~分享是進步的原動力~
根據 Sophos 2007 安全威脅報告,Mytob 病毒是 2006 年惡意程式的榜首。
2006 年惡意程式排行榜:
查了一下,我的信箱記錄檔包含了 NetSky、Mydoom 和 Stration,其它大部分都是偷帳號與密碼的木馬,真是可怕。
文化創意產業首頁又被植入惡意連結,又是 Lineage。之前發現的時候 (請參考「文化創意產業首頁被植入惡意連結!」),那個惡意連結無法連上,現在又上線了。他們真是鴕鳥心態,請各位暫時不要瀏覽這個網站,等我們確認他們已經修復後,會在此更新訊息 (此惡意程式會偷帳號與密碼)。
**請幫忙通知他們,謝謝**
惡意連結是放置在 index.asp 檔案的:
惡意程式的一部份為:
執行之後,有下面的行為:
[DLL injection]
C:\WINDOWS\winvoc.dll (注入某些執行程序如檔案總管、瀏覽器等)
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\moi.com
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\admin[1].exe
C:\WINDOWS\system32\winvoc.exe
C:\WINDOWS\winvoc.dll
[Added COM/BHO]
{5C029707-6DD4-4345-9D6E-E48B41646288}-C:\WINDOWS\winvoc.dll
到目前為止,下面的防毒軟體可以偵測到這些惡意檔案:
moi.com:
[ Trend ], “TSPY_LINEAGE.CRH”
winvoc.dll:
[ Trend ], “TSPY_LINEAGE.CSN”
winvoc.exe:
[ Trend ], “TSPY_LINEAGE.CRH”
admin[1].exe:
[ Trend ], “TSPY_LINEAGE.CRH”
財團法人證券投資人及期貨交易人保護中心網頁又被植入惡意連結,他們的網管人員真的要上緊發條了。不曉得可不可以在各位的系統上執行,請各位暫時不要瀏覽這個網站,等我們確認他們已經修復後,會在此更新訊息 (這隻病毒是灰鴿子,具有遠端控制能力)。
**請幫忙通知他們,謝謝**
惡意連結是放置在 main.asp 的檔案中:
其他的資訊,請參考之前的「財團法人證券投資人及期貨交易人保護中心首頁被植入惡意連結!」。
台灣電子地圖服務網網頁被植入惡意程式碼,此惡意程碼似乎有些錯誤,無法下載惡意檔案,不過,還是蠻危險的,因為不曉得什麼時候會被修正,所以,請各位暫時不要瀏覽這個網站,等我們確認他們已經修復後,會在此更新訊息。(感謝 Jimau)
**請幫忙通知他們,謝謝**
惡意程式碼是放置在 theme.asp 的檔案中:
南韓當局已經逮捕疑似在去年 9 月至 12 月間,發送大量垃圾郵件的兩名程式設計師。
總共發送超過 16 億封的垃圾郵件,獲取利益超過美金 106,400 (南韓是第三大垃圾郵件發送國,請參考「美國是惡意程式和垃圾郵件的大本營」)。不曉得台灣當局會不會也逮捕那些製造垃圾郵件的人呢?相關的報導,請參考:
由於很多的木馬特別為線上遊戲量身打造,以取得使用者的帳號和密碼,進而竊取線上遊戲虛擬寶物,以換成現金,所以,eBay 宣佈禁止拍賣線上遊戲虛擬寶物。
這些木馬很多是 Lineage 家族,各位應該看過吧。至於其他詳細的訊息,請參考下面的報導:
eBay Delisting All Auctions for Virtual Property
Coca-Cola Singapore, Nokia Canada 網站被黑了。
其實,你可以在 zone-h 上找到更多網頁遭駭客置換的訊息 (台灣網站也很多被黑)。如果網頁都可以被置換,就表示如果攻擊者利用這些網站,植入惡意程式,你想後果會怎樣,所以,資訊安全倒底重不重要呢?
