2007 四月 | 大砲開講

四月, 2007

對蘋果日報報導之回應

2007 年 04 月 10 日 – 14:06:00

更新日期：2007/4/11 @ 09:45

昨天蘋果日報報導「ESPN 等 27 官網遭駭調局偵辦」，看了內容後，有幾點要在這裡回應。

一、關於報導說「司法院資訊管理處長郭瑞蘭表示，病毒程式被司法院網站防火牆檔下，資料未外洩」，針對這點，我還不知道防火牆有這麼厲害的功能，可以攔截病毒程式，不曉得可不可以介紹給大家呢？另外，司法院資訊管理處也發布一個資訊安全公告 (如下圖)，這點我蠻肯定的，至少他們有公佈自己網站中毒，還有提醒網使用者相關注意事項。

二、關於報導說「ESPN 台灣分公司行銷宣傳經理陳佩芝說：我們以加快了解此事發展，會在最短時間內處理」，針對這點，又是標準官方說法，沒有說明處理程序及何時會公佈結果，雖然昨天 ESPN 已經移除首頁的惡意連結，但昨天晚上又被植入新的惡意連結，而且，我也在第一時間以電子郵件通知他們，到目前為止 (2007/4/10 @ 13:41)，尚未移除，這種處理速度，讓人可以信賴嗎？另外，每次使用 ESPN 網站提供的服務信箱 (service@espnstar.com.tw) 寄信，都被退回來 (如下圖)，不曉得是我看走眼了，還是他們寫錯了，也請各位幫忙試試看 (只有 service@espnstar.com 可以寄成功)。

在台灣，一定要等到有人死了或重要資料被偷，才開始動起來，做做表面工夫，等風頭過了，還不是一樣，這就是企業的社會責任嗎？還是台灣人的悲哀呢？

最後，我當然不希望因為這些事件導致網管人員受到處罰，其實最大的問題，還是出在管理階層，自以為是，以為自己非常了解這方面的東西，就亂決定要購買某些產品，也不仔細評估那些產品。

個人觀點 | 瀏覽數：718 | 0 迴響 »

國立清華大學新聞網網站被植入惡意連結

2007 年 04 月 10 日 – 13:23:00

國立清華大學新聞網網站被植入惡意連結，此惡意程式為灰鴿子變種，最近有瀏覽這些網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外，此網站也遭駭，請參考 zone-h。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部分為：

執行之後，有下面的行為：

[Added hidden process]
C:\Program Files\Internet Explorer\iexplore.exe (鎖住 C:\WINDOWS\RavStub.exe)

[DLL injection]
C:\Documents and Settings\Administrator\Desktop\svchost.exe (注入 svchost.exe 的執行程序)

[Added service]
NAME: QQ
DISPLAY: QQ
FILE: C:\WINDOWS\RavStub.exe

[Added file]
C:\Documents and Settings\Administrator\Desktop\svchost.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\a[1].htm
C:\WINDOWS\RavStub.exe

到目前為止 (2007/4/10 @ 11:17)，下面的防毒軟體可以偵測到這些惡意檔案：

RavStub.exe:
[ Symantec ], "Backdoor.Hupigeon"
[ Microsoft ], "TrojanDropper:Win32/Hupigon.gen!A"
[ Kaspersky ], "PAK:NSPack, PAK:ASPack"
[ McAfee ], "BackDoor-AWQ.b"
[ Sophos ], "Mal/GrayBird"
[ Fortinet ], "suspicious"
[ HBEDV ], "BDS/Hupigon.Gen"
[ Ewido ], "Backdoor.Pigeon.128″
[ Ahnlab ], "infected by Win-Trojan/Hupigon.359759″
svchost.exe:
[ Symantec ], "Backdoor.Hupigeon"
[ Microsoft ], "TrojanDropper:Win32/Hupigon.gen!A"
[ Kaspersky ], "PAK:NSPack, PAK:ASPack"
[ McAfee ], "BackDoor-AWQ.b"
[ Sophos ], "Mal/GrayBird"
[ Fortinet ], "suspicious"
[ HBEDV ], "BDS/Hupigon.Gen"
[ Ewido ], "Backdoor.Pigeon.128″
[ Ahnlab ], "infected by Win-Trojan/Hupigon.359759″
a[1].htm:
[ Sophos ], "Mal/Psyme-A"
[ Fortinet ], "VBS/Psyme.AFF6!exploit"
[ HBEDV ], "HTML/Dldr.Agen.3032″
[ Grisoft ], "Virus identified VBS/Psyme.N"

