八月, 2007

FreeWeb IDC虛擬主機網站被植入惡意連結

2007 年 08 月 30 日 – 09:49:00

FreeWeb IDC 虛擬主機網站被植入惡意連結,此惡意程式為 Backdoor.Win32.Delf,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

此惡意連結解碼之後為:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\system32\svchost.exe (正常)

[DLL injection]
C:\WINDOWS\system32\zxwt_noner.dll

[Added service]
NAME: BRC_Services
DISPLAY: BlackHole Remote Control Services
FILE: C:\WINDOWS\system32\svchost.exe -k netsvcs (這應該是正常的服務,但被惡意程式所利用)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\microsofts.bat
C:\Documents and Settings\Administrator\Local Settings\Temp\microsofts.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\count[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\iexp[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\xpkk[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\vip[1].exe
C:\NTDETECT.EXE
C:\WINDOWS\system32\zxwt_noner.dat
C:\WINDOWS\system32\zxwt_noner.dll
C:\WINDOWS\system32\zxwt_noner.tmp

到目前為止 (2007/8/29 @ 13:24),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

iexp[1].htm:
[ Kaspersky ], 『Trojan-Downloader.JS.Agent.nd』
microsofts.bat:
[ Kaspersky ], 『PAK:NSPack, Backdoor.Win32.Delf.bbz』
[ McAfee ], 『New Malware.u !!』
[ Panda ], 『Generic』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『BDS/Graybird.618C7F7D』
[ Norman ], 『Trojan W32/Hupigon.gen67″
[ Ewido ], 『Backdoor.Delf.axh』
microsofts.vbs:
[ Kaspersky ], 『Trojan.VBS.Runner.w』
[ Fortinet ], 『VBS/Runner.W!tr』
NTDETECT.EXE:
[ Kaspersky ], 『Trojan.VBS.Runner.w』
[ Fortinet ], 『VBS/Runner.W!tr』
vip[1].exe:
[ Kaspersky ], 『PAK:NSPack, Backdoor.Win32.Delf.bbz』
[ McAfee ], 『New Malware.u !!』
[ Panda ], 『Generic』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『BDS/Graybird.618C7F7D』
[ Norman ], 『Trojan W32/Hupigon.gen67″
[ Ewido ], 『Backdoor.Delf.axh』
xpkk[1].htm:
[ Kaspersky ], 『Trojan-Downloader.JS.Agent.nd』
zxwt_noner.dll:
[ Norman ], 『Backdoor W32/Delf.AJBI』
[ Ewido ], 『Backdoor.Delf.axh』
zxwt_noner.tmp:
[ Kaspersky ], 『PAK:NSPack, Backdoor.Win32.Delf.bbz』
[ McAfee ], 『New Malware.u !!』
[ Panda ], 『Generic』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『BDS/Graybird.618C7F7D』
[ Norman ], 『Trojan W32/Hupigon.gen67″
[ Ewido ], 『Backdoor.Delf.axh』
count[1].htm:
[ Kaspersky ], 『Trojan-Downloader.JS.Agent.nd』

惡意程式, 網站安全 | 瀏覽數:677 | 2 迴響 »

大興旅行社網站被植入惡意連結

2007 年 08 月 30 日 – 09:41:00

大興旅行社網站被植入惡意連結 (目前中華電信的ADSL無法連上此惡意連結,不知其他ADSL可以嗎?),最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒。(Credit: Jimau)

惡意連結是放置在 Mid-Autumn Festivalr/index.htm (其他頁面可能要仔細檢查一下囉) 中的:

惡意程式, 網站安全 | 瀏覽數:650 | 0 迴響 »

佳能企業網站被植入惡意連結

2007 年 08 月 29 日 – 09:39:00

佳能企業網站被植入惡意連結 (目前中華電信的ADSL無法連上此惡意連結,不知其他ADSL可以嗎?),此惡意程式為 TSPY_MARAN 或 TR/PSW.OnLineGames 變種 (請參考占卜大觀園),最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。(Credit: Eddie)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

惡意程式, 網站安全 | 瀏覽數:594 | 0 迴響 »

震旦集團簡體中文網站被植入惡意連結

2007 年 08 月 28 日 – 10:22:00

震旦集團簡體中文網站被植入惡意連結,此惡意程式為 TROJ_SMALL 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒。(Credit: Jimau)

惡意連結是放置在 overview.aspx (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\system32\svchost.exe (此檔案是正常的系統檔案)

[Added service]
NAME: netservice
DISPLAY: windows service controller
FILE: C:\WINDOWS\system32\netservice.exe

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\Xp[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\services[1].exe
C:\WINDOWS\system32\netservice.exe

惡意程式, 網站安全 | 瀏覽數:564 | 0 迴響 »

資安課程調查

2007 年 08 月 17 日 – 15:38:00

在未來一年內,我們 (Malware-Test Lab) 會陸續開設下列資安及 Windows 進階課程,如果各位想參加這些課程,請在右邊的課程調查中勾選自己想學習的課程,謝謝。

  • 資安事件標準處理程序
  • 撰寫安全程式設計(需懂C和C++)
  • 靜態惡意程式分析(需懂組合語言)
  • 進階動態惡意程式分析(包括間諜軟體)
  • Rootkit運作原理及防護技巧
  • Windows作業系統架構及內部運作原理(Windows OS Architecture and Internals)
  • Windows驅動程式設計(Introduction to Windows Driver Development)
  • Windows核心除錯(Kernel Debugging for Windows)
  • 如何測試或評估防毒軟體

其他 | 瀏覽數:795 | 0 迴響 »

公告:8/17 ~ 8/25 暫停張貼文章

2007 年 08 月 17 日 – 14:54:00
由於站長 8/17 至 8/25 要去印度,所以,在這段期間會暫停貼張文章與回覆網友的意見,不過,還是歡迎各位繼續不吝批評與指教。

其他 | 瀏覽數:719 | 0 迴響 »

淡水漁人碼頭網站又被植入惡意連結

2007 年 08 月 17 日 – 14:45:00

淡水漁人碼頭網站又被植入惡意連結,此惡意程式為 TSPY_MARAN 或 TR/PSW.OnLineGames 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。順便一提,每次寄到他們客服信箱的電子郵件都被退回來,也許他們應該要檢查一下,否則,會遺漏一些重要訊息。

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:
[Added process]
C:\WINDOWS\avp.exe

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\help[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od3mdi.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od3mdi.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od3mdi.dll)

惡意程式, 網站安全 | 瀏覽數:517 | 0 迴響 »

亞太寬頻命理網站(占卜大觀園)又被植入惡意連結

2007 年 08 月 17 日 – 14:36:00

亞太寬頻命理網站(占卜大觀園)又被植入惡意連結,此惡意程式為 TSPY_MARAN 或 TR/PSW.OnLineGames 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\avp.exe

[DLL injection]
C:\WINDOWS\system32\od3mdi.dll

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\11[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\41[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\11[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\4[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\ani1[1].css
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od3mdi.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od3mdi.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od3mdi.dll)

惡意程式, 網站安全 | 瀏覽數:1 | 0 迴響 »

美商元太國際基金管理網站又被植入惡意連結

2007 年 08 月 17 日 – 14:28:00

美商元太國際基金管理網站又被植入惡意連結,不過,目前連不上該惡意連結,感覺是 Hinet 檔下此惡意連結,不讓 Hinet 使用者連上此惡意連結,其他 ISP 的用戶可能要小心一點。

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

惡意程式, 網站安全 | 瀏覽數:551 | 0 迴響 »

另一隻即時通訊病毒

2007 年 08 月 15 日 – 15:36:00

前幾天,有個朋友從 MSN 上傳了一個檔案給我,是最近新聞報導的那隻即時通訊病毒,我朋友的電腦肯定中毒了,如果您也中獎,請參考一下囉。

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\svchost.exe

[Deleted process]
C:\WINDOWS\system32\wscntfy.exe

[DLL injection]
C:\WINDOWS\svchost.exe

[Modified service]
NAME: wscsvc
DISPLAY: Security Center
STATUS: SERVICE_STOPPED
FILE: C:\WINDOWS\System32\svchost.exe -k netsvcs

[Added file]
C:\RECYCLER\S-1-5-21-515967899-583907252-839522115-500\Dc6.zip
C:\RECYCLER\S-1-5-21-515967899-583907252-839522115-500\Dc7\img807.exe
C:\RECYCLER\S-1-5-21-515967899-583907252-839522115-500\Dc8.zip
C:\WINDOWS\img1756.zip
C:\WINDOWS\svchost.exe

[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=Microsoft Genuine Logon
Data=svchost.exe

到目前為止,下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):尚未完成掃描,稍後更新。

即時通訊, 惡意程式 | 瀏覽數:1,113 | 1 迴響 »

WOW!map 生活地圖被植入惡意連結

2007 年 08 月 15 日 – 09:12:00

WOW!map 生活地圖被植入惡意連結,此惡意程式為 TSPY_MARAN 或 TR/PSW.OnLineGames 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\avp.exe

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
STATUS: SERVICE_RUNNING
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
STATUS: SERVICE_RUNNING
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\41[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\11[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\test[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\4[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\ani1[1].css
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\mystat[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od3mdi.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od3mdi.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od3mdi.dll)

到目前為止,下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):掃瞄完成後會更新此資訊。

惡意程式, 網站安全 | 瀏覽數:568 | 0 迴響 »

HONDA 汽車台灣網站被植入惡意連結

2007 年 08 月 03 日 – 17:08:00

HONDA 汽車台灣網站被植入惡意連結,此惡意程式為 Onlineage 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\system32\drivers\scvhost.exe

[DLL injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\npptools.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\Packet.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\qjso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\rxso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\tlso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\WanPacket.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\wdso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\wlso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\ztso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\zxso0.dll
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys
C:\WINDOWS\system32\5E9F0D5.DLL
C:\WINDOWS\system32\drivers\scvhost.exe
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\xyhpri.dll
C:\WINDOWS\winow.dll

[Added service]
NAME: 2FED61CD
DISPLAY: 2FED61CD
FILE: C:\WINDOWS\system32\AE9C6AE4.EXE -d

[Deleted service]
NAME: ERSvc
DISPLAY: Error Reporting Service
FILE: C:\WINDOWS\System32\svchost.exe-1 -k netsvcs
ile —–]

[Added file]
C:\autorun.inf
C:\Documents and Settings\Administrator\Local Settings\Temp\microsofts.bat
C:\Documents and Settings\Administrator\Local Settings\Temp\microsofts.vbs
C:\Documents and Settings\Administrator\Local Settings\Temp\npf.sys
C:\Documents and Settings\Administrator\Local Settings\Temp\npptools.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\Packet.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\qjso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\qjso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\rxso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\rxso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\sys11.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\sys14.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\sys18.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\sysphong.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\tlso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\tlso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\WanPacket.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\wdso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\wdso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\wgso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\wgso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\wlso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\wlso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\ztso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\ztso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\zxso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\zxso0.dll
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\c104[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\click[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\sys614[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\vip[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\wm[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\sys07[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\vip[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\haha[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\sysdown[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\update[1].txt
C:\NTDETECT.EXE
C:\PegeFile.pif
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.bak
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.bkk
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys
C:\WINDOWS\rising469.exe
C:\WINDOWS\system32\5E9F0D5.DLL
C:\WINDOWS\system32\AE9C6AE4.EXE
C:\WINDOWS\system32\ctfnom.exe
C:\WINDOWS\system32\drivers\scvhost.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\xyfini.dll
C:\WINDOWS\system32\xyhpri.dll
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\winow.dll
C:\WINDOWS\winow.exe

[Added COM/BHO]
{0EA66AD2-CF26-2E23-532B-B292E22F3266}=C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
{40117B96-998D-4D80-8F89-5E9DBD9F3460}-C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys
{913AF41A-21B1-131B-1BFC-D2A90DF4A2B9}-C:\WINDOWS\system32\xyhpri.dll

[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=ztsa
Data=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=rxsa
Data=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rxso.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=wlsa
Data=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlso.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=wgsa
Data=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wgso.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=TIMHost
Data=C:\WINDOWS\TIMHost.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=tlsa
Data=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlso.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=wdsa
Data=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wdso.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=zxsa
Data=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zxso.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=qjsa
Data=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qjso.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=KVP
Data=C:\WINDOWS\system32\drivers\svchost.exe

到目前為止 (2007/8/3 @ 16:44),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):
"font-weight: bold;">
wgso0.dll:
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.abh』
[ Panda ], 『Trj/Lineage.EPL』
[ Nod32 ], 『a variant of Win32/PSW.OnLineGames.NDV trojan』
[ Fortinet ], 『W32/OnLineG.ABH!tr.pws』
[ HBEDV ], 『TR/Spy.Gen』
[ Rising ], 『Trojan.PSW.Win32.OnlineGames.del』
[ Ewido ], 『Trojan.OnLineGames.abh』
wlso0.dll:
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.qo』
[ Panda ], 『Trj/Lineage.EOU』
[ Nod32 ], 『Win32/PSW.OnLineGames.NDB trojan』
[ Fortinet ], 『W32/Gampass.A!tr.pws』
[ HBEDV ], 『TR/Spy.Gen』
[ Rising ], 『Trojan.PSW.Win32.OnlineGames.dfr』
[ Ewido ], 『Trojan.OnLineGames.qo』
ztso0.dll:
[ Symantec ], 『Infostealer』
[ Kaspersky ], 『Trojan-PSW.Win32.Nilage.bjp』
[ McAfee ], 『PWS-LegMir.dll』
[ Panda ], 『Trj/Lineage.EOT』
[ Nod32 ], 『probably a variant of Win32/Genetik trojan』
[ Fortinet ], 『W32/OnLineG.BJP!tr.pws』
[ HBEDV ], 『TR/Spy.Gen』
[ Rising ], 『Trojan.PSW.Win32.OnlineGames.dfh』
[ Ewido ], 『Trojan.Nilage.bjp』
zxso0.dll:
[ Symantec ], 『Infostealer.Perfwo』
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.qo』
[ Panda ], 『Trj/Lineage.EOU』
[ Nod32 ], 『a variant of Win32/PSW.OnLineGames.NDV trojan』
[ Fortinet ], 『W32/Gampass.A!tr.pws』
[ HBEDV ], 『TR/Spy.Gen』
[ Rising ], 『Trojan.PSW.Win32.WorldOnline.ja』
[ Ewido ], 『Trojan.OnLineGames.qo』
zxso.exe:
[ Microsoft ], 『PWS:Win32/Lmir.gen!J』
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.qo』
[ Panda ], 『Trj/Lineage.EOU』
[ Nod32 ], 『probably a variant of Win32/PSW.Agent.NDP trojan』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/PSW.OnLineGames.QO.28″
[ Norman ], 『Trojan W32/OnLineGames.IGA』
[ Ewido ], 『Trojan.Small.cf』
5E9F0D5.dll:
[ Microsoft ], 『Backdoor:Win32/Popwin.gen!A』
[ Kaspersky ], 『Backdoor.Win32.Agent.ahj』
[ McAfee ], 『BackDoor-DKA』
[ Nod32 ], 『probably a variant of Win32/Genetik trojan』
[ Fortinet ], 『BDoor.DKA!tr.bdr』
[ HBEDV ], 『BDS/Exaal.45056″
[ Rising ], 『Trojan.IMMSG.Win32.TBMSG.jg』
autorun.inf:
[ McAfee ], 『Generic!atr』
haha[1].js:
[ Alpha_Gen ], 『Possible_EncScr』
[ Kaspersky ], 『PAK:JSPack, PAK:JSPack, unknown format.』
microsofts.vbs:
[ HBEDV ], 『VBS/Nowed.1″
NTDETECT.EXE:
[ HBEDV ], 『VBS/Nowed.1″
qjso0.dll:
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.bs』
[ Panda ], 『Trj/Lineage.EOU』
[ Nod32 ], 『a variant of Win32/PSW.OnLineGames.NAZ trojan』
[ Fortinet ], 『W32/OnLineG.BS!tr.pws』
[ HBEDV ], 『TR/Spy.Gen』
[ Rising ], 『Trojan.PSW.Win32.OnlineGames.del』
[ Ewido ], 『Trojan.OnLineGames.bs』
qjso.exe:
[ Symantec ], 『Infostealer』
[ Microsoft ], 『PWS:Win32/Lmir.gen!J』
