Nikon台灣網站變成廣告網站
2008 年 09 月 05 日 – 15:39:01剛剛發現Nikon台灣的網域名稱被中國大陸的網友註冊走了,目前,此網站上顯示的是廣告,之前此網站常常被植入惡意連結,但現在變成這樣,不曉得Nikon的愛用者瀏覽此網站後,有什麼看法呢? 閱讀全文 »
廣告軟體
倚天公司網站被植入廣告連結
2008 年 09 月 05 日 – 10:58:38倚天公司網頁被植入廣告連結,雖然目前沒發現存在惡意行為,但以後很難保證不會被修改成下載惡意程式,請各位小心。 閱讀全文 »
景誠音響網站被植入惡意連結
2007 年 04 月 14 日 – 17:08:00景誠音響網站被植入惡意連結,此惡意程式為 Lineage 和 Agent 的變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外,此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,順便通知他們。(Credit: 東東東)
**請幫忙通知他們,謝謝**
惡意連結是放置在首頁中的:
惡意程式碼的一部份為:
當執行此惡意程式後,會產生一個應用程式錯誤的訊息:
執行之後,有下面的行為:
[DLL injection]
C:\WINDOWS\Debug\UserMode\32BB5B6.dll (注入某些執行程序如檔案總管、IE 等)
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gz002.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\help[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\click[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\gh02[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\gh1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\gtai[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\mian[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GDI3K1MF\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GDI3K1MF\gh[2].htm
C:\WINDOWS\Debug\UserMode\32BB5B6.dll
C:\WINDOWS\Debug\UserMode\32BB5B6.exe
[Added COM/BHO]
{F2319AD4-D519-45AC-86A7-02FE9B851F37}-C:\WINDOWS\debug\userMode\32BB5B6.dll
到目前為止 (2007/4/13 @ 20:57),下面的防毒軟體可以偵測到這些惡意檔案:
32BB5B6.dll:
[ Trend ], “TSPY_LINEAGE.FFU”
[ Symantec ], “Infostealer.Lineage”
[ McAfee ], “PWS-Lineage.dll”
[ Sophos ], “Mal/GamePSW-C”
[ Panda ], “Trj/Lineage.DAO”
32BB5B6.exe:
[ Trend ], “TSPY_LINEAGE.FFT”
[ Symantec ], “Infostealer.Lineage”
[ Kaspersky ], “PAK:FSG”
[ McAfee ], “[0000a200.EXE]:PWS-Lineage.dll”
[ Sophos ], “Mal/Packer”
gh02[1].exe:
[ Trend ], “TSPY_LINEAGE.FFT”
[ Symantec ], “Infostealer.Lineage”
[ Kaspersky ], “PAK:FSG”
[ McAfee ], “[0000a200.EXE]:PWS-Lineage.dll”
[ Sophos ], “Mal/Packer”
[ Ikarus ], “Maybe A Virus”
gh[1].htm:
[ Trend ], “VBS_PSYME.AKW”
gz002.exe:
[ Trend ], “TSPY_LINEAGE.FFT”
[ Symantec ], “Infostealer.Lineage”
[ Kaspersky ], “PAK:FSG”
[ McAfee ], “[0000a200.EXE]:PWS-Lineage.dll”
[ Sophos ], “Mal/Packer”
[ Ikarus ], “Maybe A Virus”
mian[1].jpg:
[ Trend ], “EXPL_ANICMOO.GEN”
[ AhnLab-V3 ], “Win-Trojan/Exploit-ANI.B”
[ AntiVir ], “EXP/Ani.Gen”
[ Avast ], “CVE-2007-0038〃
[ AVG ], “Exploit”
[ BitDefender ], “Exploit.Win32.MS05-002.Gen”
[ CAT-QuickHeal ], “Exploit.MS05-002〃
[ ClamAV ], “Exploit.W32.MS05-002〃
[ DrWeb ], “Exploit.ANIFile”
[ eTrust-Vet ], “Win32/MS07-017!exploit”
[ Fortinet ], “W32/ANI07.A!exploit”
[ F-Prot ], “CVE-2007-1765〃
[ McAfee ], “Exploit-ANIfile.c”
[ NOD32v2 ], “a variant of Win32/TrojanDownloader.Ani.Gen”
[ Panda ], “Exploit/LoadImage”
[ Sophos ], “Exp/Animoo-A”
[ Sunbelt ], “Trojan-Exploit.Anicmoo.ax (v)”
[ Symantec ], “Trojan.Anicmoo”
[ VBA32 ], “suspected of Exploit.Signature”
[ VirusBuster ], “Exploit.ANIFile.L”
[ Webwasher-Gateway ], “Exploit.Win32.MS05-002.gen”