惡意程式, 網站安全, 網站遭駭 | 瀏覽數：539 | 0 迴響 »

收藏家 (台灣防潮科技) 網站被植入惡意連結

2007 年 04 月 10 日 – 09:18:00

收藏家 (台灣防潮科技) 網站被植入惡意連結，此惡意程式為 Lineage 和灰鴿子變種，最近有瀏覽這些網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊) (Credit: Bigfish)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部分為：

ANI 零時差攻擊的部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\32BB5B6.dll (注入某些執行程序如檔案總管、IE等)

[Added service]
NAME: winsedx.com.cn
DISPLAY: winsedx.com.cn
FILE: C:\WINDOWS\win.cn.exe

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gz002.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\index0707[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GDI3K1MF\gh02[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GDI3K1MF\gh1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GDI3K1MF\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GDI3K1MF\gz[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\kabakao[1].exe
C:\WINDOWS\Debug\UserMode\32BB5B6.dll
C:\WINDOWS\Debug\UserMode\32BB5B6.exe
C:\WINDOWS\win.cn.exe

[ Added COM/BHO ]
{F2319AD4-D519-45AC-86A7-02FE9B851F37}-C:\WINDOWS\debug\userMode\32BB5B6.dll

到目前為止 (2007/4/9 @ 23:00)，下面的防毒軟體可以偵測到這些惡意檔案：

32BB5B6.exe:
[ Trend ], “Possible_Lineage”
gh02[1].exe:
[ Trend ], “Possible_Lineage”
gh[1].htm:
[ Trend ], “VBS_PSYME.AKW”
gz[1].htm:
[ Trend ], “HTML_AGENT.PQV”
32BB5B6.dll:
[ Trend], “Possible_Lineage”
gz002.exe:
[ Kaspersky ], “PAK:PE-Armor, unknown format.”
[ Fortinet ], “suspicious”
[ HBEDV ], “HEUR/Crypted”
index0707[1].exe:
[ Symantec ], “Backdoor.Graybird”
[ Microsoft ], “TrojanDropper:Win32/Hupigon.gen!A”
[ Kaspersky ], “PAK:PE-Armor, unknown format.”
[ McAfee ], “BackDoor-AWQ”
[ Sophos ], “Mal/GrayBird”
[ Alwil ], “Win32:Hupigon-OH [Trj]”
[ Fortinet ], “suspicious”
[ HBEDV ], “BDS/Hupigon.Gen”
kabakao[1].exe:
[ Kaspersky ], “PAK:PE-Armor, unknown format.”
[ Fortinet ], “suspicious”
[ HBEDV ], “HEUR/Crypted”
win.cn.exe:
[ Symantec ], “Backdoor.Graybird”
[ Microsoft ], “TrojanDropper:Win32/Hupigon.gen!A”
[ Kaspersky ], “PAK:PE-Armor, unknown format.”
[ McAfee ], “BackDoor-AWQ”
[ Sophos ], “Mal/GrayBird”
[ Alwil ], “Win32:Hupigon-OH [Trj]”
[ Fortinet ], “suspicious”
[ HBEDV ], “BDS/Hupigon.Gen”

惡意程式, 網站安全 | 瀏覽數：478 | 0 迴響 »

ESPNSTAR 體育台網站又被植入惡意連結

2007 年 04 月 10 日 – 01:39:00

更新資訊：已修復 (2007/4/10 @ 15:12)
**高度危險網站：常常被植入惡意連結，列入網站黑名單，不建議瀏覽此網站**ESPNSTAR 體育台網站又被植入惡意連結 (今天上了蘋果日報後，才移除惡意連結，現在又有問題，我看各位自求多福吧)，最近有瀏覽這些網頁的網友 (受害者應該很多吧)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。另外，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)。希望他們好好檢查系統或軟體有沒有安全漏洞，但廠商真是鴕鳥心態，根本就懶得處理，枉顧消費者權益，建議各位打電話去抗議 (團結力量大囉)。(感謝 Edward 告知)

**請幫忙通知他們，謝謝**

惡意連結是放置在 AVList.asp 中的：

惡意程式碼的一部分為：

執行之後，有下面的行為：

[Added process]
C:\WINDOWS\avp.exe

[DLL injection]
C:\WINDOWS\system32\ldmedia5.dll (注入某個執行程序)

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\flash[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\getflashplayer[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\ani[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\xskj[1].jpg
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\ldmedia5.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\ldmedia5.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\ldmedia5.dll)

