七月, 2007

台北夢享家網站被植入惡意連結

2007 年 07 月 31 日 – 07:55:00

台北夢享家網站被植入惡意連結,此惡意程式為 TSPY_MARAN 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。

惡意連結是放置在 main.asp (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\avp.exe

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\11[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\4[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\ani1[1].css
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\41[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\mystat[2].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\stat[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od3mdi.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od3mdi.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od3mdi.dll)

到目前為止 (2007/7/28 @ 00:28),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

1[1].htm:
[ Symantec ], 『Downloader』
[ Microsoft ], 『[->(SCRIPT0000)]:TrojanDownloader:VBS/Agent.EF』
[ Kaspersky ], 『Trojan-Downloader.VBS.Small.eh』
[ McAfee ], 『[0000001d.vbs]:Exploit-MS06-014 !!』
[ Nod32 ], 『VBS/TrojanDownloader.Small.BO trojan』
[ Fortinet ], 『VBS/Psyme.DP!tr.dldr』
[ HBEDV ], 『VBS/Dldr.Psyme.FY』
[ Rising ], 『Trojan.DL.VBS.Small.ez』
[ Ewido ], 『Downloader.Small.cu』

刑事警察局網站被駭嗎?

2007 年 07 月 28 日 – 15:13:00

昨天晚上有網友在我的部落格上留言 (2007/7/27 @ 22:28) 說刑事警察局網站出現怪怪的訊息,檢查了一下,並沒有被植入惡意連結,但跳出一個訊息視窗,要使用者輸入使用者帳號與密碼,真奇怪,而且,無法關閉此訊息視窗,到目前為止 (2007/7/28 @ 15:20),刑事警察局網站還是一直出現此問題,都沒有人處理 (昨天晚上我有打電話去刑事局)。此網站被駭嗎?還是設定失當呢?如果兩者其中一個成立的話,那他們的處理速度真的有待改善。

下圖是進入 http://www.cib.gov.tw 頁面時,出現的畫面:

下圖是進入 http://www.cib.gov.tw 中文首頁時,出現的畫面:

此問題是發生在存取 font_main.css 檔案時,會出現驗證訊息 (因為沒有輸入使用者帳號與密碼,而出現驗證錯誤訊息),如下圖所示:

最後,一般網站被駭的手法,大部分是置換某個網頁,如果此網站真的被駭,那使用的手法蠻另類的,一樣造成無法瀏覽此網站的效果,但不會讓人覺得網站被駭,不過,是不是真的,那就要等待刑事警察局的說明,或者是媒體去查明真相囉。

台灣大學網站被植入惡意連結

2007 年 07 月 28 日 – 08:04:00

台灣大學網站被植入惡意連結 (新舊網站皆被植入,不過,他們應該有一個自動檢測和復原的程式監控他們的網站,他們應該要找出安全漏洞,然後,儘快修補那些漏洞,否則,會一再地發生這種情形),此惡意程式為 TSPY_MARAN 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。

惡意連結是放置在新舊首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\avp.exe

[DLL injection]
C:\WINDOWS\system32\od3mdi.dll

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\qing.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\41[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\ani[1].css
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\11[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\4[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od3mdi.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od3mdi.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od3mdi.dll)

到目前為止 (2007/7/28 @ 00:28),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

1[1].htm:
[ Symantec ], 『Downloader』
[ Microsoft ], 『[->(SCRIPT0000)]:TrojanDownloader:VBS/Agent.EF』
[ Kaspersky ], 『Trojan-Downloader.VBS.Small.eh』
[ McAfee ], 『[0000001d.vbs]:Exploit-MS06-014 !!』
[ Nod32 ], 『VBS/TrojanDownloader.Small.BO trojan』
[ Fortinet ], 『VBS/Psyme.DP!tr.dldr』
[ HBEDV ], 『VBS/Dldr.Psyme.FY』
[ Rising ], 『Trojan.DL.VBS.Small.ez』
[ Ewido ], 『Downloader.Small.cu』

亞太固網寬頻網站又被植入惡意連結

2007 年 07 月 27 日 – 11:08:00

**高度危險網站:常常被植入惡意連結,列入網站黑名單,不建議瀏覽此網站**
亞太固網寬頻網站又被植入惡意連結,此惡意程式為 TSPY_MARAN 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。(廣告一下,也許你們需要上「惡意程式分析、辨識、清除、防護之標準處理程序」)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od3mdi.dll

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\ani1[1].css
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\11[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\41[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\4[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\mystat[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od3mdi.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od3mdi.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od3mdi.dll)

到目前為止 (2007/7/27 @ 10:23),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

1[1].htm:
[ Symantec ], 『Downloader』
[ Microsoft ], 『[->(SCRIPT0000)]:TrojanDownloader:VBS/Agent.EF』
[ Kaspersky ], 『Trojan-Downloader.VBS.Small.eh』
[ McAfee ], 『[0000001d.vbs]:Exploit-MS06-014 !!』
[ Nod32 ], 『VBS/TrojanDownloader.Small.BO trojan』
[ Fortinet ], 『VBS/Psyme.DP!tr.dldr』
[ HBEDV ], 『VBS/Dldr.Psyme.FY』
[ Rising ], 『Trojan.DL.VBS.Small.ez』
[ Ewido ], 『Downloader.Small.cu』

小心即時通病毒

2007 年 07 月 26 日 – 16:58:00

剛剛有個朋友傳來一個即時通 (Windows Live Messenger) 訊息,上面寫著「傳送檔案 images.zip」,我當然不會傻傻地執行此檔案囉,感覺就像是惡意程式,請各位自己小心囉,萬一中獎,依照執行後的行為,即可清除此惡意程式。

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\winlog32.exe

[Deleted process]
C:\WINDOWS\system32\wscntfy.exe

[Modified service]
NAME: wscsvc
DISPLAY: Security Center
STATUS: SERVICE_STOPPED
FILE: C:\WINDOWS\System32\svchost.exe-1 -k netsvcs

[Added file]
C:\WINDOWS\images.zip (image.zip 的 MD5 為 1f3809384c5ec47892b2a61de4f587c3,image.zip 包含 IMG34814.pif 檔案,MD5 為 fc5415dc9054ee0934e3ff3e587de444)
C:\WINDOWS\winlog32.exe

[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=MSN
Data=winlog32.exe

到目前為止 (2007/7/26@ 16:55),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

winlog32.exe:
[ Microsoft ], 『Backdoor:Win32/Sdbot.gen!A』
[ Kaspersky ], 『IM-Worm.Win32.Agent.f』
[ HBEDV ], 『HEUR/Malware』
[ Ewido ], 『Backdoor.Bifrose.agk』
images.zip-1/IMG34814.pif:
[ Microsoft ], 『Backdoor:Win32/Sdbot.gen!A』
[ Kaspersky ], 『IM-Worm.Win32.Agent.f』
[ HBEDV ], 『HEUR/Malware』
[ Ewido ], 『Backdoor.Bifrose.agk』

注意:如果您的朋友透過即時通傳送一個連結或檔案給你,你只要先與您的朋友確定一下剛剛的訊息,即可避免中毒的情形。

新浪星座算命占卜大觀園網站被植入惡意連結

2007 年 07 月 23 日 – 08:28:00

新浪星座算命占卜大觀園網站被植入惡意連結,此惡意程式為 Onlineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。(感謝網友通知)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為 (產生應用程式錯誤的訊息):

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\qing.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\click[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\11[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\41[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\ani[1].css
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].htm

到目前為止 (2007/7/23 @ 08:34),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

1.htm:
[ Symantec ], 『Downloader』
[ Microsoft ], 『[->(SCRIPT0000)]:TrojanDownloader:VBS/Agent.EF』
[ Kaspersky ], 『Trojan-Downloader.VBS.Small.eh』
[ McAfee ], 『[0000001d.vbs]:Exploit-MS06-014 !!』
[ Nod32 ], 『VBS/TrojanDownloader.Small.BO trojan』
[ Fortinet ], 『VBS/Psyme.DP!tr.dldr』
[ HBEDV ], 『VBS/Dldr.Psyme.FY』
[ Rising ], 『Trojan.DL.VBS.Agent.cii』
[ Ewido ], 『Downloader.Small.cu』

亞太寬頻命理占卜大觀園網站被植入惡意連結

2007 年 07 月 23 日 – 08:15:00

亞太寬頻命理占卜大觀園網站被植入惡意連結,此惡意程式為 Onlineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。(感謝網友通知)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為 (產生應用程式錯誤的訊息):

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\qing.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\click[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\11[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\41[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\ani[1].css
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].htm

到目前為止 (2007/7/23 @ 08:34),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

1.htm:
[ Symantec ], 『Downloader』
[ Microsoft ], 『[->(SCRIPT0000)]:TrojanDownloader:VBS/Agent.EF』
[ Kaspersky ], 『Trojan-Downloader.VBS.Small.eh』
[ McAfee ], 『[0000001d.vbs]:Exploit-MS06-014 !!』
[ Nod32 ], 『VBS/TrojanDownloader.Small.BO trojan』
[ Fortinet ], 『VBS/Psyme.DP!tr.dldr』
[ HBEDV ], 『VBS/Dldr.Psyme.FY』
[ Rising ], 『Trojan.DL.VBS.Agent.cii』
[ Ewido ], 『Downloader.Small.cu』

