大砲開講

時報旅遊 (中國時報旅行社) 網站又被植入惡意連結

**高度危險網站：常常被植入惡意連結或遭駭，枉顧消費者權益，建議不要瀏覽此網站**

時報旅遊 (中國時報旅行社) 網站又被植入惡意連結。這是一個旅遊資訊網站，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。對於一個這麼大的旅遊網站常常被植入惡意連結，導致消費者權益受損，實在是不應該，他們的網管人員真的該檢討。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\yt.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].htm
C:\Program Files\Common Files\search.dll
C:\qing.exe
C:\WINDOWS\system32\winCreate.exe

[ Added COM/BHO ]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

qing.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
search.dll:
[ Trend ], "TSPY_LINEAGE.FCQ"
update[1].exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
winCreate.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
update[1].htm:
[ HBEDV ], "EXP/Ascii.D"

惡意程式, 網站安全 | 瀏覽數：1,003 | 0 迴響 »

波酷網 (台灣創意設計中心) 又被植入惡意連結

波酷網又被植入惡意連結，此惡意程式為 Lineage 和 Maran 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦 (他們的網管人員只是移除惡意連結，並沒有找出系統或軟體有沒有漏洞，真是糟糕)。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

簡介：台灣設計寶庫-波酷網，由台灣創意設計中心規劃執行，提供國內設計產官學的夥伴關係，並建研分工合作的平台機制，促進跨產業與跨領域立與國際接軌的設計服務，掌握全球設計趨勢、活動；多元化設計資源，增進國內產業設計能力，讓設計美學融入日常生活。

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，會有下面的行為：

[Added process]
C:\WINDOWS\avp.exe

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\yt.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\king[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\tai[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\update[1].exe
C:\Program Files\Common Files\search.dll
C:\qing.exe
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\ldmedia3.dll
C:\WINDOWS\system32\winCreate.exe

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\ldmedia3.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\ldmedia3.dll)

[Added COM/BHO]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

king[1].exe:
[ Trend ], "TSPY_MARAN.CS"
ldmedia3.dll:
[ Trend ], "TROJ_MARAN.EL"
qing.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
search.dll:
[ Trend ], "TSPY_LINEAGE.FCQ"
tai[1].htm:
[ Trend ], "VBS_PSYME.WF"
update[1].exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
winCreate.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
avp.exe:
[ Trend ], "TROJ_DELF.FFK"
update[1].htm:
[ HBEDV ], "EXP/Ascii.D"

惡意程式, 網站安全 | 瀏覽數：769 | 0 迴響 »

八大森林博覽樂園網站被植入惡意連結

八大森林博覽樂園網站被植入惡意連結，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。(Credit: ~ 魂 ~)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\AD[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\TwX[1].exe
C:\WINDOWS\system32\NtFsc.exe

[Added registry]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Value=NtFsc.exe,Data=C:\WINDOWS\system32\NtFsc.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RUNONCE
Value=*NtFsc.exe,Data=C:\WINDOWS\system32\NtFsc.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=NtFsc.exe,Data=C:\WINDOWS\system32\NtFsc.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Value=*NtFsc.exe,Data=C:\WINDOWS\system32\NtFsc.exe

HKU\S-1-5-21-515967899-583907252-839522115-500\Software\Microsoft\Windows\
CurrentVersion\Run
Value=NtFsc.exe,Data=C:\WINDOWS\system32\NtFsc.exe

HKU\S-1-5-21-515967899-583907252-839522115-500\Software\Microsoft\Windows\
CurrentVersion\RUNONCE
Value=*NtFsc.exe,Data=C:\WINDOWS\system32\NtFsc.exe