相關報導:
剛剛瀏覽 X-Solve 的部落格,顯示「Error establishing a database connection」,網站似乎掛了,請各位幫忙通知他們,謝謝。
今天 Taiwan CNET 和 IThome 相繼報導 TomTom GPS 設備被植入病毒 (McDonalds 和 Apple 就發生過了),TROJ_PERLOVGA.A 和 Backdoor.Win32.Small.lo,這兩隻病毒都是 Windows 病毒,而不是 Linux 病毒,但 TomTom GPS 的作業系統是 Linux,那為什麼會中毒呢?
第一、TomTom 作業平台是 Windows 作業系統,而這些作業系統已經感染惡意程式,它們會自動複製自己到每個磁碟的根目錄 (如 C:\ ),並且修改 autorun.inf 這個檔案 (惡意程式利用 Autorun 或 AutoPlay 的技術)。
第二、當 TomTom GPS 設備插入系統的 USB 插槽時,系統會把它視為是一顆硬碟,所以,惡意程式會被寫入。
這隻惡意程式的目的並不是要感染 TomTom GPS 設備,它只是一個傳播媒介,而是要透過這個設備去感染 Windows 系統,這就是所謂的 USB 社交工程法,跟以前的軟式磁碟片 (Floppy) 一樣。如果這些媒介 (如 隨身碟、MP3 播放機、iPod 等) 感染惡意程式,Windows 系統很難不中毒,到目前為止,很難防禦,因為這些設備缺少防寫的功能。至於其他的資訊,可以參考「你的隨身碟中毒了嗎?」和「如何預防隨身碟中毒」這兩篇文章。
對於 TomTom GPS 設備感染病毒,我有一些看法:
第一、他們的作業平台可能沒有安裝防毒軟體,如果有安裝的話,也沒有更新病毒碼 (也許在那時,防毒軟體是偵測不到這隻病毒)。
第二、他們沒有依照標準作業程序 (SOP) 檢查每個檔案。基本上,至少要用 MD5 比較原本檔案 (應該要做版本控管) 與目標檔案是否一致。
第三、在他們發佈的新聞中,沒有詳細描述病毒特性,很難知道這隻惡意程式做了什麼,真的可以用防毒軟體清除嗎 (很懷疑)?而且,還說這是低風險。各位想想,如果你是受害者,你會認為這是低風險嗎?
最後,我的建議是最好關閉 Windows 自動執行 (AutoRun 或 AutoPlay) 的功能,有興趣的人,請參考「如何預防隨身碟中毒」。歡迎各位發表自己的看法。
相關報導:
TomTom admits Satnav device is infected with virus
Trojans Loose on Navigation Devices
更新資訊:剛剛再檢查他們的網頁,確定已經移除了,不過,還有一個死的連結在 nn_pc.js 檔案裡,請各位還是要小心一點。
Boss 工商搜尋首頁被植入惡意連結,又是 Lineage 的變種,請各位暫時不要瀏覽這個網站,等我們確認他們已經修復後,會在此更新訊息 (此惡意程式會偷帳號與密碼)。(感謝 Jimau)
**請幫忙通知他們,謝謝**
惡意連結是放置在首頁及 nn_pc.js 檔案中:
惡意程式碼的一部份為:
執行之後,有下面的行為:
[Added process]
C:\Documents and Settings\Administrator\Local Settings\Temp\t4nk.com
[DLL injection]
C:\WINDOWS\system32\wydll.dll (注入某些執行程序如檔案總管、瀏覽器等)
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\t4nk.com
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\FoxHelp[1].exe
C:\WINDOWS\logo.dat
C:\WINDOWS\system\rundll32.exe
C:\WINDOWS\system32\wydll.dll
[Added COM/BHO]
{8CC497C0-A1DF-11CE-8098-00AA0047BE5D} (沒有連結到檔案)
{8CC497C1-A1DF-11CE-8098-00AA0047BE5D}
{8CC497C2-A1DF-11CE-8098-00AA0047BE5D}
{8CC497C3-A1DF-11CE-8098-00AA0047BE5D}
{8CC497C4-A1DF-11CE-8098-00AA0047BE5D}
{8CC497C5-A1DF-11CE-8098-00AA0047BE5D}
{8CC497C9-A1DF-11CE-8098-00AA0047BE5D}
[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run||Value=Lwy||Data=C:\WINDOWS\system\rundll32.exe
到目前為止,下面的防毒軟體可以偵測到這些惡意檔案:
FoxHelp[1].exe:
[ Trend ], “Possible_Infostl”
rundll32.exe:
[ Trend ], “Possible_Infostl”
t4nk.com:
[ Trend ], “Possible_Infostl”
