六月, 2007

TVBS 網站被植入惡意連結

2007 年 06 月 13 日 – 17:09:00

TVBS 網站被植入惡意連結,此惡意程式為 ONLINEG 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在虛擬機器上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(感謝網友通知,另外,Birdman 他們也有發現這個問題)

惡意連結是放置在 AD.aspx (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\test[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\AD[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\update[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

到目前為止 (2007/6/2 @ 11:01),下面的防毒軟體可以偵測到這些惡意檔案:

avp.exe:
[ Trend ], 『TSPY_ONLINEG.ASH』
od2media.dll:
[ Trend ], 『』TSPY_ONLINEG.BHX』
update[1].exe:
[ Trend ], 『TROJ_NSANTI.CE』
update[1].htm:
[ Trend ], 『HTML_AGENT.AACU』
AD[1].htm:
[ Microsoft ], 『[->(IframeRefI)]:Exploit:HTML/IframeRef.gen』

惡意程式, 網站安全 | 瀏覽數:489 | 3 迴響 »

社團法人中華民國管理科學學會網站又被植入惡意連結

2007 年 06 月 12 日 – 07:58:00

社團法人中華民國管理科學學會網站又被植入惡意連結,此惡意程式為 ONLINEG 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息。另外,此惡意程式是利用微軟所公佈ANI 的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝

惡意連結是放置在 Members.php (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\css[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\vip[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\vip[1].js
C:\WINDOWS\rising810.exe
C:\WINDOWS\Web\printers\images\fdhrthert.dll
C:\WINDOWS\Web\printers\images\fdhrthert.exe

[ Added COM/BHO ]
{08CB21EA-9E92-43B9-B3A0-679C1EC04C85}-C:\WINDOWS\Web\printers\images\fdhrthert.dll

到目前為止 (2007/6/11 @ 09:43),下面的防毒軟體可以偵測到這些惡意檔案 (除了 ANI 的檔案外):

fdhrthert.exe:
[ Trend ], 『TSPY_ONLINEG.CVT』
rising810.exe:
[ Trend ], 『TSPY_ONLINEG.CVT』
css[1].exe:
[ Trend ], 『TSPY_ONLINEG.CVT』
fdhrthert.dll:
[ Trend ], 『Possible_Infostl』
vip[1].htm:
[ Kaspersky ], 『Trojan-Downloader.JS.Agent.gj』
[ Rising ], 『Trojan.DL.JS.Agent.lex』
[ Ewido ], 『Downloader.Agent.fm』

惡意程式, 網站安全 | 瀏覽數:515 | 2 迴響 »

PCuSER 電腦人網站被值入惡意連結

2007 年 06 月 11 日 – 15:24:00

PCuSER 電腦人網站被值入惡意連結,此惡意程式為 FRETHOG 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在虛擬機器上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\d[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\qsvj[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\click[1].htm
C:\WINDOWS\~tmp1144.exe

到目前為止 (2007/6/11 @ 09:45),下面的防毒軟體可以偵測到這些惡意檔案:

~tmp1144.exe:
[ Trend ], 『TSPY_FRETHOG.GK』
d[1].exe:
[ Trend ], 『TSPY_FRETHOG.GK』
qsvj[1].htm:
[ McAfee ], 『ObfuscatedHtml』
[ Norman ], 『Trojan AsciiExploit.gen』
qsvj.htm:
[ McAfee ], 『VBS/Psyme』
[ Sophos ], 『Mal/Psyme-A』
[ HBEDV ], 『HEUR/Exploit.HTML』

惡意程式, 網站安全 | 瀏覽數:507 | 2 迴響 »

台灣網站出現 Yahoo! Messenger 安全漏洞攻擊程式

2007 年 06 月 11 日 – 08:50:00

幾天前 Yahoo! Messenger 被發現兩個 ActiveX 控制器緩衝區滿溢安全漏洞驗證程式碼 (PoC),但已經發現有真的惡意程式碼出現在某些台灣網站,請各位儘速更新 Yahoo! Messenger 版本至 8.1.0.401。(感謝網友通知)

當檢視被值入此惡意連結網站時,該網站已經移除,所以,我無法在這裡告訴各位是哪個網站被值入此連結,只能在這裡顯示攻擊程式碼,如下所示:

另外,我也將此攻擊程式碼提交給 US SANS,有興趣的人,可以參考這裡

安全漏洞, 惡意程式, 網站安全 | 瀏覽數:535 | 2 迴響 »

