)]:Trojan:Win32/Helpud.A”
[ Kaspersky ], “PAK:BeRo, PAK:PE_Patch.UPX, PAK:UPX, PAK:PE_Patch.MaskPE”
[ Alwil ], “Win32:OnLineGames-AHK [Trj]”
[ Nod32 ], “a variant of Win32/PSW.OnLineGames.NNS trojan”
[ Fortinet ], “suspicious”
[ HBEDV ], “TR/ATRAPS.Gen”
[ Norman ], “[Heuristic Sandbox detection]:Virus W32/Malware”
[ Rising ], “[>>packlz]:Trojan.PSW.Win32.OnlineGames.faw”
[ Ikarus ], “Virus.Win32.OnLineGames.AHK”
[ eAladdin ], “Suspicious File [100]”
[ WebWasher ], “BlockReason.0″
[ bitdefender ], “GenPack:Trojan.PWS.OnlineGames.QZJ”
[ drweb ], “Trojan.PWS.Lineage.origin”
bocl.com:
[ IntelliTrap ], “PAK_Generic.001″
[ Microsoft ], “[->(UPX)]:Trojan:Win32/Helpud.A”
[ Kaspersky ], “PAK:BeRo, PAK:PE_Patch.UPX, PAK:UPX, PAK:PE_Patch.MaskPE”
[ Alwil ], “Win32:OnLineGames-AHK [Trj]”
[ Nod32 ], “a variant of Win32/PSW.OnLineGames.NNS trojan”
[ Fortinet ], “suspicious”
[ HBEDV ], “TR/ATRAPS.Gen”
[ Norman ], “[Heuristic Sandbox detection]:Virus W32/Malware”
[ Rising ], “[>>packlz]:Trojan.PSW.Win32.OnlineGames.faw”
[ Ikarus ], “Virus.Win32.OnLineGames.AHK”
[ eAladdin ], “Suspicious File [100]”
[ WebWasher ], “BlockReason.0″
[ bitdefender ], “GenPack:Trojan.PWS.OnlineGames.QZJ”
[ drweb ], “Trojan.PWS.Lineage.origin”
“澎湖逍遙遊網站被植入惡意連結” 目前有 5 迴響
Google Search、McAfee SiteAdvisor、趨勢科技網頁信譽評等查詢結果,都顯示正常,證明此種技術並非Web安全威脅的完美解決分案。
下面的防毒軟體可以偵測到這些惡意檔案…略
————–
請教,上面的說明是說如果有安裝上述防毒軟體就可以偵測到惡意檔案,進而可避免電腦遭入侵嗎?
那,「Google Search…都顯示正常證明此種技術並非Web安全威脅的完美解決分案。」則是什麼意思?
覺得好像兩段矛盾的話!
(先謝回覆!)
By TestLook on 2008 年 06 月 19 日 - 22:35:13
意思是指網頁信譽評等 並不是完全有效過濾網頁惡意檔案的好方法。還是需要靠防毒軟體偵測
By 不是一百拉 on 2008 年 06 月 25 日 - 10:24:38
澎湖逍遙遊網站網址為http://tour.penghu.gov.tw/,非上述網址。
By amy on 2008 年 06 月 27 日 - 08:54:33
雖然網址不同,但都顯示相同的名稱,麻煩您通知他們。
By Roger on 2008 年 06 月 30 日 - 11:49:21
澎湖逍遙遊網站有問題的網頁應該為設計公司的測試網站
交案後一直未撤除
常被拿來當病毒郵件內的惡意連結
問題已經存在好幾年了
打電話通知都來個相應不理或裝死
你也拿他沒辦法
By super286 on 2008 年 07 月 2 日 - 09:04:18