大砲開講

文魁資訊網站被植入惡意連結

2008 年 06 月 26 日 – 00:08:24

文魁資訊網站被植入惡意連結，此惡意程式為 Possible_Asprox，最近有瀏覽這個網頁的網友，請要盡速檢查自己的電腦是否有中毒的情形 (Credit: Jimau)。

對此網站或惡意連結，Google Search、McAfee SiteAdvisor 查詢結果，都顯示正常。

惡意連結/程式碼是放置在上述網址 (其他頁面，可能要仔細檢查一下囉) 中的：

Google Search 查詢結果(未發現異狀)，如下圖所示：

McAfee SiteAdvisor 查詢結果(未發現異狀)，如下圖所示：

趨勢科技網頁信譽評等查詢結果(發現異狀)，如下圖所示：

執行之後，有下面的行為：

[Added hidden process]
C:\WINDOWS\system32\aspimgr.exe

[Added service]
NAME: aspimgr
DISPLAY: Microsoft ASPI Manager
FILE: C:\WINDOWS\system32\aspimgr.exe

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\_check32.bat
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\b[1].js
C:\WINDOWS\s32.txt
C:\WINDOWS\system32\aspimgr.exe
C:\WINDOWS\ws386.ini

[Added registry]
太多…省略

到目前為止 (2008/6/19 @ 1:25)，下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考)：

aspimgr.exe:
[ Trend ], 『Possible_Asprox』
b[1].js:
[     Microsoft    ], 『Trojan:JS/Redirector.N』
[     Kaspersky    ], 『Trojan-Downloader.JS.Agent.ccu, Trojan-Downloader.JS.Agent.ccu, Trojan-Downloader.JS.Agent.ccu, Trojan-Downloader.JS.Agent.ccu』
[     Sophos       ], 『Troj/Iframe-AG』
[     Norman       ], 『Trojan HTML/Exploit!IFrame.G』
[     Authentium   ], 『JS/Agent.GI』
[     bitdefender  ], 『Trojan.IFrame.DR』