台灣電子地圖服務網網站又被植入惡意連結

2007 年 06 月 11 日 – 08:43:00

**高度危險網站:常常被植入惡意連結,列入網站黑名單,不建議瀏覽此網站**
台灣電子地圖服務網網站又被植入惡意連結,大部分的防毒軟體認不出此惡意程式,最近有瀏覽這個網頁的網友 (請各位使用其他的電子地圖,如果各位還是使用此電子地圖,那就是自尋死路),應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝

惡意連結是放置在 index.asp (可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\Tradue.com
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\play[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\top[1].js

到目前為止 (2007/6/9 @ 22:22),下面的防毒軟體可以偵測到這些惡意檔案:

Tradue.com:
[ Alpha_Gen ], 『Possible_ULPM』
[ Microsoft ], 『PWS:Win32/Frethog.C』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.NSPM.Gen』

惡意程式, 網站安全 | 瀏覽數:446 | 0 迴響 »

Yahoo! Messenger 被發現兩個 ActiveX 控制器緩衝區滿溢安全漏洞

2007 年 06 月 09 日 – 23:05:00

Yahoo! Messenger 被發現兩個 ActiveX 控制器緩衝區滿溢安全漏洞,攻擊者可以利用此漏洞控制受影響之系統。請盡速更新修補程式

此兩個安全漏洞內容為:

  1. Webcam Upload ActiveX 控制項 (ywcupl.dll) 會產生緩衝區滿溢錯誤,遠端攻擊者可製作特製網頁引誘使用者造訪此網頁,然後,執行任意程式碼。
  2. Webcam Viewer ActiveX 控制項 (ywcvwr.dll) 會產生緩衝區滿溢錯誤,遠端攻擊者可製作特製網頁引誘使用者造訪此網頁,然後,執行任意程式碼。

受影響系統:

  • Yahoo! Messenger 8.1.0.249 以及之前的版本

解決方案 (可選擇其中一種方式):

  • 在 CLSID {DCE2F8B1-A520-11D4-8FD0-00D0B7730277} 及 {9D39223E-AE8E-11D4-8FD3-00D0B7730277} 設定刪除位元。至於如何設定刪除位元,請參考 KB240797
  • 由 Yahoo 所提供的修補程式 (版本為 8.1.0.401)。

至於詳細的資訊,請參考下面的連結:

Yahoo! Messenger Two ActiveX Controls Buffer Overflows
Yahoo! Messenger Webcam Upload and Viewer ActiveX Controls Buffer Overflow
2 Yahoo! Messenger vulnerabilities (with PoCs)

安全更新, 安全漏洞 | 瀏覽數:1,061 | 1 迴響 »

政大國際關係研究中心網站被植入惡意連結

2007 年 06 月 09 日 – 22:46:00

政大國際關係研究中心網站被植入惡意連結,此惡意程式為 DELF 和 灰鴿子變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外,此惡意程式是利用微軟所公佈 ANI 的安全漏洞 (Vulnerability in Windows Animated Cursor Handling)對此有興趣的網友,可以在虛擬機器上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(感謝網友通知)

惡意連結是放置在 h_about.htm (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\G_Server2007.exe

[DLL injection]
C:\Program Files\Common Files\Microsoft Shared\MSInfo\4980A6B4.dll
C:\WINDOWS\G_Server2007.DLL

[Added service]
NAME: ServerGrayPigeon2007
DISPLAY: GrayPigeon2007
FILE: C:\WINDOWS\G_Server2007.exe

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\dl1.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\tcsafe[1].htm
C:\Program Files\Common Files\Microsoft Shared\MSInfo\4980A6B4.dat
C:\Program Files\Common Files\Microsoft Shared\MSInfo\4980A6B4.dll
C:\wget\down.exe-1
C:\wget\w2k.jpg-1
C:\wget\wxp.jpg-1
C:\WINDOWS\4980A6B4.hlp
C:\WINDOWS\G_Server2007.DLL
C:\WINDOWS\G_Server2007.exe
C:\WINDOWS\Help\4980A6B4.chm

[Added COM/BHO]
{0A6B4980-4980-A6B4-80A6-9806B980A6B4}-C:\Program Files\Common Files\Microsoft Shared\MSINFO\4980A6B4.dll

到目前為止 (2007/6/8 @ 12:49),下面的防毒軟體可以偵測到這些惡意檔案:

4980A6B4.dat:
[ Trend ], 『WORM_DELF.HUH』
4980A6B4.dll:
[ Trend ], 『Possible_Infostl』
dl1.exe:
[ Trend ], 『BKDR_HUPIGON.ETY』
down.exe:
[ Trend ], 『WORM_DELF.HUH』
4980A6B4.chm:
[ Trend ], 『WORM_DELF.HUH』

惡意程式, 網站安全 | 瀏覽數:469 | 0 迴響 »