wydll.dll:
[ Trend ], “TSPY_LINEAGE.CRB”
index.htm:
[ Kaspersky ], “Trojan-Downloader.VBS.Psyme.de”
[ Fortinet ], “VBS/Psyme.DE!tr.dldr”
[ Ewido ], “Downloader.Psyme.de”
更新資訊:剛剛再檢查他們的網頁,確定已經移除了,不過,各位還是要小心一點。
亞藝影音網頁被植入惡意連結,與之前看到的是一樣的,又是 Lineage 的變種,那受害者可能很慘,請各位暫時不要瀏覽這個網站,等我們確認他們已經修復後,會在此更新訊息 (此惡意程式會偷帳號與密碼)。(感謝 Jimau)
**請幫忙通知他們,謝謝**
惡意連結是放置在 script.js 檔案中:
惡意程式碼的一部份為:
執行之後,有下面的行為:
[DLL injection]
C:\WINDOWS\winvoc.dll (注入某些執行程序如檔案總管、瀏覽器等)
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\admin[1].exe
C:\WINDOWS\system32\winvoc.exe
C:\WINDOWS\winvoc.dll
[Added COM/BHO]
{5C029707-6DD4-4345-9D6E-E48B41646288}-C:\WINDOWS\winvoc.dll
到目前為止,下面的防毒軟體可以偵測到這些惡意檔案:
admin[1].exe:
[ Trend ], “Possible_Lineage”
winvoc.dll:
[ Trend ], “Possible_Lineage”
winvoc.exe:
[ Trend ], “Possible_Lineage”
惠安移民首頁又被植入惡意連結,連結是一樣的,但惡意檔案似乎被加殼程式壓過,所以,很多防毒軟體偵測不到。
因為這個網站常常被植入惡意連結,請各位暫時不要瀏覽這個網站,等我們確認他們已經修復後,會在此更新訊息 (此惡意程式會偷帳號與密碼)。
**請幫忙通知他們,謝謝**
惡意連結是放置在首頁的:
惡意程式碼的一部份為:
執行之後,有下面的行為:
[DLL injection]
C:\WINDOWS\Debug\UserMode\ACC27FC0.dll (注入某些執行程序如檔案總管等)
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gt0114.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\ghost0119[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gt0119[1].exe
C:\logex.txt
C:\WINDOWS\chenzi.exe
C:\WINDOWS\Debug\UserMode\ACC27FC0.dll
C:\WINDOWS\Debug\UserMode\ACC27FC0.exe
[Added COM/BHO]
{F4AEB826-71B5-4496-B79E-146897B8064F}-C:\WINDOWS\debug\userMode\ACC27FC0.dll
到目前為止,下面的防毒軟體可以偵測到這些惡意檔案:
chenzi.exe:
[ Kaspersky ], “PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact”
[ HBEDV ], “HEUR/Malware”
ghost0119[1].exe:
[ Kaspersky ], “PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact”
[ HBEDV ], “HEUR/Malware”
gt0114.exe:
[ Kaspersky ], “PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact”
[ HBEDV ], “HEUR/Malware”
gt0119[1].exe:
[ Kaspersky ], “PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact”
[ HBEDV ], “HEUR/Malware”
ACC27FC0.dll:
[ Kaspersky ], “PAK:NSPack”
[ Sophos ], “Mal/Packer”
[ Nod32 ], “probably a variant of Win32/PSW.Lineage.DN trojan”
[ Fortinet ], “suspicious”
[ HBEDV ], “HEUR/Malware”
[ Rising ], “[>>NsPack]:Trojan.PSW.Lineage.msb”
ACC27FC0.exe:
[ Kaspersky ], “PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact”