佛教慈濟綜合醫院網站又被植入惡意連結

2007 年 07 月 23 日 – 08:07:00

佛教慈濟綜合醫院網站又被植入惡意連結,此惡意程式為 Lineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\avp.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\gfdgj45.com

[DLL injection]
C:\WINDOWS\system32\mui\svchost.exe
C:\WINDOWS\system32\od3mdi.dll
C:\WINDOWS\system32\zhaunogp.dll

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

NAME: zhaunogp
DISPLAY: Network DDE ZHAUNOGP
FILE: C:\WINDOWS\system32\svchost.exe -k zhaunogp

[Added file]
C:\autorun.inf
C:\bl.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\gfdgj45.com
C:\Documents and Settings\Administrator\Local Settings\Temp\microsofts.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\microsofts.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\0614[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\3[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\ma[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\bt[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\click[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\default[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\yahoo[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\2[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\ma[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\anhao.dll
C:\WINDOWS\system32\mui\svchost.exe
C:\WINDOWS\system32\od3mdi.dll
C:\WINDOWS\system32\zhaunogp.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od3mdi.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od3mdi.dll)

到目前為止 (2007/7/20 @ 14:41),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

2[1].exe:
[ Symantec ], 『Trojan.Packed.16″
[ Kaspersky ], 『PAK:NakedPack, PAK:ASPack, PAK:PE_Patch, Trojan-PSW.Win32.Maran.jg』
[ Panda ], 『Suspicious file』
[ Nod32 ], 『a variant of Win32/PSW.Maran trojan』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/PSW.157696″
3[1].exe:
[ Kaspersky ], 『PAK:PE_Patch』
[ McAfee ], 『BackDoor-CKB』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『DR/PcClient.Gen』
0614[1].htm:
[ Microsoft ], 『Exploit:HTML/Expascii.gen』
[ McAfee ], 『ObfuscatedHtml』
[ Fortinet ], 『HTML/ASCII.gen!exploit』
avp.exe:
[ Kaspersky ], 『Trojan-PSW.Win32.Maran.jg』
[ McAfee ], 『PWS-Maran』
[ Nod32 ], 『a variant of Win32/PSW.Maran trojan』
[ HBEDV ], 『TR/PSW.Maran.JG.3″
bl.exe:
[ Symantec ], 『Trojan.Packed.16″
[ Kaspersky ], 『PAK:NakedPack』
[ Panda ], 『Suspicious file』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.XPACK.Gen』
[ Ewido ], 『Downloader.Agent.byj』
bt[1].htm:
[ Rising ], 『Trojan.DL.JS.Agent.lir』
gfdgj45.com:
[ Symantec ], 『Trojan.Packed.16″
[ Kaspersky ], 『PAK:NakedPack』
[ Panda ], 『Suspicious file』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.XPACK.Gen』
[ Ewido ], 『Downloader.Agent.byj』
microsofts.exe:
[ Symantec ], 『Trojan.Packed.16″
[ Kaspersky ], 『PAK:NakedPack』
[ Panda ], 『Suspicious file』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.XPACK.Gen』
[ Ewido ], 『Downloader.Agent.byj』
svchost.exe:
[ Symantec ], 『Trojan.Packed.16″
[ Kaspersky ], 『PAK:NakedPack』
[ Panda ], 『Suspicious file』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.XPACK.Gen』
[ Ewido ], 『Downloader.Agent.byj』
yahoo[1].htm:
[ Microsoft ], 『Exploit:HTML/Expascii.gen』
[ McAfee ], 『ObfuscatedHtml』
[ Fortinet ], 『HTML/ASCII.gen!exploit』
zhaunogp.dll:
[ Kaspersky ], 『Trojan.Win32.Agent.atk』
[ HBEDV ], 『HEUR/Malware』
[ Rising ], 『Trojan.Win32.Agent.ios』
1[1].exe:
[ Symantec ], 『Trojan.Packed.16″
[ Kaspersky ], 『PAK:NakedPack』
[ Panda ], 『Suspicious file』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/Crypt.XPACK.Gen』
[ Ewido ], 『Downloader.Agent.byj』

1111 人力銀行網站被植入惡意程式

2007 年 07 月 20 日 – 14:50:00

1111 人力銀行網站被植入惡意程式,此惡意程式為 Onlineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。