階梯數位學院網站又被植入惡意連結

2007 年 06 月 08 日 – 12:16:00

**高度危險網站:常常被植入惡意連結,列入網站黑名單,不建議瀏覽此網站**
階梯數位學院網站又被植入惡意連結,此惡意程式為 Lineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在虛擬機器上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[DLL injection]
C:\WINDOWS\Help\FB9940FB8100.dll

[Added file]
C:\autorun.inf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gmsex[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\h[1].htm
C:\Shell.exe
C:\WINDOWS\Help\autorun.inf
C:\WINDOWS\Help\FB9940FB8100.dll
C:\WINDOWS\Help\FB9940FB8100.exe

[Added COM/BHO]
{08663708-FF07-49FA-A0E1-2760908BC7E7}-C:\WINDOWS\Help\FB9940FB8100.dll

到目前為止 (2007/6/8 @ 11:44),下面的防毒軟體可以偵測到這些惡意檔案:

h[1].htm:
[ Trend ], 『VBS_PSYME.ALS』
FB9940FB8100.dll:
[ Microsoft ], 『PWS:Win32/Gamania.gen!B』
[ Kaspersky ], 『PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, PAK:PE_Patch.MaskPE』
[ Panda ], 『Suspicious file』
[ Nod32 ], 『a variant of Win32/PSW.Lineage.DN trojan』
[ HBEDV ], 『HEUR/Malware』
FB9940FB8100.exe:
[ Kaspersky ], 『PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, PAK:PE_Patch.MaskPE』
[ HBEDV ], 『HEUR/Malware』
gmsex[1].exe:
[ Kaspersky ], 『PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, PAK:PE_Patch.MaskPE』
[ HBEDV ], 『HEUR/Malware』
Shell.exe:
[ Kaspersky ], 『PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, PAK:PE_Patch.MaskPE』
[ HBEDV ], 『HEUR/Malware』

惡意程式, 網站安全 | 瀏覽數:447 | 3 迴響 »

JETTV 網站被植入惡意連結

2007 年 06 月 07 日 – 13:57:00

JETTV 網站被植入惡意連結,此惡意程式可能為 Frethog 的變種,最近有瀏覽這個網頁的網友 (哈日一族可要小心囉),應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息。對此有興趣的網友,可以在虛擬機器上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: zuraia)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\d[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\win[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\qsvj[1].htm
C:\Program Files\Common Files\win.exe
C:\WINDOWS\~tmp4522.exe

到目前為止 (2007/6/7 @ 11:07),下面的防毒軟體可以偵測到這些惡意檔案:

~tmp4522.exe:
[ Trend ], 『TROJ_PEED.AX』
d[1].exe:
[ Trend ], 『TROJ_PEED.AX』
win.exe:
[ Microsoft ], 『PWS:Win32/Frethog.C』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.NSPM.Gen』

惡意程式, 網站安全 | 瀏覽數:487 | 6 迴響 »

財團法人證券投資人及期貨交易人保護中心網站又植入惡意連結

2007 年 06 月 07 日 – 10:30:00

**高度危險網站:常常被植入惡意連結,列入網站黑名單,不建議瀏覽此網站**
財團法人證券投資人及期貨交易人保護中心網站又植入惡意連結,此惡意程式可能為 Lineage 的變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在虛擬機器上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[DLL injection]
C:\WINDOWS\Web\printers\images\35B88B196.dll

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\ie.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\qq614[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\2007mmm[1].exe
C:\Program Files\Ethereal\snmp\mibs\.index
C:\WINDOWS\Web\printers\images\35B88B196.dll
C:\WINDOWS\Web\printers\images\35B88B196.exe

[ Added COM/BHO ]
{7599103B-03AD-4C24-9910-EF3282E4FD79}-C:\WINDOWS\Web\printers\images\35B88B196.dll

到目前為止 (2007/5/15 @ 10:13),下面的防毒軟體可以偵測到這些惡意檔案:

35B88B196.exe:
[ Trend ], 『TSPY_LINEAGE.FOV』
2007mmm[1].exe:
[ Trend ], 『TSPY_LINEAGE.FOV』
ie.exe:
[ Trend ], 『TSPY_LINEAGE.FOV』
35B88B196.dll:
[ Trend ], 『Possible_Infostl』
qq614[1].htm:
[ Microsoft ], 『[->(SCRIPT0000)]:TrojanDownloader:JS/Agent.DA』
[ Kaspersky ], 『Trojan-Downloader.JS.Agent.gr』
[ McAfee ], 『VBS/Psyme』
[ Sophos ], 『Mal/Psyme-A』
[ HBEDV ], 『JS/Dldr.Maginin』
[ Rising ], 『Trojan.DL.JS.Agent.ldf』
[ Ewido ], 『Downloader.Agent.gr』

惡意程式, 網站安全 | 瀏覽數:429 | 0 迴響 »

台灣 Nikon 網站又被植入惡意連結

2007 年 06 月 06 日 – 09:44:00

台灣 Nikon 網站又被植入惡意連結 (網站重建中,還是被植入惡意連結,可見是系統或 IIS 有漏洞),此惡意程式為 Lineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外,此惡意程式是利用微軟所公佈ANI 的安全漏洞 (Vulnerability in Windows Animated Cursor Handling)。對此有興趣的網友,可以在虛擬機器上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝閱讀全文 »

惡意程式, 網站安全 | 瀏覽數:490 | 2 迴響 »

正宗萬巒林家豬腳網站又被植入惡意連結

2007 年 06 月 05 日 – 13:26:00

正宗萬巒林家豬腳網站又被植入惡意連結,此惡意程式為 Lineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在虛擬機器上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\Program Files\Common Files\System\commond.pif

[DLL injection]
C:\WINDOWS\system32\dlyy.dll
C:\WINDOWS\system32\ShellDown.dll

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\01[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\ccs[1].js
C:\Program Files\Common Files\System\commond.pif
C:\Program Files\Internet Explorer\ie2.exe
C:\WINDOWS\rundl132.exe
C:\WINDOWS\system32\dlyy.dll
C:\WINDOWS\system32\ShellDown.dll
C:\WINDOWS\system32\ShellDown.exe

[Added registry]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Value=ShellDown.exe
Data=C:\WINDOWS\system32\ShellDown.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=ryy
Data=C:\WINDOWS\rundl132.exe

HKU\S-1-5-21-515967899-583907252-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run
Value=ShellDown.exe
Data=C:\WINDOWS\system32\ShellDown.exe

到目前為止 (2007/6/5 @ 12:06),下面的防毒軟體可以偵測到這些惡意檔案:

ShellDown.dll:
[ Trend ], 『TSPY_LINEAGE.FRT』
ShellDown.exe:
[ Trend ], 『TROJ_ULPM.CI』
update[1].exe:
[ Trend ], 『TROJ_ULPM.CI』
ccs[1].js:
[ Rising ], 『Trojan.DL.JS.Small.jf』
commond.pif:
[ Beta_Gen ], 『Possible_MLWR-5″
[ Symantec ], 『Trojan.Packed.NsAnti』
[ Kaspersky ], 『Packed.Win32.NSAnti.p』
[ McAfee ], 『New Malware.cn !!』
[ Sophos ], 『Mal/EncPk-F』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.NSPM.Gen』
[ Norman ], 『Virus W32/Viking.gen5″
[ Ewido ], 『Trojan.NSAnti.p』
dlyy.dll:
[ Beta_Gen ], 『Possible_MLWR-5″
[ Symantec ], 『Trojan.Packed.NsAnti』
[ Microsoft ], 『PWS:Win32/Lineage.gen!dll』
[ McAfee ], 『PWS-Lineage.dll』
[ Sophos ], 『Mal/EncPk-F』
[ Fortinet ], 『Lineage!tr.pws』
[ HBEDV ], 『HEUR/Crypted』
[ Norman ], 『Virus W32/Viking.gen5″
ie2.exe:
[ Beta_Gen ], 『Possible_MLWR-5″
[ Microsoft ], 『Trojan:Win32/Meredrop』
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.fq』
[ McAfee ], 『PWS-Mmorpg.gen』
[ Sophos ], 『[FILE:0000]:Mal/EncPk-F』
[ Fortinet ], 『PossibleThreat』
[ HBEDV ], 『TR/Crypt.NSPM.Gen』
[ Norman ], 『Trojan W32/OnLineGames.GIR』
[ Rising ], 『Backdoor.Bifrose.hkp』
[ Ewido ], 『Trojan.OnLineGames.es』
rundl132.exe:
[ Beta_Gen ], 『Possible_MLWR-5″
[ Symantec ], 『Trojan.Packed.NsAnti』
[ Kaspersky ], 『Packed.Win32.NSAnti.p』
[ McAfee ], 『New Malware.cn !!』
[ Sophos ], 『Mal/EncPk-F』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.NSPM.Gen』
[ Norman ], 『Virus W32/Viking.gen5″
[ Ewido ], 『Trojan.NSAnti.p』

惡意程式, 網站安全 | 瀏覽數:940 | 0 迴響 »