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.bs』
[ Panda ], 『Trj/Lineage.EOU』
[ Nod32 ], 『probably a variant of Win32/PSW.Agent.NDP trojan』
[ Fortinet ], 『W32/OnLineGames.BS!tr.pws』
[ HBEDV ], 『TR/PSW.OnLineGames.BS.277″
[ Norman ], 『Trojan W32/OnLineGames.IGC』
[ Ewido ], 『Trojan.OnLineGames.bs』
rxso0.dll:
[ Symantec ], 『Infostealer.JiangHu』
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.abv』
[ Panda ], 『Trj/Lineage.EOU』
[ Nod32 ], 『a variant of Win32/PSW.OnLineGames.NBD trojan』
[ Fortinet ], 『W32/OnLineGames.ABV!tr.pws』
[ HBEDV ], 『TR/Spy.Gen』
[ Rising ], 『Trojan.PSW.Win32.OnlineGames.djd』
sys07[1].htm:
[ Alpha_Gen ], 『Possible_EncScr』
[ HBEDV ], 『HEUR/Exploit.HTML』
[ Rising ], 『Hack.Exploit.HTML.Vml.q』
sys11.exe:
[ Microsoft ], 『[->(FSG-v2.0)]:TrojanDropper:Win32/Dowque.A』
[ Kaspersky ], 『PAK:FSG, Trojan-PSW.Win32.Agent.mi』
[ McAfee ], 『[0000b200.EXE]:PWS-QQGame』
[ Panda ], 『Trj/QQpass.AIV』
[ Nod32 ], 『probably a variant of Win32/PSW.QQPass.VD trojan』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/PSW.Steal.46695″
[ Norman ], 『Security Risk Suspicious_F.gen』
[ Ewido ], 『Dropper.Small』
sys614[1].js:
[ Alpha_Gen ], 『Possible_EncScr』
sysphong.exe:
[ Kaspersky ], 『Packed.Win32.NSAnti.r』
[ Panda ], 『Bck/Hupigon.AZG』
[ Nod32 ], 『Win32/Pacex.Gen virus』
[ Fortinet ], 『W32/NSAnti.R』
[ HBEDV ], 『TR/PCK.NSAnti.R.114″
[ Norman ], 『Security Risk W32/NSAnti.WK』
SysWin64.Jmp:
[ Microsoft ], 『[->(FSG-v2.0)]:TrojanDropper:Win32/Dowque.A』
[ Kaspersky ], 『PAK:FSG, Trojan-PSW.Win32.Agent.mi』
[ McAfee ], 『[0000b200.EXE]:PWS-QQGame』
[ Panda ], 『Trj/QQpass.AIV』
[ Nod32 ], 『probably a variant of Win32/PSW.QQPass.VD trojan』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/PSW.Steal.46695″
[ Norman ], 『Security Risk Suspicious_F.gen』
[ Ewido ], 『Dropper.Small』
SysWin64.Sys:
[ Microsoft ], 『PWS:Win32/Qqhook.gen!A』
[ Kaspersky ], 『Trojan-PSW.Win32.Agent.mi』
[ McAfee ], 『PWS-QQGame』
[ HBEDV ], 『TR/PSW.Steal.46695″
[ Rising ], 『Trojan.PSW.Win32.QQPass.qop』
TIMHost.dll:
[ Symantec ], 『Infostealer.Multigame』
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.adm』
[ McAfee ], 『PWS-Zhengtu.dll』
[ Panda ], 『Trj/Lineage.ERY』
[ Fortinet ], 『W32/OnLine.ADM!tr.pws』
[ HBEDV ], 『TR/PSW.OnLineGames.adm.4″
[ Rising ], 『Trojan.PSW.Win32.RocOnline.ay』
TIMHost.exe:
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.adm』
[ McAfee ], 『[00001a60.EXE]:PWS-Zhengtu.dll』
[ Panda ], 『Trj/Lineage.ERY』
[ Nod32 ], 『a variant of Win32/PSW.OnLineGames.YA trojan』
[ Fortinet ], 『W32/OnLine.ADM!tr.pws』
[ HBEDV ], 『TR/PSW.OnLineGame.YF』
[ Norman ], 『Trojan W32/OnLineGames.JBD』
[ Rising ], 『Trojan.PSW.Win32.RocOnline.ay』
[ Ewido ], 『Trojan.Small』
tlso0.dll:
[ Symantec ], 『Infostealer.Gampass』
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.bs』
[ Panda ], 『Trj/Lineage.EOU』
[ Nod32 ], 『probably a variant of Win32/PSW.OnLineGames.NDV trojan』
[ Fortinet ], 『W32/OnLineG.BS!tr.pws』
[ HBEDV ], 『TR/Spy.Gen』
[ Rising ], 『Trojan.PSW.Win32.Agent.pn』
[ Ewido ], 『Trojan.OnLineGames.bs』
wdso0.dll:
[ Symantec ], 『Infostealer.Gampass』
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.bs』
[ Panda ], 『Trj/Lineage.EOU』
[ Nod32 ], 『probably a variant of Win32/PSW.OnLineGames.NDV trojan』
[ Fortinet ], 『W32/OnLineG.BS!tr.pws』
[ HBEDV ], 『TR/Spy.Gen』
[ Rising ], 『Trojan.PSW.Win32.OnlineGames.dqn』
[ Ewido ], 『Trojan.OnLineGames.bs』
wdso.exe:
[ Symantec ], 『Infostealer.Gampass』
[ Microsoft ], 『PWS:Win32/Lmir.gen!J』
[ Kaspersky ], 『Trojan-PSW.Win32.OnLineGames.bs』
[ Panda ], 『Trj/Lineage.EOU』
[ Nod32 ], 『probably a variant of Win32/PSW.Agent.NDP trojan』
[ Fortinet ], 『suspicious』
[ HBEDV ], 『TR/PSW.OnLineGames.BS.276″
[ Norman ], 『Trojan W32/OnLineGames.IGP』
[ Ewido ], 『Trojan.Small.cf』

