2007 三月 | 大砲開講

三月, 2007

淡江大學網站被植入惡意連結

2007 年 03 月 31 日 – 09:48:00

更新資訊：已修復

淡江大學網站被植入惡意連結，此惡意連結會嘗試連至其他的網站，但目前在我的測試環境中是無法連上那些網站 (hxxp://www.misofthelp.com)，所以，無法順利執行惡意程式 (病毒作者應該很快就會發現，然後，修正其程式碼)，不過，能不能在各位的環境中執行成功，我就不知道了，請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。另外，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)。(Credit: 飛影‧忌子)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

執行此惡意檔案後，會發生 Microsoft JScript runtime error：

此惡意檔案的內容為：

到目前為止 (2007/3/31 @ 9:42)，下面的防毒軟體可以偵測到這些惡意檔案：

7888p.jpg:
[ AVG ], “Downloader.Small.58.AW”
[ BitDefender ],”Exploit.Win32.MS05-002.Gen”
[ Trend ], “TROJ_ANICMOO.AX”
[ Microsoft ], “TrojanDownloader:Win32/Anicmoo.gen!D”
[ Kaspersky ], “Trojan-Downloader.Win32.Ani.g”
[ McAfee ], “Exploit-ANIfile.c”
[ Sophos ], “Troj/Animoo-U”
[ Rising ], “Hack.Exploit.RIFF.b”
[ CAT-QuickHeal ], “Exploit.MS05-002″
[ DrWeb ],”Trojan.DownLoader.19858″
[ eTrust-Vet ], “Win32/MSA-935423!exploit”
[ F-Secure ], “Trojan-Downloader.Win32.Ani.g”
[ Sunbelt ], “Trojan-Exploit.Anicmoo.ax (v)”
[ Symantec ], “Bloodhound.Exploit.131″
9197p.jpg:
[ AVG ], “Downloader.Small.58.AW”
[ BitDefender ],”Exploit.Win32.MS05-002.Gen”
[ Trend ], “TROJ_ANICMOO.AX”
[ Microsoft ], “TrojanDownloader:Win32/Anicmoo.gen!D”
[ Kaspersky ], “Trojan-Downloader.Win32.Ani.g”
[ McAfee ], “Exploit-ANIfile.c”
[ Sophos ], “Troj/Animoo-U”
[ Rising ], “Hack.Exploit.RIFF.b”
[ CAT-QuickHeal ], “Exploit.MS05-002″
[ DrWeb ],”Trojan.DownLoader.19858″
[ eTrust-Vet ], “Win32/MSA-935423!exploit”
[ F-Secure ], “Trojan-Downloader.Win32.Ani.g”
[ Sunbelt ], “Trojan-Exploit.Anicmoo.ax (v)”
[ Symantec ], “Bloodhound.Exploit.131″

惡意程式, 網站安全 | 瀏覽數：200 | 0 迴響 »

HiNet 理財網又被植入惡意連結

2007 年 03 月 31 日 – 01:56:00

更新資訊：已修復 (2007/4/2 @ 20:30)

HiNet 理財網又被植入惡意連結，此惡意連結會嘗試連至其他的網站，但目前在我的測試環境中是無法連上那些網站 (hxxp://www.ipqwe.com 和 hxxp://www.ok8vs.com)，所以，無法順利執行惡意程式，不過，能不能在各位的環境中執行成功，我就不知道了。在此要注意的是 HiNet 理財網應該有系統或軟體漏洞，導致攻擊者利用此漏洞，將惡意連結寫入檔案中 (小心最近的 ANI 零時差攻擊)，他們的網管或 SOC 應該要好好檢查此網站，以免消費者權益受損，至於消費者的資料有沒有外洩，就不得而知，除非他們秉持良心，公佈詳細資訊 (這樣才會進步) 。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。

**請幫忙通知他們，謝謝**

惡意連結是放置在 indexchart1.js 檔案中的 (hxxp://www.hiet.tw/…)：

惡意程式碼的一部份為：

解碼之後，惡意程式碼的一部分為：

最後，Hinet 網站提供 ScanAlert 防駭服務 (如下圖)，可能要先把自己的網站搞定，才能讓客戶放心，否則，只是花錢買心安而已 (Hinet 應該要聘請我當顧問，我可以好好幫他們檢視整個 SOC 的流程喔！開玩笑的啦，怎麼可能呢)。