gtai[1].htm:
[ McAfee ], 『Exploit-MS06-014″
[ Nod32 ], 『VBS/TrojanDownloader.Agent.E trojan』
[ Rising ], 『Trojan.DL.VBS.Agent.cll』
[ Ewido ], 『Downloader.Agent.e』
svchost.vbs:
[ Kaspersky ], 『Trojan.VBS.Starter.k』
[ Fortinet ], 『VBS/Starter.K!tr』
[ Ewido ], 『Trojan.Starter.k』
ESPNSTAR 體育台網站又被植入惡意連結
2007 年 04 月 10 日 – 01:39:00更新資訊:已修復 (2007/4/10 @ 15:12)
**高度危險網站:常常被植入惡意連結,列入網站黑名單,不建議瀏覽此網站**ESPNSTAR 體育台網站又被植入惡意連結 (今天上了蘋果日報後,才移除惡意連結,現在又有問題,我看各位自求多福吧),最近有瀏覽這些網頁的網友 (受害者應該很多吧),應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息。另外,此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)。希望他們好好檢查系統或軟體有沒有安全漏洞,但廠商真是鴕鳥心態,根本就懶得處理,枉顧消費者權益,建議各位打電話去抗議 (團結力量大囉)。(感謝 Edward 告知)
**請幫忙通知他們,謝謝**
惡意連結是放置在 AVList.asp 中的:
惡意程式碼的一部分為:
執行之後,有下面的行為:
[Added process]
C:\WINDOWS\avp.exe
[DLL injection]
C:\WINDOWS\system32\ldmedia5.dll (注入某個執行程序)
[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe
NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\flash[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\getflashplayer[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\ani[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\xskj[1].jpg
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\ldmedia5.dll
[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\ldmedia5.dll)
ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\ldmedia5.dll)
到目前為止 (2007/4/10 @ 01:14),下面的防毒軟體可以偵測到這些惡意檔案:
avp.exe:
[ Trend ], 『Possible_Virus』
flash[1].jpg:
[ Trend ], 『TROJ_MARAN.GU』
xskj[1].jpg:
[ AhnLab-V3 ], “Win-Trojan/Exploit-ANI.B”
[ AntiVir ], “EXP/MS05-002.Ani.A”
[ BitDefender ], “Exploit.Win32.MS05-002.Gen”
[ CAT-QuickHeal ], “Exploit.MS05-002〃
[ ClamAV ], “Exploit.W32.MS05-002〃
[ eTrust-Vet ], “Win32/MSA-935423!exploit”
[ Ewido ], “Not-A-Virus.Exploit.Win32.IMGANI.h”
[ F-Secure ], “Exploit.Win32.IMG-ANI.h”
[ Kaspersky ], “Exploit.Win32.IMG-ANI.h”
[ McAfee ], “Exploit-ANIfile.c”
[ Microsoft ], “TrojanDownloader:Win32/Anicmoo.gen!D”
[ NOD32v2 ], “a variant of Win32/TrojanDownloader.Ani.Gen”
[ Norman ], “RIFF/Ani_exploit.gen”
[ Sophos ], “Troj/Animoo-U”
[ Symantec ], “Trojan.Anicmoo”
[ Trend ], “EXPL_ANICMOO.GEN”
[ VirusBuster ], “Exploit.ANIFile.G”
[ Webwasher-Gateway ], “Exploit.MS05-002.Ani.A”
ldmedia5.dll:
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Drop.Maran.C.3″
Windows Live Messenger 散播惡意程式
2007 年 02 月 22 日 – 15:27:00對於 Windows Live Messenger 網站廣告系統散播惡意程式,微軟公開道歉。
惡意程式的作者透過購買廣告的方式 (Yahoo、Google 搜尋引擎等都有類似的問題),將惡意程式的連結與廣告標題結合在一起,當使用者瀏覽那個廣告標題網頁,就會彈出警告視窗 (如下圖),此視窗就是惡意程式、廣告軟體或間諜軟體,如果使用者按「OK」按鍵,就會執行安裝動作,有時後,按「Cancel」按鍵,也會執行安裝動作。
對於這種問題,除非業者具備資訊安全相關知識且嚴格把關,否則,很難阻止這種問題的發生。對於使用者而言,只能靠防毒、反間諜或入侵防禦等軟體。最重要的是不要任意執行來路不明的檔案。
至於詳細的資訊,請參考相關報導:
台灣綜合研究院網站某連結連至色情廣告網站
2007 年 02 月 08 日 – 15:57:00台灣綜合研究院網站某連結連至色情廣告網站。
**請幫忙通知他們,謝謝**
此連結位在 [網路資源] -> [網路蒐尋站] -> [哇塞中文網] (網址為 hxxp://www.whatsite.com),如下圖所示:
當按下哇塞中文網之後,會被連到入下圖所示的廣告網站,真奇怪:
註冊此網域 (whatsite.com) 的單位為:
真正的哇塞搜索引擎網址如下:
