Career職場部落格被植入惡意連結

2009 年 02 月 24 日 – 13:49:33

知名人力資源公司Career部落格網站遭到入侵,網頁被植入惡意連結,到現在為止(2009/2/24@12:50),惡意連結尚未被移除。如果最近有瀏覽該網站的網頁們,最好趕緊檢查自己的電腦,因為可以偵測此惡意程式的防毒軟體幾乎很少,小紅傘防毒軟體偵測名稱為「BDS/Hupigon.Gen」。另外,此事件隱含另一個議題──資料外洩,至於這個部份,必須等待檢調單位的調查(此事件首先由網駭科技的WebAlert所發現)。

以下是此惡意程式的分析結果:

1. 當您連上Career部落格網站首頁,網頁原始碼出現一惡意連結,如下圖所示:

2. 上圖中的「evil.htm」包含一段JavaScript程式碼,如下圖所示:

3. 經過分析後,此惡意程式碼使用三個安全漏洞,分別是CVE-2008-2463MS08-041), CVE-2007-4816, CVE-2007-5807

4. 此惡意程式執行後,系統會產生一些變化,如下所示:

[增加服務]
服務名稱:NVIDIA Display Driver Server
檔案位置:C:\Program Files\Common Files\Microsoft Shared\MSINFO\rav2009.exe

[增加檔案]
C:\Program Files\Common Files\Microsoft Shared\MSInfo\rav2009.exe

….

5. VirusTotal掃描結果,如下所示:

a-squared     4.0.0.93     2009.02.23     Virus.Win32.Hupigon.AMD!IK
AhnLab-V3     2009.2.23.2     2009.02.23     -
AntiVir     7.9.0.87     2009.02.23     BDS/Hupigon.Gen
Authentium     5.1.0.4     2009.02.23     W32/Downloader.C.gen!Eldorado
Avast     4.8.1335.0     2009.02.23     -
AVG     8.0.0.237     2009.02.23     -
BitDefender     7.2     2009.02.23     Trojan.AgentMB.Delf.ALECB8718276
CAT-QuickHeal     10.00     2009.02.22     -
ClamAV     0.94.1     2009.02.23     -
Comodo     984     2009.02.20     -
DrWeb     4.44.0.09170     2009.02.23     BackDoor.Beizhu.2360
eSafe     7.0.17.0     2009.02.19     Suspicious File
eTrust-Vet     31.6.6369     2009.02.23     Win32/Dowque!generic
F-Prot     4.4.4.56     2009.02.23     W32/Downloader.C.gen!Eldorado
F-Secure     8.0.14470.0     2009.02.23     -
Fortinet     3.117.0.0     2009.02.23     -
GData     19     2009.02.23     Trojan.AgentMB.Delf.ALECB8718276
Ikarus     T3.1.1.45.0     2009.02.23     Virus.Win32.Hupigon.AMD
K7AntiVirus     7.10.639     2009.02.21     -
Kaspersky     7.0.0.125     2009.02.23     Heur.Trojan.Generic
McAfee     5533     2009.02.22     New Malware.ix
McAfee+Artemis     5533     2009.02.22     New Malware.ix
Microsoft     1.4306     2009.02.23     VirTool:Win32/DelfInject.gen!L
NOD32     3881     2009.02.23     probably a variant of Win32/Hupigon
Norman     6.00.06     2009.02.23     -
nProtect     2009.1.8.0     2009.02.23     -
Panda     10.0.0.10     2009.02.22     Bck/Hupigon.LIT
PCTools     4.4.2.0     2009.02.23     -
Prevx1     V2     2009.02.23     -
Rising     21.18.02.00     2009.02.23     Backdoor.Win32.Undef.ceu
SecureWeb-Gateway     6.7.6     2009.02.23     Trojan.Backdoor.Hupigon.Gen
Sophos     4.39.0     2009.02.23     Mal/Behav-058
Sunbelt     3.2.1855.2     2009.02.17     -
Symantec     10     2009.02.23     -
TheHacker     6.3.2.5.263     2009.02.23     -
TrendMicro     8.700.0.1004     2009.02.23     -
VBA32     3.12.10.0     2009.02.22     MalwareScope.Trojan-PSW.Game.16
ViRobot     2009.2.23.1618     2009.02.23     -
VirusBuster     4.5.11.0     2009.02.22     -

請在此留下您的意見

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).