實踐大學企業創新與創業管理研究所網站被植入惡意連結

2008 年 06 月 30 日 – 11:37:48

實踐大學企業創新與創業管理研究所網站被植入惡意連結,此惡意程式為 Trojan HTML/Exploit!IFrame.H,最近有瀏覽這個網頁的網友,請要盡速檢查自己的電腦是否有中毒的情形 (Credit: Google)。

對此網站或惡意連結,趨勢科技網頁信譽評等、McAfee SiteAdvisor 查詢結果,都顯示正常

惡意連結/程式碼是放置在上述網址 (其他頁面,可能要仔細檢查一下囉) 中的:

Google Search 查詢結果(發現異狀),如下圖所示:

McAfee SiteAdvisor 查詢結果(未發現異狀),如下圖所示:

趨勢科技網頁信譽評等查詢結果(未發現異狀),如下圖所示:

執行之後,有下面的行為 (產生程式錯誤):

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\callrun.vbs
C:\Documents and Settings\Administrator\Local Settings\Temp\commomds.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\1962437[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\456[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\new[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\dj[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\14[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\k[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\real[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\4561[1].swf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\4562[1].swf

到目前為止 (2008/6/30 @ 8:44),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

dj[1].htm:
[ Trend ], "HTML_IFRAME.NK"
new[1].htm:
[ Trend ], "JS_REAPLAY.C"
real[1].htm:
[ Trend ], "JS_REAPLAY.B"
456[1].htm:
[ Trend ], "JS_AGENT.ATAT"
4561.swf:
[     Kaspersky    ], "PAK:Swf2Swc"
[     Alwil        ], "SWF:Downloader [Trj]"
[     Ikarus       ], "Virus.SWF.Downloader"
4562.swf:
[     Kaspersky    ], "PAK:Swf2Swc"
[     Alwil        ], "SWF:Downloader [Trj]"
[     Ikarus       ], "Virus.SWF.Downloader"
commomds.exe:
[     Ikarus       ], "Win32.SuspectCrc"
[     WebWasher    ], "BlockReason.46 (suspicious)"
k[1].js:
[     Microsoft    ], "[->(IframeRefI)]:Exploit:HTML/IframeRef.gen"
[     HBEDV        ], "HEUR/HTML.Malware"
[     Norman       ], "Trojan HTML/Exploit!IFrame.H"
14[1].htm:
[     Alpha_Gen    ], "Possible_EncScr"
[     Beta_Gen     ], "Possible_EncScr"
[     Microsoft    ], "[->(SCRIPT0000)]:TrojanDownloader:VBS/Psyme.gen"
[     Kaspersky    ], "Trojan-Downloader.JS.Psyme.aix"
[     HBEDV        ], "HTML/Crypted.Gen"
[     Rising       ], "Trojan.HTML.Agent.q"
[     WebWasher    ], "Script.Crypted.Gen"

  1. “實踐大學企業創新與創業管理研究所網站被植入惡意連結” 目前有 1 迴響

  2. HTML/Crypted.Gen’
    這類的病毒 絕對不能忽視

    向我瀏覽網站 絕果瀏覽到一半

    小紅傘突然偵測到HTML/Crypted.Gen

    結果殺完後

    我光碟機出現異常

    每2秒 開開關關 一直重複 無法停下來

    後來我只好拔掉 光碟機插頭 才停止

    但病毒依然在我電腦裡

    卻殺不掉= =

    小紅傘也掃不到

    大概是隱藏起來了 讓小紅傘偵測不到

    By eric on 2010 年 02 月 25 日 - 23:41:25

請在此留下您的意見

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).