惡意連結是放置在 home.asp (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\avp.exe

[DLL injection]
C:\WINDOWS\system32\od3mdi.dll

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\4[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\ani[1].css
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od3mdi.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od3mdi.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od3mdi.dll)

到目前為止 (2007/7/20 @ 13:18),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

1[1].htm:
[ Symantec ], 『Downloader』
[ Microsoft ], 『[->(SCRIPT0000)]:TrojanDownloader:VBS/Agent.EF』
[ Kaspersky ], 『Trojan-Downloader.VBS.Small.eh』
[ McAfee ], 『[0000001d.vbs]:Exploit-MS06-014 !!』
[ Nod32 ], 『VBS/TrojanDownloader.Small.BO trojan』
[ Fortinet ], 『VBS/Psyme.DP!tr.dldr』
[ HBEDV ], 『VBS/Dldr.Psyme.FY』
[ Rising ], 『Trojan.DL.VBS.Agent.cii』
[ Ewido ], 『Downloader.Small.cu』
avp.exe:
[ Kaspersky ], 『Trojan-PSW.Win32.Maran.jg』
[ McAfee ], 『PWS-Maran』
[ Nod32 ], 『a variant of Win32/PSW.Maran trojan』
[ HBEDV ], 『TR/PSW.Maran.JG.3″

八大電視台網站又被植入惡意連結

2007 年 07 月 20 日 – 14:44:00

八大電視台網站又被植入惡意連結 (請檢查你們的服務信箱是不是有問題呢),此惡意程式為 Onlineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。(感謝網友通知)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\avp.exe

[DLL injection]
C:\WINDOWS\system32\od3mdi.dll

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\4[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\ani[1].css
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od3mdi.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od3mdi.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od3mdi.dll)

到目前為止 (2007/7/20 @ 13:18),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

1[1].htm:
[ Symantec ], 『Downloader』
[ Microsoft ], 『[->(SCRIPT0000)]:TrojanDownloader:VBS/Agent.EF』
[ Kaspersky ], 『Trojan-Downloader.VBS.Small.eh』
[ McAfee ], 『[0000001d.vbs]:Exploit-MS06-014 !!』
[ Nod32 ], 『VBS/TrojanDownloader.Small.BO trojan』
[ Fortinet ], 『VBS/Psyme.DP!tr.dldr』
[ HBEDV ], 『VBS/Dldr.Psyme.FY』
[ Rising ], 『Trojan.DL.VBS.Agent.cii』
[ Ewido ], 『Downloader.Small.cu』
avp.exe:
[ Kaspersky ], 『Trojan-PSW.Win32.Maran.jg』
[ McAfee ], 『PWS-Maran』
[ Nod32 ], 『a variant of Win32/PSW.Maran trojan』
[ HBEDV ], 『TR/PSW.Maran.JG.3″

阿碼科技合併艾克索夫公開信

2007 年 07 月 20 日 – 12:04:00

各位Armorize以及X-Solve的伙伴:

我們很高興向大家宣布,阿碼科技股份有限公司與艾克索夫股份有限公司已經達成了具體之協議,由阿碼科技併購艾克索夫,所有程序將於今年十月底前完成。這起令人興奮的併購使我們能對於目前的客戶與伙伴,提供更完整的Web防護解決方案及產品線支援。 閱讀全文 »

國家圖書館臺灣記憶系統網站被植入惡意連結

2007 年 07 月 19 日 – 16:09:00

國家圖書館臺灣記憶系統網站被植入惡意連結 (早上通知他們,到現在尚未處理),此惡意程式為 Infostealer.Gampass、PWS:Win32/Whoran.A 或 Trojan-Spy.Win32.Agent.qn 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。(感謝網友通知)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\Documents and Settings\Administrator\Local Settings\Temp\Microsoft.com
C:\Documents and Settings\Administrator\Local Settings\Temp\Cike.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe

[DLL injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\WINDOWS\system32\winlokc.dll

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\Cike.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\Microsoft.com
C:\Documents and Settings\Administrator\Local Settings\Temp\Microsoft.vbs
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.vbs
C:\Documents and Settings\Administrator\Local Settings\Temp\taskmgr.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\index[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\svchost[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\z1[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\ck[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\dns[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\index[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\zl[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\06014[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\ie[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\xl1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\xl[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\click[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\dns[1].ani
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\index[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\z2[1].jpg
C:\WINDOWS\system32\winlokc.dll

[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=Syetesn
Data=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Microsoft.com