到目前為止 (2007/4/10 @ 01:14)，下面的防毒軟體可以偵測到這些惡意檔案：

avp.exe:
[ Trend ], "Possible_Virus"
flash[1].jpg:
[ Trend ], "TROJ_MARAN.GU"
xskj[1].jpg:
[ AhnLab-V3 ], “Win-Trojan/Exploit-ANI.B”
[ AntiVir ], “EXP/MS05-002.Ani.A”
[ BitDefender ], “Exploit.Win32.MS05-002.Gen”
[ CAT-QuickHeal ], “Exploit.MS05-002〃
[ ClamAV ], “Exploit.W32.MS05-002〃
[ eTrust-Vet ], “Win32/MSA-935423!exploit”
[ Ewido ], “Not-A-Virus.Exploit.Win32.IMGANI.h”
[ F-Secure ], “Exploit.Win32.IMG-ANI.h”
[ Kaspersky ], “Exploit.Win32.IMG-ANI.h”
[ McAfee ], “Exploit-ANIfile.c”
[ Microsoft ], “TrojanDownloader:Win32/Anicmoo.gen!D”
[ NOD32v2 ], “a variant of Win32/TrojanDownloader.Ani.Gen”
[ Norman ], “RIFF/Ani_exploit.gen”
[ Sophos ], “Troj/Animoo-U”
[ Symantec ], “Trojan.Anicmoo”
[ Trend ], “EXPL_ANICMOO.GEN”
[ VirusBuster ], “Exploit.ANIFile.G”
[ Webwasher-Gateway ], “Exploit.MS05-002.Ani.A”
ldmedia5.dll:
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Drop.Maran.C.3″

廣告軟體, 網站安全 | 瀏覽數：1,148 | 0 迴響 »

公職王網站又被植入惡意連結

2007 年 04 月 09 日 – 23:21:00

公職王網站又被植入惡意連結，最近有瀏覽這些網頁的網友 (線上人數顯示有 614 人在瀏覽此網站)，應該要盡速檢查自己的電腦，請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。另外，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)。

**請幫忙通知他們，謝謝**

惡意連結是放置在 HotNews_List.asp (剛好在熱門考訓「公路局監理站熱烈招考行政人員」) 中的：

惡意程式碼的一部分為 (使用 malformed ascii bypassing 的技術，看起來像是毫無意義，實際上，它是可以被執行的)：

當執行此惡意程式時，會產生一個應用程式錯誤訊息：

執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\qing.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\7888p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\test[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\9197p[1].jpg

到目前為止 (2007/4/9 @ 23:00)，下面的防毒軟體可以偵測到這些惡意檔案：

qing.exe:
[ Trend ], “TROJ_NSANTI.CV”
[ Alpha_Gen ], “NSPM_Protected”
[ Beta_Gen ], “Possible_MLWR-1〃
[ Microsoft ], “Virus:Win32/Detnat.F”
[ McAfee ], “New Malware.bc !!”
[ Sophos ], “Mal/Packer”
[ Fortinet ], “suspicious”
[ HBEDV ], “TR/Crypt.NSAnti.Gen”
[ Norman ], “Trojan Suspicious_N.gen”
[ Ahnlab ], “infected by Win32/NSAnti.suspicious”
update[1].exe:
[ Trend ], “TROJ_NSANTI.CV”
[ Alpha_Gen ], “NSPM_Protected”
[ Beta_Gen ], “Possible_MLWR-1〃
[ Microsoft ], “Virus:Win32/Detnat.F”
[ McAfee ], “New Malware.bc !!”
[ Sophos ], “Mal/Packer”
[ Fortinet ], “suspicious”
[ HBEDV ], “TR/Crypt.NSAnti.Gen”
[ Norman ], “Trojan Suspicious_N.gen”
[ Ahnlab ], “infected by Win32/NSAnti.suspicious”
update[1].htm:
[ Kaspersky ], “Trojan-Downloader.HTML.Agent.ch”

惡意程式, 網站安全 | 瀏覽數：709 | 0 迴響 »

台灣小冠鸚鵡俱樂部網站被植入惡意連結

2007 年 04 月 09 日 – 20:50:00

台灣小冠鸚鵡俱樂部網站被植入惡意連結，此惡意程式為 Lineage 和灰鴿子變種，最近有瀏覽這些網頁的網友 (受害者應該很多吧)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部分為：

ANI 零時差攻擊的部份：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\32BB5B6.dll (注入某些執行程序如檔案總管、IE等)

[Added service]
NAME: winsedx.com.cn
DISPLAY: winsedx.com.cn
FILE: C:\WINDOWS\win.cn.exe

[ Added COM/BHO ]
{F2319AD4-D519-45AC-86A7-02FE9B851F37}-C:\WINDOWS\debug\userMode\32BB5B6.dll

到目前為止 (2007/4/9 @ 17:38)，下面的防毒軟體可以偵測到這些惡意檔案：

32BB5B6.exe:
[ Trend ], "Possible_Lineage"
gh02[1].exe:
[ Trend ], "Possible_Lineage"
gh[1].htm:
[ Trend ], "VBS_PSYME.AKW"
gz[1].htm:
[ Trend ], "HTML_AGENT.PQV"
32BB5B6.dll:
[ Trend], "Possible_Lineage"
gz002.exe:
[ Kaspersky ], "PAK:PE-Armor, unknown format."
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Crypted"
index0707[1].exe:
[ Symantec ], "Backdoor.Graybird"
[ Microsoft ], "TrojanDropper:Win32/Hupigon.gen!A"
[ Kaspersky ], "PAK:PE-Armor, unknown format."
[ McAfee ], "BackDoor-AWQ"
[ Sophos ], "Mal/GrayBird"
[ Alwil ], "Win32:Hupigon-OH [Trj]"
[ Fortinet ], "suspicious"
[ HBEDV ], "BDS/Hupigon.Gen"
kabakao[1].exe:
[ Kaspersky ], "PAK:PE-Armor, unknown format."
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Crypted"
win.cn.exe:
[ Symantec ], "Backdoor.Graybird"
[ Microsoft ], "TrojanDropper:Win32/Hupigon.gen!A"
[ Kaspersky ], "PAK:PE-Armor, unknown format."
[ McAfee ], "BackDoor-AWQ"
[ Sophos ], "Mal/GrayBird"
[ Alwil ], "Win32:Hupigon-OH [Trj]"
[ Fortinet ], "suspicious"
[ HBEDV ], "BDS/Hupigon.Gen"

惡意程式, 網站安全 | 瀏覽數：1,654 | 0 迴響 »

HitoCard 喜多喜卡網又被植入惡意連結

2007 年 04 月 09 日 – 14:46:00

**高度危險網站：常常被植入惡意連結，列入網站黑名單，不建議瀏覽此網站**

HitoCard 喜多喜卡網又被植入惡意連結，此惡意程式為 Lineage 和灰鴿子變種，此網站為購買喜帖網站，應該有很多新人會瀏覽此網站，最近有瀏覽這個網站的網友，應該要盡速檢查自己的電腦，請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

ANI 零時差攻擊部分：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\32BB5B6.dll (注入某些執行程序如檔案總管、IE 等)

[Added service]
NAME: winsedx.com.cn
DISPLAY: winsedx.com.cn
FILE: C:\WINDOWS\win.cn.exe

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gz002.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gh02[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\index0707[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\mian1[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gh1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\kabakao[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gz[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\help[1].htm
C:\WINDOWS\Debug\UserMode\32BB5B6.dll
C:\WINDOWS\Debug\UserMode\32BB5B6.exe

[ Added COM/BHO ]
{F2319AD4-D519-45AC-86A7-02FE9B851F37}-C:\WINDOWS\debug\userMode\32BB5B6.dll

到目前為止 (2007/4/7 @ 17:10)，下面的防毒軟體可以偵測到這些惡意檔案：

32BB5B6.exe:
[ Trend ], "Possible_Lineage"
gh02[1].exe:
[ Trend ], "Possible_Lineage"
gh[1].htm:
[ Trend ], "VBS_PSYME.AKW"
gz[1].htm:
[ Trend ], "HTML_AGENT.PQV"
32BB5B6.dll:
[ Trend ], "Possible_Lineage"
gz002.exe:
[    Kaspersky ], "PAK:PE-Armor, unknown format."
[    Fortinet   ], "suspicious"
[    HBEDV      ], "HEUR/Crypted"
index0707[1].exe:
[    Symantec   ], "Backdoor.Graybird"
[    Microsoft ], "TrojanDropper:Win32/Hupigon.gen!A"
[    Kaspersky ], "PAK:PE-Armor, unknown format."
[    McAfee     ], "BackDoor-AWQ"
[    Sophos     ], "Mal/GrayBird"
[    Alwil      ], "Win32:Hupigon-OH [Trj]"
[    Fortinet   ], "suspicious"
[    HBEDV      ], "BDS/Hupigon.Gen"
kabakao[1].exe:
[    Kaspersky ], "PAK:PE-Armor, unknown format."
[    Fortinet   ], "suspicious"
[    HBEDV      ], "HEUR/Crypted"
win.cn.exe:
[    Symantec   ], "Backdoor.Graybird"
[    Microsoft ], "TrojanDropper:Win32/Hupigon.gen!A"
[    Kaspersky ], "PAK:PE-Armor, unknown format."
[    McAfee     ], "BackDoor-AWQ"
[    Sophos     ], "Mal/GrayBird"
[    Alwil      ], "Win32:Hupigon-OH [Trj]"
[    Fortinet   ], "suspicious"
[    HBEDV      ], "BDS/Hupigon.Gen"

惡意程式, 網站安全 | 瀏覽數：566 | 0 迴響 »

iThome 網站被植入惡意連結

2007 年 04 月 09 日 – 11:39:00

更新資訊：已修復 (2007/4/9 @ 11:10)

iThome 網站被植入惡意連結，最近有瀏覽這些網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。另外，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)。(感謝網友瘋了告知)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部分為 (使用 malformed ascii bypassing 的技術，看起來像是毫無意義，實際上，它是可以被執行的)：

當執行此惡意程式時，會產生一個應用程式錯誤訊息：

執行之後，有下面的行為：

到目前為止 (2007/4/9 @ 11:06)，下面的防毒軟體可以偵測到這些惡意檔案：

qing.exe:
[ Trend ], "TROJ_NSANTI.CV"
[ Alpha_Gen ], “NSPM_Protected”
[ Beta_Gen ], “Possible_MLWR-1〃
[ Microsoft ], “Virus:Win32/Detnat.F”
[ McAfee ], “New Malware.bc !!”
[ Sophos ], “Mal/Packer”
[ Fortinet ], “suspicious”
[ HBEDV ], “TR/Crypt.NSAnti.Gen”
[ Norman ], “Trojan Suspicious_N.gen”
[ Ahnlab ], “infected by Win32/NSAnti.suspicious”
update[1].exe:
[ Trend ], "TROJ_NSANTI.CV"
[ Alpha_Gen ], “NSPM_Protected”
[ Beta_Gen ], “Possible_MLWR-1〃
[ Microsoft ], “Virus:Win32/Detnat.F”
[ McAfee ], “New Malware.bc !!”
[ Sophos ], “Mal/Packer”
[ Fortinet ], “suspicious”
[ HBEDV ], “TR/Crypt.NSAnti.Gen”
[ Norman ], “Trojan Suspicious_N.gen”
[ Ahnlab ], “infected by Win32/NSAnti.suspicious”
update[1].htm:
[ Kaspersky ], "Trojan-Downloader.HTML.Agent.ch"

惡意程式, 網站安全 | 瀏覽數：501 | 0 迴響 »

ASUS 華碩網站 (台灣、日本) 被植入惡意連結

2007 年 04 月 08 日 – 01:52:00

更新資訊：已修復 (2007/4/8 @ 01:30)

ASUS 華碩網站 (只發現台灣和日本網站有問題，沒有發現其他語系有問題，也許他們已經修復了) 被植入惡意連結 (與年代售票網站被植入奇怪連結是一樣的)，此惡意程式是 OnLineGames，最近有瀏覽這些網頁的網友 (在台灣，好像無法連上此惡意連結，我是透過大陸的朋友，取得此樣本)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外，根據 SANS 的報導，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)，但我沒有發現這樣的行為，也許是他們已經移除了。(感謝 Jimau 和 MengChi)

**請幫忙通知他們，謝謝**

惡意連結是放置在 JScript.js 檔案中的：

惡意程式碼的一部分為：

解碼之後，包含一個 PE 檔案 next3.png (hxxp://www.ok8vs.com/app/???/next3.png)，但執行此檔案，會產生一個應用程式錯誤的訊息：

到目前為止 (2007/4/8 @ 00:30)，下面的防毒軟體可以偵測到這些惡意檔案：

next3.png:
[ AntiVir ], "TR/Drop.Ag.344576.B"
[ Authentium ], "Possibly a new variant of W32/PWStealer.gen1″
[ Avast ], "Win32:Tibs-ADO"
[ CAT-QuickHeal ], "(Suspicious) – DNAScan"
[ eSafe ], "suspicious Trojan/Worm"
[ eTrust-Vet ], "Win32/NSAnti"
[ F-Prot ], "W32/PWStealer.gen1″
[ Fortinet ], "suspicious"
[ Ikarus ], "MalwareScope.Worm.Viking.3″
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.kw"
[ McAfee ], "New Malware.bc"
[ Panda ], "Suspicious file"
[ Sophos ], "Mal/EncPk-F"
[ VBA32 ], "Trojan-PSW.Win32.Nilage.ara"
[ Webwasher-Gateway ], "Trojan.Drop.Ag.344576.B"

惡意程式, 網站安全 | 瀏覽數：537 | 0 迴響 »

台灣汽車網網站被植入惡意連結

2007 年 04 月 07 日 – 22:33:00

台灣汽車網網站被植入惡意連結，此惡意程式為 QQPass 變種，最近有瀏覽這些網頁的網友 (受害者應該很多吧)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部分為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Help\DB4CAFBC4C43.DlL (注入某些執行程序如檔案總管、IE等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\gmsex[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\h[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\tt[1].htm
C:\WINDOWS\Help\DB4CAFBC4C43.DlL
C:\WINDOWS\Help\DB4CAFBC4C43.eXE

[Added COM/BHO]
{48E8571D-5F79-4BB5-847E-995F9523029B}-C:\WINDOWS\Help\DB4CAFBC4C43.DlL

到目前為止 (2007/4/7 @ 20:46)，下面的防毒軟體可以偵測到這些惡意檔案：

DB4CAFBC4C43.eXE:
[    Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[    HBEDV      ], "HEUR/Malware"
gmsex[1].exe:
[    Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[    HBEDV      ], "HEUR/Malware"
DB4CAFBC4C43.DlL:
[    Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[    Sophos     ], "Mal/QQPass-B"
[    HBEDV      ], "HEUR/Malware"
ani.html:
[    HBEDV      ], "HEUR/Exploit.HTML"
[    Ewido      ], "Hijacker.Linker.e"

惡意程式, 網站安全 | 瀏覽數：561 | 0 迴響 »

ESPNSTAR 體育台網站、東風電視台、手機王網站、台灣電子地圖服務網網站又被植入惡意連結

2007 年 04 月 07 日 – 21:35:00

**高度危險網站：常常被植入惡意連結，列入網站黑名單，不建議瀏覽此網站**

ESPNSTAR 體育台網站、東風電視台、手機王網站 (已修復)、台灣電子地圖服務網網站又被植入惡意連結，已經通知他們，但到現在都尚未移除 (2007/4/7 @21:20)，最近有瀏覽這些網頁的網友 (受害者應該很多吧)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。另外，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)。之前已經聯絡他們很多次，希望他們好好檢查系統或軟體有沒有安全漏洞，但廠商真是鴕鳥心態，根本就懶得處理，枉顧消費者權益，建議各位打電話去抗議 (團結力量大囉)。

**請幫忙通知他們，謝謝**

ESPNSTAR 體育台網站：

東風電視台：

手機王網站：

台灣電子地圖服務網網站：

惡意連結是放置在首頁中的：

惡意程式碼的一部分為 (使用 malformed ascii bypassing 的技術，看起來像是毫無意義，實際上，它是可以被執行的)：

當執行此惡意程式時，會產生一個應用程式錯誤訊息：

執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\qing.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\test[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\7888p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\9197p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\update[1].htm

到目前為止 (2007/4/7 @ 15:55)，下面的防毒軟體可以偵測到這些惡意檔案：

qing.exe:
[ Alpha_Gen ], "NSPM_Protected"
[ Beta_Gen ], "Possible_MLWR-1″
[ Microsoft ], "Virus:Win32/Detnat.F"
[ McAfee ], "New Malware.bc !!"
[ Sophos ], "Mal/Packer"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSAnti.Gen"
[ Norman ], "Trojan Suspicious_N.gen"
[ Ahnlab ], "infected by Win32/NSAnti.suspicious"
update[1].exe:
[ Alpha_Gen ], "NSPM_Protected"
[ Beta_Gen ], "Possible_MLWR-1″
[ Microsoft ], "Virus:Win32/Detnat.F"
[ McAfee ], "New Malware.bc !!"
[ Sophos ], "Mal/Packer"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSAnti.Gen"
[ Norman ], "Trojan Suspicious_N.gen"
[ Ahnlab ], "infected by Win32/NSAnti.suspicious"

惡意程式, 網站安全 | 瀏覽數：622 | 0 迴響 »

年代售票網站被植入奇怪連結

2007 年 04 月 07 日 – 21:08:00

更新資訊：已修復 (2007/4/10 @ 10:08)
更新資訊：此連結為惡意連結，請參考「ASUS 華碩網站 (台灣、日本) 被植入惡意連結」

年代售票網站被植入奇怪連結，可能被當成是增加其他網站的點閱率，以達到某些目的。其實，之前就已經發生過幾次，只是沒有真正分析到實際情形，所以，無法公佈。在此要注意的是這個網站是有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出問題的關鍵，而不是只是移除連結，另外，也可能要查查是否使用者資訊外洩的情形。

**請幫忙通知他們，謝謝**

奇怪連結是放置在 swfobject.js 檔案中的：

安全漏洞, 惡意程式, 網站安全 | 瀏覽數：636 | 0 迴響 »

Yahoo 網頁檔案被卡巴斯基誤判為 Trojan.JS.Agent.b

2007 年 04 月 07 日 – 20:07:00

昨天晚上二點被蚊子吵得睡不著，閒著無事，就看看有沒有新的新聞，結果發現 PC-Zone 上有人說 Yahoo 網站有病毒，查了一下有病毒的檔案 (hxxp://tw.yimg.com/i/tw/mc/mc2.js, MD5 為 5d2c957bb56b76e53d4505a8845a0c51)，結果是誤判，只有卡巴斯基防毒軟體偵測此檔案為 Trojan.JS.Agent.b，其他的防毒軟體都沒反應。今天有幾位網友和朋友也問我相同的問題，我都說是誤判，而且，沒這麼嚴重啦。各位現在 (2007/4/7 @ 20:00) 可以更新病毒碼，應該已經修復了。

誤判案例, 資安事件/新聞 | 瀏覽數：1,259 | 0 迴響 »

ESPNSTAR 體育台網站又被植入惡意連結

2007 年 04 月 04 日 – 22:38:00

ESPNSTAR 體育台網站又被植入惡意連結，此惡意程式為 QQPass 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。另外，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊) (此惡意程式應該會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在 default.js 檔案中的：

惡意程式碼的一部分為：

執行之後，有下面的行為：

[Added process]
C:\WINDOWS\avp.exe

[DLL injection]
C:\WINDOWS\system32\ldmedia5.dll (注入 IE 的執行程序)

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\dhtmllib[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\flash[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\getflashplayer[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\default[1].js
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\ldmedia5.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\ldmedia5.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\ldmedia5.dll)

到目前為止 (2007/4/4 @ 22:30)，下面的防毒軟體可以偵測到這些惡意檔案：

avp.exe:
[ AntiVir ], "HEUR/Malware"
[ Avast ], "Win32:Lineage-406″
[ Ewido ], "Trojan.Maran.cs"
[ Fortinet ], "W32/Maran.DQ!tr.pws"
[ F-Secure ], "Trojan-PSW.Win32.Maran.dq"
[ Ikarus ], "Trojan-PWS.Win32.Maran.ah"
[ Kaspersky ], "Trojan-PSW.Win32.Maran.dq"
[ Panda ], "Suspicious file"
[ Trend ], "Possible_Virus"
[ Webwasher-Gateway], "Heuristic.Malware"
flash[1].exe:
[ AntiVir ], "TR/PSW.Maran.AU"
[ Avast ], "Win32:Maran"
[ AVG ], "PSW.Generic3.UGU"
[ BitDefender ], "Generic.Malware.FB.31BA62EC"
[ CAT-QuickHeal ], "(Suspicious) – DNAScan"
[ eSafe ], "suspicious Trojan/Worm"
[ Ewido ], "Trojan.Maran.cs"
xskj.jpg:
[ AhnLab-V3 ], “Win-Trojan/Exploit-ANI.B”
[ AntiVir ], “EXP/MS05-002.Ani.A”
[ BitDefender ], “Exploit.Win32.MS05-002.Gen”
[ CAT-QuickHeal ], “Exploit.MS05-002〃
[ ClamAV ], “Exploit.W32.MS05-002〃
[ eTrust-Vet ], “Win32/MSA-935423!exploit”
[ Ewido ], “Not-A-Virus.Exploit.Win32.IMGANI.h”
[ F-Secure ], “Exploit.Win32.IMG-ANI.h”
[ Kaspersky ], “Exploit.Win32.IMG-ANI.h”
[ McAfee ], “Exploit-ANIfile.c”
[ Microsoft ], “TrojanDownloader:Win32/Anicmoo.gen!D”
[ NOD32v2 ], “a variant of Win32/TrojanDownloader.Ani.Gen”
[ Norman ], “RIFF/Ani_exploit.gen”
[ Sophos ], “Troj/Animoo-U”
[ Symantec ], “Trojan.Anicmoo”
[ Trend ], "EXPL_ANICMOO.GEN"
[ VirusBuster ], “Exploit.ANIFile.G”
[ Webwasher-Gateway ], “Exploit.MS05-002.Ani.A”
ldmedia5.dll:
[ AntiVir ], "TR/Drop.Maran.C.3″
[ AVG ], "PSW.Generic3.UGT"
[ Ewido ], "Trojan.Maran.cs"
[ BitDefender ], "Trojan.PWS.Maran.AY"
[ Fortinet ], "W32/Maran.DQ!tr.pws"
[ Kaspersky ], "Trojan-PSW.Win32.Maran.dq"
[ Alwil ], "Win32:Maran-D [Trj]"
[ Nod32 ], "a variant of Win32/PSW.Maran trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Drop.Maran.C.3″
[ Rising ], "Trojan.PSW.Gamania.xg"
[ Ewido ], "Trojan.Maran.cs"
[ Grisoft ], "Trojan horse PSW.Generic3.UGT"
[ F-Secure ], "Trojan-PSW.Win32.Maran.dq"
[ Panda ], "Suspicious file"
[ Webwasher-Gateway ], "Trojan.Drop.Maran.C.3″