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

NtFsc.exe:
[    Alpha_Gen  ], "Possible_HUPIGON"
[    Kaspersky  ], "Packed.Win32.PePatch.cp"
[    McAfee     ], "BackDoor-CDC.svr"
[    Nod32      ], "a variant of Win32/TrojanDropper.Delf.AAH trojan"
[    HBEDV      ], "TR/PePatch.CP.92″
[    Ewido      ], "Dropper.Agent.awq"
[    Grisoft    ], "Virus identified Win32/PEPatch.I"
TwX[1].exe:
[    Alpha_Gen  ], "Possible_HUPIGON"
[    Kaspersky  ], "Packed.Win32.PePatch.cp"
[    McAfee     ], "BackDoor-CDC.svr"
[    Nod32      ], "a variant of Win32/TrojanDropper.Delf.AAH trojan"
[    HBEDV      ], "TR/PePatch.CP.92″
[    Ewido      ], "Dropper.Agent.awq"
[    Grisoft    ], "Virus identified Win32/PEPatch.I"
AD[1].htm:
[    Rising     ], "Trojan.DL.VBS.Agent.ckv"

惡意程式, 網站安全 | 瀏覽數：728 | 0 迴響 »

波酷網被植入惡意連結

波酷網被植入惡意連結，此惡意程式為 Lineage 和 Maran 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。(Credit: CCC)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，會有下面的行為：

[Added process]
C:\WINDOWS\avp.exe

[DLL injection]
C:\Program Files\Common Files\search.dll (注入 IE 的執行程序)
C:\WINDOWS\system32\ldmedia3.dll　(注入 IE 的執行程序)

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\yt.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\tai[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[2].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\king[1].exe
C:\Program Files\Common Files\search.dll
C:\qing.exe
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\ldmedia3.dll
C:\WINDOWS\system32\winCreate.exe

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至　C:\WINDOWS\system32\ldmedia3.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至　C:\WINDOWS\system32\ldmedia3.dll)

[Added COM/BHO]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

qing.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
search.dll:
[ Trend ], "TSPY_LINEAGE.FCQ"
update[1].exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
winCreate.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
avp.exe:
[ Trend ], "TROJ_DELF.FFK"
ldmedia3.dll:
[ Alwil ], "Win32:Maran-D [Trj]"
[ Nod32 ], "a variant of Win32/PSW.Maran trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Drop.Maran.C.3″
[ Ewido ], "Trojan.Maran.cs"
[ Grisoft ], "Trojan horse PSW.Generic3.OYJ"
tai[1].htm:
[ Kaspersky ], "Trojan-Downloader.VBS.Psyme.cx"
[ McAfee ], "Exploit-ObscuredHtml"
[ Fortinet ], "ObscuredHtml!exploit"
[ Ewido ], "Downloader.Psyme.du"
update[2].htm:
[ HBEDV ], "EXP/Ascii.D"
king[1].exe:
[ Kaspersky ], "PAK:UPack, Trojan-PSW.Win32.Maran.cs"
[ Sophos ], "W32/Gosbot-Fam"
[ Nod32 ], "probably a variant of Win32/PSW.Maran trojan"
[ Fortinet ], "W32/Maran.CS!tr.pws"
[ HBEDV ], "TR/PSW.Maran.AU"
[ Norman ], "Virus W32/Viking.EQ"
[ Ewido ], "Trojan.Maran.cs"
[ Grisoft ], "Trojan horse PSW.Generic3.OYI"

惡意程式, 網站安全 | 瀏覽數：781 | 0 迴響 »

表演藝術聯盟網站又被值入惡意連結

表演藝術聯盟網站又被值入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\719EB.dll (注入某些執行程序如檔案總管和 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh01.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gh[1].htm
C:\WINDOWS\Debug\UserMode\719EB.dll
C:\WINDOWS\Debug\UserMode\719EB.exe

[ Added COM/BHO ]
{65D89E28-6877-480F-85EE-B67147796C82}-C:\WINDOWS\debug\userMode\719EB.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

719EB.exe:
[ Trend ], “TSPY_LINEAGE.ESU”
gh01.exe:
[ Trend ], “TSPY_LINEAGE.ESU”
719EB.dll:
[ Trend ], “TSPY_LINEAGE.ESU”
gh[1].htm:
[ HBEDV ], “JS/Psyme.D”
[ Rising ], “Trojan.DL.VBS.Agent.cih”
[ Ewido ], “Downloader.Agent.m”

惡意程式, 網站安全 | 瀏覽數：692 | 0 迴響 »

艾維士租車旅遊網又被植入惡意連結

更新資訊：已修復 

艾維士租車旅遊網又被植入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\yt.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].htm
C:\Program Files\Common Files\search.dll
C:\qing.exe
C:\WINDOWS\system32\winCreate.exe

[ Added COM/BHO ]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

winCreate.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
qing.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
search.dll:
[ Trend ], "TSPY_LINEAGE.FCQ"
update[1].exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
update[1].htm:
[ HBEDV ], "EXP/Ascii.D"

惡意程式, 網站安全 | 瀏覽數：788 | 0 迴響 »

時報旅遊 (中國時報旅行社) 網站又被植入惡意連結

**高度危險網站：常常被植入惡意連結或遭駭**

時報旅遊 (中國時報旅行社) 網站又被植入惡意連結。這是一個旅遊資訊網站，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。對於一個這麼大的旅遊網站常常被植入惡意連結，導致消費者權益受損，實在是不應該，他們的網管人員真的該檢討。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[Added process]
C:\WINDOWS\avp.exe (假的卡巴司基防毒軟體的執行程序)

[DLL injection]
C:\WINDOWS\system32\ldmedia3.dll

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\flash[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\getflashplayer[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\ldmedia3.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\ldmedia3.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\ldmedia3.dll)

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

avp.exe:
[ Trend ], "Possible_Virus"
flash[1].exe:
[ Kaspersky ], "PAK:UPack"
[ Sophos ], "W32/Gosbot-Fam"
[ Nod32 ], "probably a variant of Win32/PSW.Maran trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/PSW.Maran.AU"
[ Norman ], "Virus W32/Viking.EQ"
[ Ewido ], "Trojan.Maran.cs"
getflashplayer[1].htm:
[ Kaspersky ], "Trojan-Downloader.VBS.Psyme.du"
[ McAfee ], "[0000001c.vbs]:Exploit-MS06-014″
[ Fortinet ], "VBS/Psyme.DU!tr"
[ Ewido ], "Downloader.Small.dk"
ldmedia3.dll:
[ Alwil ], "Win32:Maran-D [Trj]"
[ Nod32 ], "a variant of Win32/PSW.Maran trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Drop.Maran.C.3″
[ Ewido ], "Trojan.Maran.cs"
[ Grisoft ], "Trojan horse PSW.Generic3.OYJ"

惡意程式, 網站安全 | 瀏覽數：775 | 0 迴響 »

旅遊書籤網站又被植入惡意連結

旅遊書籤網站又被植入惡意連結，此惡意程式為 Lineage 變種。這是一個旅遊資訊網站，最近有瀏覽這個網頁的網友 (蠻多網友瀏覽此網站)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\719EB.dll (注入某些執行程序如檔案總管和 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh01.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gh[1].htm
C:\WINDOWS\Debug\UserMode\719EB.dll
C:\WINDOWS\Debug\UserMode\719EB.exe

[ Added COM/BHO ]
{65D89E28-6877-480F-85EE-B67147796C82}-C:\WINDOWS\debug\userMode\719EB.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

719EB.exe:
[ Trend ], "TSPY_LINEAGE.ESU"
gh01.exe:
[ Trend ], "TSPY_LINEAGE.ESU"
719EB.dll:
[ Trend ], "TSPY_LINEAGE.ESU"
gh[1].htm:
[ HBEDV ], "JS/Psyme.D"
[ Rising ], "Trojan.DL.VBS.Agent.cih"
[ Ewido ], "Downloader.Agent.m"

惡意程式, 網站安全 | 瀏覽數：681 | 0 迴響 »

CVS 便利達康網站被植入惡意連結

更新資訊：已修復 

CVS 便利達康網站被植入惡意連結，已經非常多次，此惡意程式無法在我的測試環境上執行，但不曉得可不可以在各位的系統上順利執行，所以，請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。

**請幫忙通知他們，謝謝**

惡意連結是放置在 empty.htm 檔案中的：

惡意程式的一部份為：

此惡意程式會連至下面三個網站：

前面兩個網域的註冊者：

最後一個網站的註冊者：

惡意程式, 網站安全 | 瀏覽數：775 | 0 迴響 »

台中臺安醫院又被植入惡意連結

台中臺安醫院又被植入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁 (index.html) 中的：

惡意程式的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\719EB.dll (注入某些執行程序如檔案總管、 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh0703.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\gz0701x[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\614[1].htm
C:\WINDOWS\Debug\UserMode\719EB.dll
C:\WINDOWS\Debug\UserMode\719EB.exe

[Added COM/BHO]
{65D89E28-6877-480F-85EE-B67147796C82}-C:\WINDOWS\debug\userMode\719EB.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

719EB.dll:
[ Trend ], "TSPY_LINEAGE.ESU"
719EB.exe:
[ Trend ], "TSPY_LINEAGE.ESU"
gh0703.exe:
[ Trend ], "TSPY_LINEAGE.ESU"
gz0701x[1].exe:
[ Trend ], "TSPY_LINEAGE.ESU"
614[1].htm:
[    HBEDV      ], "JS/Psyme.D"
[    Rising     ], "Trojan.DL.VBS.Agent.cih"
[    Ewido      ], "Downloader.Agent.m"
[    Grisoft    ], "Virus identified Exploit"
gh[1].htm:
[    Alpha_Gen  ], "Heur_Infrm-2″

惡意程式, 網站安全 | 瀏覽數：773 | 0 迴響 »

兒童福利聯盟文教基金會首頁又被植入惡意連結

兒童福利聯盟文教基金會首頁又被植入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在中文首頁中的：

惡意程式的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Help\4CE9831689C2.DLL (注入某些執行程序如檔案總管、 IE 等)

[Added file]
C:\autorun.inf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\selfs[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gmsex[1].exe
C:\Shell.exe
C:\WINDOWS\Help\4CE9831689C2.DLL
C:\WINDOWS\Help\4CE9831689C2.EXE

[Added COM/BHO]
{F75BA725-26A4-4F94-94EC-F6F6758ADA38}-C:\WINDOWS\Help\4CE9831689C2.DLL

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

4CE9831689C2.EXE:
[ Trend ], "TSPY_LINEAGE.ETB"
gmsex[1].exe:
[ Trend ], "TSPY_LINEAGE.ETB"
selfs[1].htm:
[ Trend ], "HTML_DLOADER.ISC"
Shell.exe:
[ Trend ], "TSPY_LINEAGE.ETB"
4CE9831689C2.DLL:
[ Trend ], "TSPY_LINEAGE.ETB"

惡意程式, 網站安全 | 瀏覽數：717 | 0 迴響 »

華視網站又遭駭 (被植入惡意檔案)

更新資訊：已修復 

華視網站又遭駭 (被植入惡意檔案)，應該是系統有安全漏洞，導致被放置惡意檔案，成為跳板 (「nana 娜娜網站被植入惡意連結」就是一個例子)。距離上次他們說他們已經更改網路架構，有像也沒多久，可見問題還是沒有解決，他們的網管可要加油。

**請幫忙通知他們，謝謝**

惡意檔案是放置在：

安全漏洞, 網站遭駭 | 瀏覽數：719 | 0 迴響 »

nana 娜娜網站被植入惡意連結

nana 娜娜網站被植入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\299E575.dll

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\h.bat
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\top[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\tv[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\mian[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\top[1].js
C:\logex.txt
C:\WINDOWS\Debug\UserMode\299E575.dll
C:\WINDOWS\Debug\UserMode\299E575.exe