安全漏洞, 惡意程式, 網站安全 | 瀏覽數：208 | 0 迴響 »

台灣 Nikon 網站又被植入惡意連結

2007 年 03 月 30 日 – 22:15:00

更新資訊：已修復 (2007/4/10 @ 10:03)
**高度危險網站：常常被植入惡意連結，列入網站黑名單，不建議瀏覽此網站**台灣 Nikon 網站又被植入惡意連結，此惡意程式為 Lineage 和灰鴿子變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。另外，其中某些惡意檔案是利用微軟的安全漏洞 (Vulnerability in Windows Animated Cursor Handling)(此為零時差攻擊)。

**請幫忙通知他們，謝謝** 閱讀全文 »

安全漏洞, 惡意程式, 網站安全 | 瀏覽數：271 | 0 迴響 »

臺安醫院生殖醫學中心網站又被植入惡意連結

2007 年 03 月 29 日 – 23:42:00

**高度危險網站：常常被植入惡意連結，列入網站黑名單，不建議瀏覽此網站**

臺安醫院生殖醫學中心網站又被植入惡意連結，此惡意程式為 Lineage 的變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。(Credit: Jack)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\08835B.dll (注入某些執行程序如檔案總管、IE等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gz002.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gz[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\testtest[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\kabakao[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\dap[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gz001[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gh02[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gh1[1].htm
C:\WINDOWS\Debug\UserMode\08835B.dll
C:\WINDOWS\Debug\UserMode\08835B.exe

[Added COM/BHO]
{AD11A17C-83C2-4121-89C8-D0660555685C}-C:\WINDOWS\debug\userMode\08835B.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

kabakao[1].exe:
[ Trend ], “TROJ_AGENT.PPO”
08835B.dll:
[ Trend ], “Possible_Lineage”
08835B.exe:
[ Alpha_Gen ], “Possible_Infostl”
[ Kaspersky ], “PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact”
[ Nod32 ], “a variant of Win32/PSW.Lineage.ACN trojan”
[ HBEDV ], “DR/Delphi.Gen”
gh02[1].exe:
[ Alpha_Gen ], “Possible_Infostl”
[ Kaspersky ], “PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact”
[ Nod32 ], “a variant of Win32/PSW.Lineage.ACN trojan”
[ HBEDV ], “DR/Delphi.Gen”
gh[1].htm:
[ HBEDV ], “VBS/Dldr.Agent.6171″
[ Grisoft ], “Virus identified VBS/Psyme.N”
gz001[1].exe:
[ Kaspersky ], “PAK:PE-Armor, unknown format.”
[ McAfee ], “New Win32.g2 !!”
[ Fortinet ], “suspicious”
[ HBEDV ], “TR/Crypt.XPACK.Gen”
gz002.exe:
[ Alpha_Gen ], “Possible_Infostl”
[ Kaspersky ], “PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact”
[ Nod32 ], “a variant of Win32/PSW.Lineage.ACN trojan”
[ HBEDV ], “DR/Delphi.Gen”
gz[1].htm:
[ HBEDV ], “VBS/Dldr.Agent.6171″
[ Grisoft ], “Virus identified VBS/Psyme.N”

惡意程式, 網站安全 | 瀏覽數：199 | 0 迴響 »

Amo 阿默典藏蛋糕網站被植入惡意連結

2007 年 03 月 29 日 – 23:22:00

更新資訊：已修復 (2007/4/2 @ 20:30)

Amo 阿默典藏蛋糕網站被植入惡意連結，在我的測試機器上是無法順利執行成功，請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。 (Credit: Jimau)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

nbxs.htm:
[ McAfee ], “Exploit-ObscuredHtml”

惡意程式, 網站安全 | 瀏覽數：212 | 0 迴響 »

台中臺安醫院又被植入惡意連結

2007 年 03 月 29 日 – 17:47:00

台中臺安醫院又被植入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁 (index.html) 中的：

惡意程式的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\67D50D.dll (注入某些執行程序如檔案總管、 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\blue1.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\gz002.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gz[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\index[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\gz001[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gh[1].htm
C:\WINDOWS\Debug\UserMode\67D50D.dll
C:\WINDOWS\Debug\UserMode\67D50D.exe

[Added COM/BHO]
{D59D2B84-7851-4B10-BA14-4125D8EB86BF}-C:\WINDOWS\debug\userMode\67D50D.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

67D50D.exe:
[ Trend ], “TSPY_LINEAGE.EUQ”
blue1.exe:
[ Trend ], “TSPY_LINEAGE.EUQ”
gh[1].htm:
[ Trend ], “VBS_PSYME.HW”
gz002.exe:
[ Trend ], “TROJ_AGENT.PPO”
67D50D.dll:
[ Trend ], “TSPY_LINEAGE.EUT”
gz001[1].exe:
[ Kaspersky ], “PAK:PE-Armor, unknown format.”
[ McAfee ], “New Win32.g2 !!”
[ Sophos ], “W32/Gosbot-Fam”
[ Fortinet ], “suspicious”
[ HBEDV ], “TR/Crypt.XPACK.Gen”
gz[1].htm:
[ Kaspersky ], “Trojan-Downloader.VBS.Agent.y”
[ McAfee ], “VBS/Psyme”
[ Nod32 ], “JS/TrojanDownloader.Psyme.DQ trojan”
[ Fortinet ], “VBS/Small.ZZ!tr.dldr”
[ Norman ], “Trojan VBS/Psyme.AE”
[ Rising ], “Trojan.DL.VBS.Agent.cel”
[ Ewido ], “Downloader.Small.bd”
[ Grisoft ], “Trojan horse Downloader.Small.58.AK”

惡意程式, 網站安全 | 瀏覽數：208 | 0 迴響 »

彩虹國際旅行社網站被植入惡意連結

2007 年 03 月 29 日 – 17:38:00

彩虹國際旅行社網站被植入惡意連結，此惡意程式為 Maran 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在 major.asp 檔案中的：

惡意程式碼的一部份為：

當執行此惡意程式時，會產生一個應用程式錯誤：

執行之後，有下面的行為：

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\inpa[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\test[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\top[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[4].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\major[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\mystat[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

od2media.dll:
[    Alpha_Gen ], “Possible_MLWR-1″
[    Beta_Gen   ], “Possible_MLWR-1″
[    Microsoft ], “Virus:Win32/Detnat.F”
[    Fortinet   ], “suspicious”
[    HBEDV      ], “TR/Crypt.NSAnti.Gen”
[    Ahnlab     ], “infected by Win32/NSAnti.suspicious”
update[1].exe:
[    Alpha_Gen ], “Possible_MLWR-1″
[    Beta_Gen   ], “Possible_MLWR-1″
[    Nod32      ], “a variant of Win32/PSW.Maran trojan”
[    HBEDV      ], “TR/Crypt.NSAnti.Gen”
update[4].htm:
[    Nod32      ], “VBS/TrojanDownloader.Small.BO trojan”
[    Fortinet   ], “VBS/Psyme.DP!tr.dldr”
[    Rising     ], “Trojan.DL.VBS.Agent.cii”
[    Ewido      ], “Downloader.Small.cu”
avp.exe:
[    Alpha_Gen ], “NSPM_Protected”
[    Beta_Gen   ], “Possible_MLWR-1″
[    Microsoft ], “Virus:Win32/Detnat.F”
[    Alwil      ], “Win32:MianCrypt-gen [Trj]“
[    Fortinet   ], “suspicious”
[    HBEDV      ], “TR/Crypt.NSAnti.Gen”
[    Ahnlab     ], “infected by Win32/NSAnti.suspicious”

惡意程式, 網站安全 | 瀏覽數：198 | 0 迴響 »

「惡意程式辨識、清除、預防與標準處理程序」教育訓練課程

2007 年 03 月 29 日 – 12:20:00

資策會與梅爾斯特系統有限公司特別合作開設「 惡意程式辨識、清除、預防與標準處理程序 」課程，由 Malware-Test Lab 的資安專家為您介紹及講解惡意程式最常用的技術，並告訴您如何辨識、清除、防護、標準處理程序及讓各位上機實作練習，以了解惡意程式的行為，以幫助各位解決對惡意程式的各種疑問和問題，以降低惡意程式對個人及企業所造成的損失與危害。我個人認為這課程對 MIS 或資安管理人員應該蠻有幫助的，有興趣的人，可以報名參加，至於詳細課程資訊，請參考這裡。

教育訓練 | 瀏覽數：1 | 0 迴響 »

台灣電子地圖服務網網站又被植入惡意連結

2007 年 03 月 29 日 – 11:03:00

**高度危險網站：常常被植入惡意連結，列入網站黑名單，不建議瀏覽此網站**

台灣電子地圖服務網網站又被植入惡意連結，此惡意程式為 Lineage 的變種，最近有瀏覽這個網頁的網友 (應該很多人會瀏覽此網站，受害者又一堆了)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。之前已經聯絡他們很多次，希望他們好好檢查系統或軟體有沒有安全漏洞，就是不信邪，這次真的被植入惡意連結，廠商真是鴕鳥心態，枉顧消費者權益，建議瀏覽其他的電子地圖。(Credit: Jimau)

**請幫忙通知他們，謝謝**

惡意連結是放置在 index.asp 檔案中的：

另一個奇怪的連結為：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\Program Files\Common Files\search.dll (注入 IE 的執行程序)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\qing.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\mystat[1].htm
C:\Program Files\Common Files\search.dll
C:\WINDOWS\system32\winCreate.exe

[Added COM/BHO]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

qing.exe:
[ Trend ], “TSPY_LINEAGE.FCQ”
search.dll:
[ Trend ], “TSPY_LINEAGE.FCQ”
update[1].exe:
[ Trend ], “TSPY_LINEAGE.FCQ”
winCreate.exe:
[ Trend ], “TSPY_LINEAGE.FCQ”
update[1].htm:
[    Nod32      ], “VBS/TrojanDownloader.Small.BO trojan”
[    Fortinet   ], “VBS/Psyme.DP!tr.dldr”
[    Rising     ], “Trojan.DL.VBS.Agent.cii”
[    Ewido      ], “Downloader.Small.cu”

惡意程式, 網站安全 | 瀏覽數：193 | 0 迴響 »

ESPNSTAR 體育台網站被植入惡意連結

2007 年 03 月 28 日 – 23:03:00

更新資訊：剛剛打電話給他們，竟然說是下班時間，所以，目前無人處理

ESPNSTAR 體育台網站被植入惡意連結，此惡意程式為 Maran 的變種，最近有瀏覽這個網頁的網友 (應該很多人會瀏覽此網站，受害者又一堆了)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。(Credit: Jimau)

**請幫忙通知他們，謝謝**

惡意連結是放置在 AVList.asp 檔案中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[Added process]
C:\WINDOWS\avp.exe (偽裝卡巴司基防毒軟體的執行程序)

[DLL injecti]
C:\WINDOWS\lsass.exe (注入 lsass.exe 的執行程序)
C:\WINDOWS\system32\md5media.dll (注入某些執行程序如檔案總管、IE 等)

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\getflashplayer[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\AVList[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\flash[1].exe
C:\WINDOWS\avp.exe
C:\WINDOWS\lsass.exe
C:\WINDOWS\system32\ldmedia3.dll
C:\WINDOWS\system32\md5media.dll
C:\WINDOWS\system32\wnvdsf.ax

[Added LSP]
ID: 1014
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\ldmedia3.dll)

ID: 1015
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\ldmedia3.dll)

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案 (等一下會再更新一次)：

flash[1].exe:
[ Trend ], “TSPY_MARAN.DL”
getflashplayer[1].htm:
[ Trend ], “VBS_PSYME.VZ”
lsass.exe:
[ Trend ], “TROJ_MARAN.DJ”
md5media.dll:
[ Trend ], “TSPY_MARAN.FF”
avp.exe:
[ Trend ], “Possible_Virus”
ldmedia3.dll:
[    Alwil      ], “Win32:Maran-D [Trj]“
[    Nod32      ], “a variant of Win32/PSW.Maran trojan”
[    Fortinet   ], “suspicious”
[    HBEDV      ], “TR/Drop.Maran.C.3″
[    Ewido      ], “Trojan.Maran.cs”
[    Grisoft    ], “Trojan horse PSW.Generic3.PUP”

