大砲開講

實踐大學企業創新與創業管理研究所網站被植入惡意連結

2008 年 06 月 30 日 – 11:37:48

實踐大學企業創新與創業管理研究所網站被植入惡意連結，此惡意程式為 Trojan HTML/Exploit!IFrame.H，最近有瀏覽這個網頁的網友，請要盡速檢查自己的電腦是否有中毒的情形 (Credit: Google)。

對此網站或惡意連結，趨勢科技網頁信譽評等、McAfee SiteAdvisor 查詢結果，都顯示正常。

惡意連結/程式碼是放置在上述網址 (其他頁面，可能要仔細檢查一下囉) 中的：

Google Search 查詢結果(發現異狀)，如下圖所示：

McAfee SiteAdvisor 查詢結果(未發現異狀)，如下圖所示：

趨勢科技網頁信譽評等查詢結果(未發現異狀)，如下圖所示：

執行之後，有下面的行為 (產生程式錯誤)：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\callrun.vbs
C:\Documents and Settings\Administrator\Local Settings\Temp\commomds.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\1962437[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\456[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\new[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\dj[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\14[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\k[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\real[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\4561[1].swf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\4562[1].swf

到目前為止 (2008/6/30 @ 8:44)，下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考)：

dj[1].htm:
[ Trend ], "HTML_IFRAME.NK"
new[1].htm:
[ Trend ], "JS_REAPLAY.C"
real[1].htm:
[ Trend ], "JS_REAPLAY.B"
456[1].htm:
[ Trend ], "JS_AGENT.ATAT"
4561.swf:
[     Kaspersky    ], "PAK:Swf2Swc"
[     Alwil        ], "SWF:Downloader [Trj]"
[     Ikarus       ], "Virus.SWF.Downloader"
4562.swf:
[     Kaspersky    ], "PAK:Swf2Swc"
[     Alwil        ], "SWF:Downloader [Trj]"
[     Ikarus       ], "Virus.SWF.Downloader"
commomds.exe:
[     Ikarus       ], "Win32.SuspectCrc"
[     WebWasher    ], "BlockReason.46 (suspicious)"
k[1].js:
[     Microsoft    ], "[->(IframeRefI)]:Exploit:HTML/IframeRef.gen"
[     HBEDV        ], "HEUR/HTML.Malware"
[     Norman       ], "Trojan HTML/Exploit!IFrame.H"
14[1].htm:
[     Alpha_Gen    ], "Possible_EncScr"
[     Beta_Gen     ], "Possible_EncScr"
[     Microsoft    ], "[->(SCRIPT0000)]:TrojanDownloader:VBS/Psyme.gen"
[     Kaspersky    ], "Trojan-Downloader.JS.Psyme.aix"
[     HBEDV        ], "HTML/Crypted.Gen"
[     Rising       ], "Trojan.HTML.Agent.q"
[     WebWasher    ], "Script.Crypted.Gen"