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

299E575.dll:
[ Trend ], "TSPY_LINEAGE.EGH"
299E575.exe:
[ Nod32 ], "probably a variant of Win32/Agent.QT trojan"
[ HBEDV ], "HEUR/Malware"
h.bat:
[ Nod32 ], "probably a variant of Win32/Agent.QT trojan"
[ HBEDV ], "HEUR/Malware"
mian[1].exe:
[ Nod32 ], "probably a variant of Win32/Agent.QT trojan"
[ HBEDV ], "HEUR/Malware"
top[1].htm:
[ Sophos ], "Mal/Psyme-A"
[ Grisoft ], "Virus identified VBS/Psyme.N"

惡意程式, 網站安全 | 瀏覽數：810 | 0 迴響 »

彩虹國際旅行社網站被植入惡意連結

彩虹國際旅行社網站被植入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(Credit: Jimau)

**請幫忙通知他們，謝謝**

惡意連結是放置在 top.asp 和 major.asp 中的：

惡意程式的一部份為：

執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\yt.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\top[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\update[2].htm
C:\Program Files\Common Files\search.dll
C:\qing.exe
C:\WINDOWS\system32\winCreate.exe

[Added COM/BHO]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

qing.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
search.dll:
[ Trend ], "TSPY_LINEAGE.FCQ"
update[1].exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
winCreate.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"

惡意程式, 網站安全 | 瀏覽數：681 | 0 迴響 »

依蕾特布丁奶酪網站又被植入惡意連結

更新資訊：已修復 

依蕾特布丁奶酪網站又被植入惡意連結，此惡意程式為 Lineage 變種，應該有很多網友喜歡上這個網站訂購東西，請好好檢查一下你的電腦囉。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁及 main-home.asp 中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\719EB.dll

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh0703.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\gz0701x[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\614[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gh[2].htm
C:\WINDOWS\Debug\UserMode\719EB.dll
C:\WINDOWS\Debug\UserMode\719EB.exe

[Added COM/BHO]
{65D89E28-6877-480F-85EE-B67147796C82}-C:\WINDOWS\debug\userMode\719EB.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

719EB.dll:
[ Alpha_Gen ], "Possible_Lineage"
[ Symantec ], "Infostealer.Lineage"
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Nod32 ], "probably a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "TR/Lineage.65DE6104″
[ Grisoft ], "Trojan horse PSW.Generic3.OTD"
719EB.exe:
[ Alpha_Gen ], "Possible_Lineage"
[ Symantec ], "Infostealer.Gampass"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Lineage.78336″
[ Rising ], "Trojan.PSW.Lineage.mug"
[ Ewido ], "Trojan.OnLineGames.fn"
[ Grisoft ], "Trojan horse PSW.Generic3.OTE"
gh0703.exe:
[ Alpha_Gen ], "Possible_Lineage"
[ Symantec ], "Infostealer.Gampass"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Lineage.78336″
[ Rising ], "Trojan.PSW.Lineage.mug"
[ Ewido ], "Trojan.OnLineGames.fn"
[ Grisoft ], "Trojan horse PSW.Generic3.OTE"
gh[2].htm:
[ Alpha_Gen ], "Heur_Infrm-2″
gz0701x[1].exe:
[ Alpha_Gen ], "Possible_Lineage"
[ Symantec ], "Infostealer.Gampass"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Lineage.78336″
[ Rising ], "Trojan.PSW.Lineage.mug"
[ Ewido ], "Trojan.OnLineGames.fn"
[ Grisoft ], "Trojan horse PSW.Generic3.OTE"
614[1].htm:
[ HBEDV ], "JS/Psyme.D"
[ Rising ], "Trojan.DL.VBS.Agent.cih"
[ Ewido ], "Downloader.Agent.m"
[ Grisoft ], "Virus identified Exploit"

惡意程式, 網站安全 | 瀏覽數：601 | 0 迴響 »