惡意程式, 網站安全 | 瀏覽數：197 | 0 迴響 »

臺安醫院生殖醫學中心網站又被植入惡意連結

2007 年 03 月 28 日 – 11:06:00

**高度危險網站：常常被植入惡意連結，列入網站黑名單，不建議瀏覽此網站**

臺安醫院生殖醫學中心網站又被植入惡意連結，此惡意程式為 Lineage 的變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\67D50D.dll (注入某些執行程序如檔案總管、IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\blue1.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gz001[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gz[1].htm
C:\WINDOWS\Debug\UserMode\67D50D.dll
C:\WINDOWS\Debug\UserMode\67D50D.exe

[ Added COM/BHO ]
{D59D2B84-7851-4B10-BA14-4125D8EB86BF}-C:\WINDOWS\debug\userMode\67D50D.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

67D50D.dll:
[ Trend ], “Possible_Lineage”
blue1.exe:
[ Alpha_Gen ], “Possible_Infostl”
[ Kaspersky ], “PAK:PE_Patch.PECompact”
[ Sophos ], “W32/Gosbot-Fam”
[ Nod32 ], “a variant of Win32/PSW.Lineage.ACN trojan”
[ HBEDV ], “TR/Lineage.FA7F3876″
[ Grisoft ], “Trojan horse PSW.Generic3.RPO”
gh[1].htm:
[ McAfee ], “VBS/Psyme”
[ Nod32 ], “JS/TrojanDownloader.Psyme.DQ trojan”
[ Fortinet ], “VBS/Small.ZZ!tr.dldr”
[ Norman ], “Trojan VBS/Psyme.AE”
[ Rising ], “Trojan.DL.VBS.Agent.cel”
[ Ewido ], “Downloader.Small.bd”
[ Grisoft ], “Trojan horse Downloader.Small.58.AK”
gh[1].htm:
[ Alpha_Gen ], “Heur_Infrm-2″
gz001[1].exe:
[ Kaspersky ], “PAK:PE-Armor”
[ McAfee ], “New Win32.g2 !!”
[ Sophos ], “W32/Gosbot-Fam”
[ Fortinet ], “suspicious”
[ HBEDV ], “TR/Crypt.XPACK.Gen”
gz[1].htm:
[ McAfee ], “VBS/Psyme”
[ Nod32 ], “JS/TrojanDownloader.Psyme.DQ trojan”
[ Fortinet ], “VBS/Small.ZZ!tr.dldr”
[ Norman ], “Trojan VBS/Psyme.AE”
[ Rising ], “Trojan.DL.VBS.Agent.cel”
[ Ewido ], “Downloader.Small.bd”
[ Grisoft ], “Trojan horse Downloader.Small.58.AK”
67D50D.exe:
[ Alpha_Gen ], “Possible_Infostl”
[ Kaspersky ], “PAK:PE_Patch.PECompact”
[ Sophos ], “W32/Gosbot-Fam”
[ Nod32 ], “a variant of Win32/PSW.Lineage.ACN trojan”
[ HBEDV ], “TR/Lineage.FA7F3876″
[ Grisoft ], “Trojan horse PSW.Generic3.RPO”

惡意程式, 網站安全 | 瀏覽數：199 | 0 迴響 »

網頁設計聯合國網站又被植入惡意連結

2007 年 03 月 28 日 – 10:14:00

網頁設計聯合國網站又被植入惡意連結，此惡意程式為 Maran 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦，請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[Added process]
C:\WINDOWS\avp.exe

[DLL injection]
C:\WINDOWS\system32\ldmedia3.dll (注入 IE 的執行程序)

[Added service]
NAME: VGADown
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\tai[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\tong.5i2[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\flash[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\swflash[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\king[1].exe
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\ldmedia3.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\ldmedia3.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\ldmedia3.dll)