到目前為止 (2007/7/19 @ 09:27),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

Microsoft.com:
[ Kaspersky ], 『PAK:PE_Patch, PAK:UPX』
[ HBEDV ], 『TR/Spy.Agent.QN.16″
Microsoft.vbs:
[ Symantec ], 『Trojan Horse』
[ Kaspersky ], 『Trojan.VBS.Runner.o』
[ HBEDV ], 『VBS/Runner.O.3″
[ Ewido ], 『Trojan.Runner.o』
svchost.exe:
[ Kaspersky ], 『PAK:PE_Patch, PAK:UPX』
[ HBEDV ], 『TR/Spy.Agent.QN.16″
winlokc.dll:
[ Symantec ], 『Infostealer.Gampass』
[ Microsoft ], 『PWS:Win32/Whoran.A』
[ Kaspersky ], 『Trojan-Spy.Win32.Agent.qn』
[ HBEDV ], 『TR/Spy.Agent.QN.16″
xl1[1].htm:
[ Microsoft ], 『Exploit:HTML/Expascii.gen』
[ McAfee ], 『ObfuscatedHtml』
[ Fortinet ], 『HTML/ASCII.gen!exploit』
[ Norman ], 『Trojan AsciiExploit.gen』
xl[1].htm:
[ Nod32 ], 『JS/TrojanDownloader.Agent.ID trojan』
[ HBEDV ], 『JS/Dldr.Agent.25076″
[ Rising ], 『Trojan.DL.JS.Agent.let』
[ Ewido ], 『Downloader.Agent.id』
zl[1].htm:
[ Microsoft ], 『Exploit:HTML/Expascii.gen』
[ McAfee ], 『ObfuscatedHtml』
[ Fortinet ], 『HTML/ASCII.gen!exploit』
[ Norman ], 『Trojan AsciiExploit.gen』
06014[1].htm:
[ Microsoft ], 『[->(SCRIPT0000)]:TrojanDownloader:JS/Agent.FT』
[ Kaspersky ], 『Trojan-Downloader.JS.Psyme.fk』
[ McAfee ], 『[000000bc.vbs]:Exploit-MS06-014.gen !!』
[ Fortinet ], 『VBS/Psyme.DN!tr.dldr』
[ Rising ], 『Trojan.DL.VBS.Agent.clx』
[ Ewido ], 『Downloader.Psyme.hl』
Cike.exe:
[ Kaspersky ], 『PAK:PE_Patch, PAK:UPX』
[ HBEDV ], 『TR/Spy.Agent.QN.16″
ck[1].htm:
[ Alpha_Gen ], 『Possible_EncScr』
[ McAfee ], 『[00000008.js]:Exploit-MS06-014″
[ HBEDV ], 『VBS/Dldr.Psyme.BH.2″
ie[1].htm:
[ Alpha_Gen ], 『Heur_Infrm-1″
[ Fortinet ], 『JS/Agent.HC!tr.dldr』
[ Rising ], 『Trojan.DL.JS.Agent.lgm』

台北海洋館網站被植入惡意連結

2007 年 07 月 17 日 – 20:53:00

台北海洋館網站被植入惡意連結 (旅遊旺季,應該有很多網友中獎吧),此惡意程式為 BKDR_HUPIGON 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為 (中毒了之後,蠻慘的):

[Added process]
C:\WINDOWS\system32\osk.exe

[Added service]
NAME: DHCP C1ient
DISPLAY: DHCP C1ient
FILE: C:\WINDOWS\smss.com

NAME: WindowsDown
DISPLAY: Windows XP
FILE: C:\WINDOWS\system32\servet.exe

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\server[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\zhu3[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\board[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\Down[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\index[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\yun[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\baobao[1].htm
C:\Program Files\_smss.com
C:\WINDOWS\smss.com
C:\WINDOWS\system32\server.exe
C:\WINDOWS\system32\servet.exe

集思會議中心台大館網站被植入惡意連結

2007 年 07 月 17 日 – 20:42:00

集思會議中心台大館網站被植入惡意連結 (已經有一段時間了,應該有很多網友中獎吧),此惡意程式為 Lineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[DLL injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\614[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\20070418a[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\index[1].htm
C:\Program Files\MyIE\1.bat
C:\Program Files\MyIE\1.vbs
C:\Program Files\MyIE\MyIE.exe

亞太固網寬頻網站又被植入惡意連結

2007 年 07 月 14 日 – 20:59:00

亞太固網寬頻網站又被植入惡意連結,此惡意程式為 Onlineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為 (網路會中斷):

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\stat[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od2media.dll)