階梯數位學院網站又被植入惡意連結

2007 年 06 月 02 日 – 20:58:00

階梯數位學院網站又被植入惡意連結,此惡意程式為 Lineage 和 Agent 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[DLL injection]
C:\WINDOWS\Help\B7C8A6484EE3.dll

[Added file]
C:\autorun.inf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\h[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gmsex[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\stat[1].htm
C:\Shell.exe
C:\WINDOWS\Help\B7C8A6484EE3.dll
C:\WINDOWS\Help\B7C8A6484EE3.exe

[ Added COM/BHO ]
{6FC2B704-28A3-464F-AEA2-034E1107B0C4}-C:\WINDOWS\Help\B7C8A6484EE3.dll

到目前為止 (2007/6/1 @ 09:34),下面的防毒軟體可以偵測到這些惡意檔案:

B7C8A6484EE3.exe:
[ Trend ], 『TROJ_AGENT.IM』
gmsex[1].exe:
[ Trend ], 『TROJ_AGENT.IM』
h[1].htm:
[ Trend ], 『VBS_PSYME.ALS』
Shell.exe:
[ Trend ], 『TROJ_AGENT.IM』
B7C8A6484EE3.dll:
[ Microsoft ], 『PWS:Win32/Gamania.gen!B』
[ Kaspersky ], 『PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, PAK:PE_Patch.MaskPE』
[ Panda ], 『Suspicious file』
[ Nod32 ], 『a variant of Win32/PSW.Lineage.DN trojan』
[ HBEDV ], 『HEUR/Malware』
autorun.inf:
[ McAfee ], 『W32/USBAgent!inf』

惡意程式, 網站安全 | 瀏覽數:510 | 5 迴響 »

中天旅行社網站又被植入惡意連結

2007 年 06 月 02 日 – 20:47:00

中天旅行社網站又被植入惡意連結,此惡意程式 FRETHOG 的變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息。。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: wfx)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\play[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\top[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\play-1[1].png
C:\WINDOWS\Help\2HJSBC19.dll
C:\WINDOWS\Help\2HJSBC19.exe

[ Added COM/BHO ]
{79921D3F-7537-463E-9E38-CD503A8FA485}-C:\WINDOWS\help\2HJSBC19.dll

到目前為止 (2007/6/2 @ 11:22),下面的防毒軟體可以偵測到這些惡意檔案:

2HJSBC19.exe:
[ Trend ], 『TSPY_FRETHOG.GC』
play-1[1].png:
[ Trend ], 『TSPY_FRETHOG.GC』
2HJSBC19.dll:
[ Beta_Gen ], 『Possible_MLWR-5″
[ Microsoft ], 『PWS:Win32/Frethog.C』
[ Sophos ], 『Mal/EncPk-F』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.NSPM.Gen』

惡意程式, 網站安全 | 瀏覽數:501 | 0 迴響 »

台灣區手工具產業資訊網被植入惡意連結

2007 年 06 月 02 日 – 20:41:00

台灣區手工具產業資訊網被植入惡意連結,此惡意程式為 Lineage 和 Agent 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: Jimau)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[DLL injection]
C:\WINDOWS\Help\B7C8A6484EE3.dll

[Added file]
C:\autorun.inf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\h[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gmsex[1].exe
C:\Shell.exe
C:\WINDOWS\Help\autorun.inf
C:\WINDOWS\Help\B7C8A6484EE3.dll
C:\WINDOWS\Help\B7C8A6484EE3.exe

[ Added COM/BHO ]
{6FC2B704-28A3-464F-AEA2-034E1107B0C4}-C:\WINDOWS\Help\B7C8A6484EE3.dll

到目前為止 (2007/6/1 @ 09:34),下面的防毒軟體可以偵測到這些惡意檔案:

B7C8A6484EE3.exe:
[ Trend ], 『TROJ_AGENT.IM』
gmsex[1].exe:
[ Trend ], 『TROJ_AGENT.IM』
h[1].htm:
『VBS_PSYME.ALS』
Shell.exe:
[ Trend ], 『TROJ_AGENT.IM』
B7C8A6484EE3.dll:
[ Microsoft ], 『PWS:Win32/Gamania.gen!B』
[ Kaspersky ], 『PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, PAK:PE_Patch.MaskPE, Virus.Win32.AutoRun.ar』
[ Panda ], 『Suspicious file』
[ Nod32 ], 『a variant of Win32/PSW.Lineage.DN trojan』
[ HBEDV ], 『TR/Spy.iahu』
autorun.inf:
[ McAfee ], 『W32/USBAgent!inf』

惡意程式, 網站安全 | 瀏覽數:468 | 0 迴響 »

« Previous Entries
Next Entries »
大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).