七月, 2007

太陽堂老店食品網站被植入惡意連結

2007 年 07 月 14 日 – 20:25:00

太陽堂老店食品網站被植入惡意連結,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒。(Credit: Jimau)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[DLL injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\WINDOWS\Web\printers\images\jhgfd.dll

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\717001[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\2003[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\614001[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\laog[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\g[1].htm
C:\WINDOWS\Web\printers\images\jhgfd.dll
C:\WINDOWS\Web\printers\images\jhgfd.exe

[Added COM/BHO]
{C01A46D2-5397-4087-90DD-F44F207F7642}-C:\WINDOWS\Web\printers\images\jhgfd.dll

惡意程式, 網站安全 | 瀏覽數:774 | 1 迴響 »

台北旅遊網網站被植入惡意連結

2007 年 07 月 13 日 – 14:08:00

台北旅遊網網站 (由台北市政府交通局管理) 被植入惡意連結,此惡意程式為 Onlineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。(Credit: Jimau)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\stat[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od2media.dll)

惡意程式, 網站安全 | 瀏覽數:712 | 0 迴響 »

中友百貨網站被植入惡意連結

2007 年 07 月 13 日 – 14:03:00

中友百貨網站被植入惡意連結,此惡意程式為 Onlineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。(Credit: Atos)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\stat[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od2media.dll)

惡意程式, 網站安全 | 瀏覽數:860 | 3 迴響 »

淡水漁人碼頭網站被植入惡意連結

2007 年 07 月 12 日 – 14:08:00

淡水漁人碼頭網站被植入惡意連結,此惡意程式為 Onlineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。(Credit: Jimau)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\test[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\help[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

惡意程式, 網站安全 | 瀏覽數:716 | 5 迴響 »

永然文化出版服務網網站被植入惡意連結

2007 年 07 月 12 日 – 13:57:00

永然文化出版服務網網站被植入惡意連結,此惡意程式為 PE_LOOKED、Onlineage 和 Frethog
變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為 (滿慘的,請各位小心一點):

[Added process]
C:\WINDOWS\sys220.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\1.exe

[DLL injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\LYMANGR.DLL
C:\Documents and Settings\Administrator\Local Settings\Temp\mhso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\qjso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\rxso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\tlso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\wdso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\ztso0.dll
C:\Program Files\Common Files\System\ado\msado15.dll
C:\Program Files\Common Files\System\msadc\msadco.dll
C:\Program Files\Common Files\System\msadc\msadcor.dll