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

king[1].exe:
[ Trend ], “TSPY_MARAN.CS”
tai[1].htm:
[ Trend ], “VBS_PSYME.WF”
avp.exe:
[ Trend ], “Possible_Virus”
flash[1].exe:
[ Kaspersky ], “PAK:UPack”
[ Sophos ], “W32/Gosbot-Fam”
[ Nod32 ], “probably a variant of Win32/PSW.Maran trojan”
[ Fortinet ], “suspicious”
[ HBEDV ], “TR/PSW.Maran.AU”
[ Norman ], “Virus W32/Viking.EQ”
[ Ewido ], “Trojan.Maran.cs”
[ Grisoft ], “Trojan horse PSW.Generic3.ROE”
ldmedia3.dll:
[ Alwil ], “Win32:Maran-D [Trj]“
[ Nod32 ], “a variant of Win32/PSW.Maran trojan”
[ Fortinet ], “suspicious”
[ HBEDV ], “TR/Drop.Maran.C.3″
[ Ewido ], “Trojan.Maran.cs”
[ Grisoft ], “Trojan horse PSW.Generic3.PUP”
swflash[1].htm:
[ Kaspersky ], “Trojan-Downloader.VBS.Psyme.du”
[ McAfee ], “[0000001c.vbs]:Exploit-MS06-014″
[ Fortinet ], “VBS/Psyme.DU!tr”
[ Ewido ], “Downloader.Small.dk”
[ Grisoft ], “Trojan horse Downloader.Small.58.AP”

惡意程式, 網站安全 | 瀏覽數：210 | 0 迴響 »

天喜旅行社網站又被值入惡意連結

2007 年 03 月 28 日 – 10:06:00

更新資訊：已修復 (天喜的回應：目前主機的木馬已經掃除,為了斷除後患,我們將重灌系統，另外我們也更換了一台防火牆，整個網路架構有更新了)

天喜旅行社網站又被值入惡意連結，此惡意程式為 Lineage 的變種。這間旅行社應該蠻大的吧，受害者應該不少，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在 index_main_new.htm 檔案中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\Program Files\Common Files\search.dll (注入 IE 的執行程序)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\yt.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\mystat[2].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].htm
C:\Program Files\Common Files\search.dll
C:\qing.exe
C:\WINDOWS\system32\winCreate.exe

[ Added COM/BHO ]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

惡意程式, 網站安全 | 瀏覽數：263 | 1 迴響 »

東風電視台網站被植入惡意連結

2007 年 03 月 27 日 – 20:52:00

更新資訊：昨天下午五點通知他們，晚上十點左右打電話到他們客服部，但到現在還沒有處理，這就是他們對待消費者的態度嗎？枉顧消費者權益，我看得請蘋果爆爆才行了。

東風電視台網站被植入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。(Credit: Edward)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\yt.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\update[1].exe
C:\Program Files\Common Files\search.dll
C:\qing.exe
C:\WINDOWS\system32\winCreate.exe

[Added COM/BHO]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

惡意程式, 網站安全 | 瀏覽數：169 | 0 迴響 »

給企業資安主管一個忠告

2007 年 03 月 27 日 – 10:39:00

很多企業資安主管都說資訊安全很重要，但我認為他們連最基本的必備條件都沒有做好 — 提供 24 小時專線電話和特定的電子郵件信箱。為什麼我會這麼說呢？閱讀全文 »

自我觀點 | 瀏覽數：213 | 0 迴響 »

大砲開講

三月, 2007

淡江大學網站被植入惡意連結

HiNet 理財網又被植入惡意連結

台灣 Nikon 網站又被植入惡意連結

臺安醫院生殖醫學中心網站又被植入惡意連結

Amo 阿默典藏蛋糕網站被植入惡意連結

台中臺安醫院又被植入惡意連結

彩虹國際旅行社網站被植入惡意連結

「惡意程式辨識、清除、預防與標準處理程序」教育訓練課程

台灣電子地圖服務網網站又被植入惡意連結

ESPNSTAR 體育台網站被植入惡意連結

臺安醫院生殖醫學中心網站又被植入惡意連結

網頁設計聯合國網站又被植入惡意連結

天喜旅行社網站又被值入惡意連結

東風電視台網站被植入惡意連結

給企業資安主管一個忠告

訂閱網誌

Recent Comments

Recent Post

Archives

Categories