大砲開講

桃園縣政府人事處網站被植入惡意連結

2008 年 08 月 15 日 – 10:33:29

桃園縣政府人事處網站被植入惡意連結，此惡意程式為 PE_PARITE.A，最近有瀏覽這個網頁的網友，請要盡速檢查自己的電腦是否有中毒的情形 (此惡意程式會感染系統中的執行檔，中毒後，應該很慘喔)。

惡意連結/程式碼是放置在上述網址 (其他網頁，應該要仔細檢查) 中的(此網址為國立政治大學經濟學系教學整合網站)：

Google Search 查詢結果(發現異狀)，如下圖所示：

McAfee SiteAdvisor 查詢結果(未發現異狀)，如下圖所示：

趨勢科技網頁信譽評等查詢結果(未發現異狀)，如下圖所示：

finjan 網頁信譽評等查詢結果(未發現異狀)，如下圖所示：

Dr.Web 網頁信譽評等查詢結果(未發現異狀)，如下圖所示(檢查時，受測網站已經關閉)：

Exploit Prevention Labs 網頁信譽評等查詢結果(未發現異狀)，如下圖所示(檢查時，受測網站已經關閉)：

賽門鐵克 Safe Web 查詢結果(未發現異狀)，如下圖所示：

執行之後，有下面的行為：

[DLL injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\fikA6.tmp
C:\WINDOWS\system32\ncvlec.dll

[Added service]
NAME: hqngvn
DISPLAY: hqngvn
FILE: C:\WINDOWS\system32\svchost.exe-1 -k hqngvn

NAME: yqngvnbb
DISPLAY: yqngvnbb
FILE: \??\C:\WINDOWS\system32\drivers\ncvlec.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\fikA6.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\iikA7.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\WER707e.dir00\iexplore.exe.hdmp
C:\Documents and Settings\Administrator\Local Settings\Temp\WER707e.dir00\iexplore.exe.mdmp
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\huoyan[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\m01-sa_green[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\a6[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\hy[1]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\hy[1].htm
C:\Documentspt\huoyan.htm
C:\Temp\script\hy.htm
C:\WINDOWS\system32\004da2d.ini
C:\WINDOWS\system32\drivers\ncvlec.sys (Rootkit Behavior)
C:\WINDOWS\system32\ncvlec.dll

[Modified file]
感染系統中的執行檔…

下列是 VirusTotal 掃描結果 (僅提供參考)：

File m01-sa_green.exe received on 08.14.2008 05:37:22 (CET)

Antivirus     Version     Last Update     Result
AhnLab-V3     2008.8.13.0     2008.08.13     Win32/Parite.B
AntiVir     7.8.1.19     2008.08.13     W32/Parite
Authentium     5.1.0.4     2008.08.14     W32/Parite.A
Avast     4.8.1195.0     2008.08.13     Win32:Downloader-AZY
AVG     8.0.0.161     2008.08.13     BackDoor.PcClient.2.AM
BitDefender     7.2     2008.08.14     Win32.Parite.A
CAT-QuickHeal     9.50     2008.08.13     W32.Perite.A
ClamAV     0.93.1     2008.08.14     W32.Parite.B
DrWeb     4.44.0.09170     2008.08.13     Trojan.MulDrop.17830
eSafe     7.0.17.0     2008.08.13     Win32_Parite_A
eTrust-Vet     31.6.6031     2008.08.13     Win32/Pinfi.B
Ewido     4.0     2008.08.13     Backdoor.PcClient.ejn
F-Prot     4.4.4.56     2008.08.13     W32/Parite.A
F-Secure     7.60.13501.0     2008.08.13     Virus.Win32.Parite.a
Fortinet     3.14.0.0     2008.08.13     W32/Parite.fam
GData     2.0.7306.1023     2008.08.14     Virus.Win32.Parite.a
Ikarus     T3.1.1.34.0     2008.08.14     Backdoor.Win32.PcClient.yw
K7AntiVirus     7.10.413     2008.08.13     Virus.Win32.Parite.a
Kaspersky     7.0.0.125     2008.08.14     Virus.Win32.Parite.a
McAfee     5360     2008.08.13     W32/Pate.a
Microsoft     1.3807     2008.08.14     Virus:Win32/Parite.A
NOD32v2     3353     2008.08.13     Win32/Parite.A
Norman     5.80.02     2008.08.13     W32/Pinfi.B
Panda     9.0.0.4     2008.08.13     W32/Parite.F
PCTools     4.4.2.0     2008.08.13     Win32.Parite.A
Prevx1     V2     2008.08.14     -
Rising     20.57.22.00     2008.08.13     Win32.Parite.a
Sophos     4.32.0     2008.08.14     W32/Parite-A
Sunbelt     3.1.1542.1     2008.08.13     Win32.Parite.a (v)
Symantec     10     2008.08.14     W32.Pinfi
TheHacker     6.3.0.3.046     2008.08.13     W32/Pate.A
TrendMicro     8.700.0.1004     2008.08.13     PE_PARITE.A
VBA32     3.12.8.3     2008.08.13     Win32.Parite.A
ViRobot     2008.8.13.1335     2008.08.13     Win32.Parite.A
VirusBuster     4.5.11.0     2008.08.13     Win32.Parite.A
Webwasher-Gateway     6.6.2     2008.08.13     Win32.Parite

Additional information
File size: 243464 bytes
MD5…: 44185f1a3ab6af19753690b30f4e1be5
SHA1..: 89c0f9f293245d4b83372b97df0254ad8dbbce08
SHA256: 6e823a86035cfc79e179fbdce5e30db9ca3ec046fb05821bb83e9281311da8a4
SHA512: d28fdee159dc469b369c72ea9b55523f41a8b9bbfb3663d0b7bdb7732880315a
c5496c998c00f19ba7e846f64eb51e868ea0603aca2bad3d30d648d2895eaff8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0×406000
timedatestamp…..: 0x48534e81 (Sat Jun 14 04:52:17 2008)
machinetype…….: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0×1000 0x18c2 0x1a20 5.89 a22018dec7fa6c99f9c0240cdc7db831
.rdata 0×3000 0×662 0×800 4.20 039bf1d01bfda43848e60f176f8a0ddd
.data 0×4000 0×1148 0×200 1.51 f6b2633cbf18375c3e585fb1f3df9420
.qnk 0×6000 0×1000 0×800 6.85 fd4d37ab2d4af7e4a923d3779db7be29

( 6 imports )
> SHLWAPI.dll: StrChrA, StrStrA, StrToIntA
> USER32.dll: PostThreadMessageA, wsprintfA
> ADVAPI32.dll: DeleteService, OpenSCManagerA, OpenServiceA, CloseServiceHandle, QueryServiceStatus, ControlService
> ole32.dll: CoCreateGuid
> MSVCRT.dll: __p__fmode, __set_app_type, _except_handler3, _controlfp, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, _acmdln, exit, _XcptFilter, _exit, __CxxFrameHandler, memcpy, time, srand, rand, memset, __2@YAPAXI@Z, __3@YAXPAX@Z, __getmainargs
> KERNEL32.dll: LoadLibraryA, GetProcAddress, DeleteFileA, GetModuleHandleA, GetStartupInfoA, ReadFile, CreateMutexA, GetLastError, GetFileAttributesExA, ReleaseMutex, lstrcpyA, lstrlenA, Sleep, LoadLibraryA, GetProcAddress, FreeLibrary, CreateFileA, WriteFile, GetSystemDirectoryA, lstrcatA, WaitForSingleObject, CloseHandle, GetFileTime, SetFileTime

( 0 exports )