[Added files]
在系統中建立太多的惡意檔案

到目前為止 (2007/7/12 @ 09:55),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

[Logo1_.exe:
[ Trend ], "PE_LOOKED.ACX-O"
mppds.dll:
[ Symantec ], "Infostealer.Gampass"
[ Microsoft ], "PWS:Win32/Frethog.D"
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.es"
[ Fortinet ], "W32/Agent.BTI!tr.pws"
[ HBEDV ], "TR/PSW.Agent.20480″
[ Norman ], "Trojan OnlineGames.gen11″
[ Rising ], "Trojan.PSW.Win32.OnlineGames.ci"
[ Ewido ], "Trojan.OnLineGames.es"
LYMANGR.dll:
[ Symantec ], "Infostealer.Gampass"
[ Microsoft ], "VirTool:Win32/Obfuscator.C"
[ Kaspersky ], "PAK:UPack"
[ McAfee ], "Generic PWS.j"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Malware"
[ Norman ], "Security Risk W32/Suspicious_U.gen"
LYLOADER.exe:
[ Alpha_Gen ], "Possible_Virus"
[ Symantec ], "Infostealer.Gampass"
[ Microsoft ], "[->(Upack)->[RSRCEmb]]:VirTool:Win32/Obfuscator.C"
[ Kaspersky ], "PAK:PE_Patch, PAK:UPack"
[ McAfee ], "New Malware.aj !!"
[ Panda ], "Suspicious file"
[ Nod32 ], "a variant of Win32/PSW.Agent.NEC trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Malware"
[ Norman ], "Security Risk W32/Suspicious_U.gen"
tlso0.dll:
[ Symantec ], "Infostealer.Gampass"
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.bs"
[ Fortinet ], "W32/OnlineGames.AVG!tr.pws"
[ HBEDV ], "TR/Spy.Gen"
[ Norman ], "Trojan W32/OnLineGames.ICJ"
[ Rising ], "Trojan.PSW.Win32.Agent.pn"
[ Ewido ], "Trojan.OnLineGames.bs"
rxso0.dll:
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.lj"
[ Panda ], "Trj/Lineage.DTB"
[ Nod32 ], "Win32/PSW.OnLineGames.NBD trojan"
[ Fortinet ], "W32/LegMir.ARC!tr.pws"
[ HBEDV ], "TR/Spy.Gen"
[ Rising ], "Trojan.PSW.OnlineGames.bto"
[ Ewido ], "Trojan.OnLineGames.lj"
mppds.exe:
[ Microsoft ], "PWS:Win32/Lmir.gen!J"
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.es"
[ HBEDV ], "TR/PSW.Agent.20480″
[ Rising ], "Trojan.PSW.Win32.OnlineGames.ci"
zxso0.dll:
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.qo"
[ Fortinet ], "W32/Gampass.A!tr.pws"
[ HBEDV ], "TR/Spy.Gen"
[ Rising ], "Trojan.PSW.Win32.WorldOnline.ja"
[ Ewido ], "Trojan.OnLineGames.qo"
ztso0.dll:
[ Symantec ], "Infostealer"
[ Kaspersky ], "Trojan-PSW.Win32.Nilage.bjp"
[ McAfee ], "PWS-LegMir.dll"
[ Nod32 ], "probably a variant of Win32/Genetik trojan"
[ Fortinet ], "W32/LegMir.BJP!tr.pws"
[ HBEDV ], "TR/Spy.Gen"
[ Rising ], "Trojan.PSW.Win32.OnlineGames.dfh"
wdso0.dll:
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.bs"
[ Fortinet ], "W32/OnLineGames.BS!tr.pws"
[ HBEDV ], "TR/Spy.Gen"
[ Rising ], "Trojan.PSW.OnlineGames.byp"
qjso0.dll:
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.bs"
[ Nod32 ], "a variant of Win32/PSW.OnLineGames.NAZ trojan"
[ Fortinet ], "W32/OnLineGames.BS!tr.pws"
[ HBEDV ], "TR/Spy.Gen"
[ Rising ], "Trojan.PSW.Win32.OnlineGames.del"
mhso0.dll:
[ Symantec ], "Infostealer.Gampass"
[ Microsoft ], "PWS:Win32/Legmir.E!dll"
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.yy"
[ Nod32 ], "a variant of Win32/PSW.OnLineGames.NAT trojan"
[ Fortinet ], "W32/Agent.NDP!tr.pws"
[ HBEDV ], "TR/Spy.Gen"
[ Rising ], "Trojan.PSW.Win32.Agent.po"
2637921.bat:
[ Kaspersky ], "Trojan.BAT.KillAV.ez"
Ravasktao.dll:
[ Alpha_Gen ], "Possible_OLGM-8″
[ Microsoft ], "PWS:Win32/Skatayo.A!dll"
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.ql"
[ McAfee ], "PWS-LegMir.dll"
[ Panda ], "Trj/Lineage.EGZ"
[ Fortinet ], "W32/LegMir.QL!tr.pws"
[ HBEDV ], "TR/Spy.Gen"
[ Rising ], "Trojan.PSW.Win32.AskTao.d"
[ Ewido ], "Trojan.OnLineGames.ql"
TIMHost.dll:
[ Symantec ], "Infostealer.Gampass"
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.yn"
[ McAfee ], "PWS-LegMir.dll"
[ Fortinet ], "OnLine!tr"
[ HBEDV ], "TR/PSW.OnLineGames.YN.83″
[ Norman ], "Trojan W32/OnLineGames.ICK"
[ Rising ], "Trojan.PSW.Win32.RocOnline.t"
MSDEG32.dll:
[ Microsoft ], "VirTool:Win32/Obfuscator.C"
[ K
aspersky ], "PAK:UPack"
[ McAfee ], "Generic PWS.j"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Malware"
[ Norman ], "Security Risk W32/Suspicious_U.gen""

惡意程式, 網站安全 | 瀏覽數:1,007 | 0 迴響 »

微軟即將提供 7 月份安全漏洞修補程式

2007 年 07 月 11 日 – 20:56:00

依照微軟慣例 (每月安全性更新週期),又到了微軟即將發布 7 月份安全漏洞修補程式,這次總共修補了 6 個安全漏洞,其中 3 個為重大等級 (Critical),2 個為重要等級 (Important),1 個為中度等級 (Moderate)。請各位記得盡速更新這些修補程式。 閱讀全文 »

安全更新, 產業動態 | 瀏覽數:1,227 | 0 迴響 »

HijackThis 出新版本

2007 年 07 月 11 日 – 14:34:00

自從被趨勢科技買下免費軟體 HijackThis 後,很多原本喜歡利用此工具的使用者紛紛改用其他的工具,特別是其他防毒軟體公司的員工,不過,此工具還是有許多優點,其中一項就是可以快速地找出系統有問題的元件。HijackThis 會收集系統相關資訊,產生報表,然後,可以將此報表提供給相關人員,以找出系統的問題,或是修復惡意程式所植入之檔案或註冊碼。

基本上,2.0.2 版本的 HijackThis 並沒有太大的改變,相關新增功能及強化舊功能,如下所列:
  • AnalyzeThis statistics: 會將記錄檔上傳至 TrendSecure 或是 HijackThis 相關論壇
  • 支援 Windows Vista
  • 改善 IE 7.0 的支援
  • 改善非英文白名單之支援
  • 支援清除 ActiveX Desktop Components

下圖是新舊版本之比較:

對此免費工具有興趣的網友,可以到這裡下載此工具。

工具教學, 產業動態 | 瀏覽數:1,381 | 2 迴響 »

趨勢科技主網站掛了

2007 年 07 月 11 日 – 11:34:00

剛剛瀏覽趨勢科技主網站 (http://www.trendmicro.com),結果發現該網站回應「File not found」,不曉得發生什麼事了?遭駭嗎?

