安馳科技網站被植入惡意連結

2008 年 10 月 28 日 – 12:05:26

安馳科技網站被植入惡意連結被植入惡意連結,此惡意程式為 JS/Downloader.Agent,最近有瀏覽這個網頁的網友,請要盡速檢查自己的電腦是否有中毒的情形。

惡意連結/程式碼是放置在上述網址 (很多網頁都含有惡意連結,應該要仔細檢查) 中的:

www.berjke.ru/script.js

下面是網頁信譽評等掃描的結果:

Google Search 查詢結果(發現異狀),如下圖所示:

阿碼科技 HackAlert (偵測惡意行為) 查詢結果(發現異狀),如下圖所示:

McAfee SiteAdvisor 查詢結果(未發現異狀),如下圖所示:

趨勢科技網頁信譽評等查詢結果(發現異狀),如下圖所示:

finjan 網頁信譽評等查詢結果(未發現異狀),如下圖所示:

Dr.Web 網頁信譽評等查詢結果(未發現異狀),如下圖所示:

Exploit Prevention Labs 網頁信譽評等查詢結果(未發現異狀,掃描有問題),如下圖所示

賽門鐵克 Safe Web 查詢結果(發現異狀),如下圖所示:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\system32\aspimgr.exe

[Added service]
NAME: aspimgr
DISPLAY: Microsoft ASPI Manager
FILE: C:\WINDOWS\system32\aspimgr.exe

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\_check32.bat
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\script[1].js
C:\WINDOWS\s32.txt
C:\WINDOWS\system32\aspimgr.exe
C:\WINDOWS\ws386.ini

下列是 VirusTotal 掃描結果 (僅提供參考):

檔案 9ndb39.exe 接收於 2008.10.28 02:52:21 (CET)

結果: 12/36 (33.33%)
反病毒引擎     版本     最後更新     掃瞄結果
AhnLab-V3 2008.10.27.3     2008.10.27     -
AntiVir     7.9.0.9     2008.10.27     HTML/Crypted.Gen
Authentium 5.1.0.4     2008.10.27     -
Avast     4.8.1248.0     2008.10.28     JS:Packed-D
AVG     8.0.0.161     2008.10.28     JS/Downloader.Agent
BitDefender     7.2     2008.10.28     Trojan.JS.PWX
CAT-QuickHeal 9.50     2008.10.27     -
ClamAV 0.93.1     2008.10.28     -
DrWeb 4.44.0.09170     2008.10.28     -
eSafe 7.0.17.0     2008.10.27     -
eTrust-Vet 31.6.6176     2008.10.28     -
Ewido 4.0     2008.10.27     -
F-Prot 4.4.4.56     2008.10.27     -
F-Secure     8.0.14332.0     2008.10.28     Trojan-Downloader.JS.Agent.ciw
Fortinet 3.117.0.0     2008.10.28     -
GData     19     2008.10.28     Trojan.JS.PWX
Ikarus T3.1.1.44.0     2008.10.28     -
K7AntiVirus 7.10.509     2008.10.27     -
Kaspersky     7.0.0.125     2008.10.28     Trojan-Downloader.JS.Agent.ciw
McAfee     5416     2008.10.28     JS/Generic Exploit.i
Microsoft     1.4005     2008.10.28     Trojan:JS/Proxas.A
NOD32     3561     2008.10.28     JS/TrojanDownloader.Agent.CIW
Norman 5.80.02     2008.10.27     -
Panda 9.0.0.4     2008.10.27     -
PCTools 4.4.2.0     2008.10.27     -
Prevx1 V2     2008.10.28     -
Rising 21.01.02.00     2008.10.27     -
SecureWeb-Gateway     6.7.6     2008.10.27     Heuristic.Script.Crypted
Sophos 4.35.0     2008.10.28     -
Sunbelt     3.1.1760.1     2008.10.27     -
Symantec 10     2008.10.28     -
TheHacker     6.3.1.1.132     2008.10.28     -
TrendMicro 8.700.0.1004     2008.10.27     -
VBA32 3.12.8.8     2008.10.27     -
ViRobot 2008.10.27.1438     2008.10.27     -
VirusBuster     4.5.11.0     2008.10.27     JS.Proxas.A

附加訊息
File size: 33389 bytes
MD5…: e30580b925e2679647e2c75c96fa4f3d
SHA1..: d2c82dd5518d0be84f768474aab913bcb07f633a
SHA256: 2a164b694ced138edbae08787e101f48e7df1d8f45bc52f98703abe66db9493f
SHA512: daa7882694639e44da0fbfbad7b965cde548c9b6eaae06039b3d5209237fade2
a35710305a75aff128731eb25b41f5b955c9e4cfb2de4515d3b780f76d452a39
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

請在此留下您的意見

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).