惡意程式, 網站安全 | 瀏覽數：480 | 0 迴響 »

手機王網站又被植入惡意連結

2007 年 04 月 04 日 – 22:37:00

**高度危險網站：常常被植入惡意連結，列入網站黑名單，不建議瀏覽此網站**

更新資訊：已修復

手機王網站又被植入惡意連結 (未免中太多次，麻煩請檢查有沒有安全漏洞，不要只顧賺錢，而不顧消費者的權益)，此惡意程式為 Maran 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦，請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。另外，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊) (此惡意程式應該會偷帳號與密碼)。(Credit: Jimau)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

然後，執行下面的 Java Script：

當執行惡意程式時，會產生一個應用程式錯誤的訊息：

執行之後，有下面的行為：

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

到目前為止 (2007/4/4 @ 21:30)，下面的防毒軟體可以偵測到這些惡意檔案：

avp.exe:
[ Trend ], “TSPY_MARAN.FD”
od2media.dll:
[ Trend ], “TSPY_MARAN.FD”
update.exe:
[ Trend ], “TSPY_MARAN.FD”
IE1.jpg:
[ AhnLab-V3 ], “Win-Trojan/Exploit-ANI.B”
[ AntiVir ], “EXP/MS05-002.Ani.A”
[ BitDefender ], “Exploit.Win32.MS05-002.Gen”
[ CAT-QuickHeal ], “Exploit.MS05-002〃
[ ClamAV ], “Exploit.W32.MS05-002〃
[ eTrust-Vet ], “Win32/MSA-935423!exploit”
[ Ewido ], “Not-A-Virus.Exploit.Win32.IMGANI.h”
[ F-Secure ], “Exploit.Win32.IMG-ANI.h”
[ Kaspersky ], “Exploit.Win32.IMG-ANI.h”
[ McAfee ], “Exploit-ANIfile.c”
[ Microsoft ], “TrojanDownloader:Win32/Anicmoo.gen!D”
[ NOD32v2 ], “a variant of Win32/TrojanDownloader.Ani.Gen”
[ Norman ], “RIFF/Ani_exploit.gen”
[ Sophos ], “Troj/Animoo-U”
[ Symantec ], “Trojan.Anicmoo”
[ Trend ], “TROJ_ANICMOO.AX”
[ VirusBuster ], “Exploit.ANIFile.G”
[ Webwasher-Gateway ], “Exploit.MS05-002.Ani.A”

惡意程式, 網站安全 | 瀏覽數：430 | 0 迴響 »

大砲開講

四月, 2007

對蘋果日報報導之回應

國立清華大學新聞網網站被植入惡意連結

收藏家 (台灣防潮科技) 網站被植入惡意連結

ESPNSTAR 體育台網站又被植入惡意連結

公職王網站又被植入惡意連結

台灣小冠鸚鵡俱樂部網站被植入惡意連結

HitoCard 喜多喜卡網又被植入惡意連結

iThome 網站被植入惡意連結

ASUS 華碩網站 (台灣、日本) 被植入惡意連結

台灣汽車網網站被植入惡意連結

ESPNSTAR 體育台網站、東風電視台、手機王網站、台灣電子地圖服務網網站又被植入惡意連結

年代售票網站被植入奇怪連結

Yahoo 網頁檔案被卡巴斯基誤判為 Trojan.JS.Agent.b

ESPNSTAR 體育台網站又被植入惡意連結

手機王網站又被植入惡意連結

訂閱網誌

Recent Comments

Recent Post

Archives

Categories