下圖只是紀錄一下這歷史畫面:

下圖是美國主站的畫面:

網站安全 | 瀏覽數:670 | 1 迴響 »

趨勢將網頁信譽評等服務加入新版 OfficeScan 新聞之我見

2007 年 07 月 11 日 – 11:04:00

iThome online 昨天報導「趨勢將網頁信譽評等服務加入新版 OfficeScan」新聞中,有部分內容是有問題的,不曉得是 iThome 編輯寫錯,還是趨勢科技講錯了。

新聞內容中有一段說:

從去年下半年以來,許多病毒開始以偽裝入侵,即使在閘道端設定阻止執行檔進入,惡意程式也可能偽裝成txt、jpg、gif檔入侵,而這些在閘道端都無法阻擋,因此OfficeScan 8.0是針對Client端做防護。

問題出在「惡意程式也可能偽裝成txt、jpg、gif檔入侵,而這些在閘道端都無法阻擋」。現在大部分閘道端防毒軟體都可以針對檔案內容辨識檔案格式,並不會因為惡意程式偽裝成其他副檔名,而偵測不到那些惡意程式,除非防毒軟體本身的設定有問題,或是防毒軟體根本沒有那些惡意程式的特徵碼。

最後,請不要再把錯誤的觀念灌輸給大家。

自我觀點 | 瀏覽數:869 | 4 迴響 »

政院資安技術服務中心網站未遭入侵嗎?

2007 年 07 月 11 日 – 10:38:00

昨天看到「政院資安技術服務中心網站未遭入侵」的新聞,研究發展考核委員會表示「駭客嘗試入侵,但未成功,清查後也沒有發現資料外洩」。蠻奇怪的,如果入侵沒成功的話,還需要檢查資料外洩嗎? 閱讀全文 »

產業動態 | 瀏覽數:728 | 6 迴響 »

大陸網站刊登台灣海軍演習照片

2007 年 07 月 11 日 – 10:23:00

大陸網站刊登台灣海軍紀德艦演習照片,不知道是真的嗎?如果是真的,那所有演習的資料不就全部被竊取走了嗎?想想我也繳了很多的稅,真是XO$X%。拜託,不要再買一些看起來很好看的硬體設備,重看不要用,多花點心力,培養資訊戰的人員吧!


(我沒有洩露什麼,可不要找我麻煩喔)

不曉得各位對這則新聞有什麼看法呢?

至於詳細資訊,請參考這裡

產業動態 | 瀏覽數:851 | 4 迴響 »

如何修復被惡意程式破壞的Winsock?

2007 年 07 月 10 日 – 18:52:00

有些惡意程式 (Trojan.Riler.FTROJ_AGENT.CAC) 或間諜軟體 (NewDotNetWebHancer) 安裝一些附加元件至系統的Winsock2機碼中 (有時候稱為Layered Service Provider, aka, LSP),以利於監視系統的網路訊息。當你 (防毒軟體或反間諜軟體) 不小心移除它時,會造成網路中斷或網路不穩定。如果發生這種情形,如何檢查及修復它呢? 閱讀全文 »

工具教學 | 瀏覽數:2,417 | 0 迴響 »

Google 併購資安公司 Postini

2007 年 07 月 10 日 – 15:10:00

Goolge 在官方部落格新聞稿中說明併購資安公司 Postini (最主要在做 e-mail 安全防護) 的原由,Google 真的要提供代管服務了嗎?答案應該是很肯定,後續系統及軟體的整合應該很快就會完成,以支援 Google Apps,代管服務商可要小心囉。 閱讀全文 »

產業動態 | 瀏覽數:730 | 0 迴響 »

比堤婚紗攝影網站被植入惡意連結

2007 年 07 月 10 日 – 10:39:00

更新資訊:目前已修復

比堤婚紗攝影網站被植入惡意連結,此惡意程式為 TROJ_NSPM 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\index.html
C:\Program Files\Common Files\System\commond.pif

惡意程式, 網站安全 | 瀏覽數:924 | 0 迴響 »

中華歐亞基金會網站又被植入惡意連結

2007 年 07 月 09 日 – 20:43:00

中華歐亞基金會網站又被植入惡意連結,此惡意程式為 TROJ_DELF 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\svhost.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\help[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\common[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\help[1].exe

到目前為止 (2007/7/9 @ 10:11),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

svhost.exe:
[ Kaspersky ], "PAK:UPX"
[ Fortinet ], "suspicious"
help[1].exe:
[ Kaspersky ], "PAK:UPX"
[ Fortinet ], "suspicious"

惡意程式, 網站安全 | 瀏覽數:809 | 1 迴響 »

« Previous Entries
Next Entries »
大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).