大砲開講

不會吧！77遊樂新世界首頁又有惡意程式！

77遊樂新世界首頁又被植入新惡意程式，請各位小心囉！

進入首頁之後，

有下面的行為：

[Added Process]
//執行之後，會發生應用程式錯誤

[DLL Injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\WINDOWS\system32\msnfile.dll
C:\WINDOWS\winntf.dll
//上面檔案會注入某些執行程序

[Added service]
NAME: winntf
FILE: C:\WINDOWS\winntf.bat

[ Added BHO]
{F93CB274-12A2-489E-9DB6-BAAF492448D0}-C:\WINDOWS\system32\msnfile.dll

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\32.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\33.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\coca[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\images[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\top[1].exe
C:\mp.exe
C:\WINDOWS\system32\msnfile.dll
C:\WINDOWS\system32\msnfile.exe
C:\WINDOWS\winntf.bat
C:\WINDOWS\winntf.dll

注意：似乎下載的檔案會變化(可能檔名或檔案大小)，如果這樣的話，防毒軟體就比較難偵測它們。

惡意程式 | 瀏覽數：580 | 0 迴響 »

中央大學遠距教學網及77遊樂新世界網頁被植入相同一隻木馬 !!

中央大學遠距教學網及77遊樂新世界網頁被植入相同一隻木馬，到現在尚未修復，請各位小心。

執行之後，有下面行為：

[Added process]
C:\mp.exe

[Dll Injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\WINDOWS\mcsdos32.dll
//上面兩個檔案會注入某些執行程序

[Added files]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\mp.exe
C:\WINDOWS\loados.exe
C:\WINDOWS\mcsdos32.dll

[Added BHO]
{C1FB8488-D217-4803-B38A-C667B83F43A3}-C:\WINDOWS\mcsdos32.dll

惡意程式 | 瀏覽數：584 | 0 迴響 »

數碼E社群網站被植入惡意程式碼 !!

數碼E社群網站(bbs.eztown.com)被植入惡意程式碼，到現在都還未修復，請各位小心。

當您連上這個網站，它會做下面的行為：

1. iframe 語法藏在 menu.js 檔案裡，

2. 連上 http_://www.yyc8.com/script/adcount.do?id=ad002，它會執行 code.js (Javascript 檔案)，

3. 將 rss2.css 換為 adcount.com，然後執行 adcount.com，執行後，會發生一個應用程式錯誤，

4. 新增兩各檔案 winpfile.dll 和 esnfile.exe (不太確定)，

5. adcount.com 會注入某些執行程序，

惡意程式 | 瀏覽數：588 | 0 迴響 »

Sogi! 手機王首頁也被植入木馬 !!

95年10月29日手機王首頁也被植入木馬(Lineage)，分析了一下，結果如下：

1. 首頁被植入 iframe：
http://www. myemage .com/V20/Daren/images/img.html

2. img.html 是一個 VBScript，它會下載或執行 2.exe

3. 執行之後，系統產生：
[DLL Injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe 注入某些執行程序 (如svchost.exe)。
C:\WINDOWS\system32\gfile.dll 注入某些執行程序 (如explorer.exe)。

[Drop Files]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\WINDOWS\system32\gfile.dll
C:\WINDOWS\system32\goodfile.exe

[BHO/CLSID]
{71177AD5-E5B5-4451-A4B0-F31C521B6557}–C:\WINDOWS\system32\gfile.dll

[Added Registries]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks||
Value={71177AD5-E5B5-4451-A4B0-F31C521B6557}

惡意程式 | 瀏覽數：791 | 0 迴響 »

資策會首頁被植入木馬 !!

資策會首頁(www.iiiedu.org.tw)今天被植入木馬(Lineage)，到現在為止，都還未被移除，請各位小心囉。

以下是這隻木馬的行為：

1. 首頁被植入iframe
『http://www. fxkfxk .com/333/us.asp』 width=』0″ height=』0″ scrolling=』no』 frameborder=』0″

2. 檔案 us.asp 是一個 VBScript，它會下載或執行 us.exe。

3. 執行之後，系統會產生：
[Added process]
C:\WINDOWS\svchost.exe

[DLL Injection]
C:\WINDOWS\svchost.exe 注入某些執行程序，例如， svchost.exe 等等。
C:\WINDOWS\system32\PDLL.dll 注入某些執行程序，例如， svchost.exe、explorer.exe 等等。
C:\WINDOWS\winnt.dll 注入某些執行程序，例如， 瀏覽器等等。
C:\WINDOWS\winntKey.DLL 注入某些執行程序，例如， svchost.exe 等等。

[Added service]
NAME=PigeonServer
DISPLAY=PigeonServer
FILE=C:\WINDOWS\winnt.exe

[Drop Files]
C:\Program Files\WindowsUpdate\1.exe
C:\Program Files\WindowsUpdate\2.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\PDLL.dll
C:\WINDOWS\winnt.dll
C:\WINDOWS\winnt.exe
C:\WINDOWS\winntKey.DLL

[Added Registries]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon||Value=Userinit||Data=C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\svchost.exe

惡意程式 | 瀏覽數：574 | 0 迴響 »