[ HBEDV ], “HEUR/Malware”
614.htm:
[ HBEDV ], “JS/Psyme.D”
[ Rising ], “Trojan.DL.VBS.Agent.cih”
[ Ewido ], “Downloader.Agent.m”
happy3.htm:
[ McAfee ], “VBS/Psyme”
[ Fortinet ], “JS/Psyme.CD!tr”
[ Rising ], “Trojan.DL.VBS.Psyme.cd”
中華歐亞基金會首頁又被植入新的惡意連結,真不曉得要說些什麼,請各位暫時不要瀏覽他們的網站,等我們確認他們已經修復後,會在此更新訊息。另外,因為這隻惡意程式在我的測試機器上,會產生應用程式錯誤,但我不確定是否在各位的環境結果一樣。
**請幫忙通知他們,謝謝**
惡意連結放置在首頁的:
惡意程式碼的一部份為:
到目前為止,下面的防毒軟體可以偵測到這些惡意檔案:
duge[1].exe:
[ Trend ], “BKDR_PRORAT.DA”
internat.exe:
[ Trend ], “BKDR_PRORAT.DA”
duge.htm:
[ Symantec ], “Downloader”
[ HBEDV ], “JS/Afunma.A”
根據防毒廠商 Symantec 的研究報告,去年 12 月垃圾郵件總量,還是以北美居冠。
下面列出最主要的議題 (難題):
至於更詳細的資訊,請參考 The State of Spam: A New Monthly Report。
更新資訊:打了兩通電話,剛剛再檢查他們的網頁,確定已經移除了,不過,我想他們處理的速度應該要改進。
繼中華民國銀行公會之後,財團法人證券投資人及期貨交易人保護中心首頁被植入惡意連結,不曉得這個單位重不重要呢?我想應該很重要吧,那投資人的臉應該都綠了一半,竟然,這麼容易被入侵,他們的網管人員真的要上緊發條了,請各位暫時不要瀏覽這個網站,等我們確認他們已經修復後,會在此更新訊息 (這隻病毒是灰鴿子,具有遠端控制能力)。(感謝 Jimau)
**請幫忙通知他們,謝謝**
惡意連結放置在首頁:
惡意程式的一部份為:
執行之後,有下面的行為:
[Added process]
C:\Program Files\wsw\wsw.cc
[Added service]
NAME: Automatic Updates
DISPLAY: Automatic Updates
FILE: C:\Program Files\wsw\wsw.cc
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\kljsdown1125.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\111[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\222[1].exe
C:\Program Files\wsw\wsw.cc
到目前為止,下面的防毒軟體可以偵測到這些惡意檔案:
222[1].exe:
[ Alwil ], “Win32:Graybird-AD [Trj]“
[ Nod32 ], “a variant of Win32/Hupigon trojan”
[ Fortinet ], “suspicious”
[ Ewido ], “Backdoor.Hupigon.awp”
kljsdown1125.exe:
[ Alwil ], “Win32:Graybird-AD [Trj]“
[ Nod32 ], “a variant of Win32/Hupigon trojan”
[ Fortinet ], “suspicious”
[ Ewido ], “Backdoor.Hupigon.awp”
wsw.cc:
[ Alwil ], “Win32:Graybird-AD [Trj]“
[ Nod32 ], “a variant of Win32/Hupigon trojan”
[ Fortinet ], “suspicious”
[ Ewido ], “Backdoor.Hupigon.awp”
111[1].exe:
[ Nod32 ], “probably unknown NewHeur_PE virus [7]“
[ Fortinet ], “suspicious”
[ HBEDV ], “HEUR/Crypted”
3.htm-malscript:
[ McAfee ], “VBS/Psyme”
[ Fortinet ], “VBS/Psyme.CY!tr”
[ Norman ], “Trojan VBS/Psyme.AE”
7.htm-malscript:
[ McAfee ], “[000001ca.vbs]:Exploit-MS06-014″
[ Norman ], “Trojan VBS/Psyme.AK”
[ Grisoft ], “Trojan horse Downloader.Small.57.V”
index.htm-malscript:
[ Ewido ], “Downloader.Agent.m”
1.htm-malscript:
[ McAfee ], “VBS/Psyme”