惡意程式, 網站安全 | 瀏覽數:759 | 3 迴響 »

國際網球雜誌中文版網站被植入惡意連結

2007 年 08 月 03 日 – 16:59:00

國際網球雜誌中文版網站被植入惡意連結,此惡意程式為 TSPY_MARAN 或 TR/PSW.OnLineGames 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\avp.exe

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\ani1[1].css
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\11[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\41[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\4[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\mystat[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od3mdi.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (C:\WINDOWS\system32\od3mdi.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (C:\WINDOWS\system32\od3mdi.dll)

到目前為止 (2007/8/2 @ 15:26),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

update1[1].exe:
[ Symantec ], 『W32.Gammima』
[ Kaspersky ], 『PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, Trojan-PSW.Win32.OnLineGames.dr』
[ Fortinet ], 『W32/OnLineGames.DR!tr.pws』
[ HBEDV ], 『TR/PSW.OnLineGames.DR.180″

惡意程式, 網站安全 | 瀏覽數:535 | 0 迴響 »

長昇運動生活網網站被植入惡意連結

2007 年 08 月 03 日 – 16:53:00

長昇運動生活網網站被植入惡意連結,此惡意程式為 TSPY_MARAN 或 TR/PSW.OnLineGames 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[DLL injection]
C:\WINDOWS\java\9F9A49B50B15.dll

[Added file]
C:\Documents and Settings\Administrator\Desktop\1.bat
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\11[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\ani1[1].css
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\4[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\41[1].htm
C:\WINDOWS\java\9F9A49B50B15.dll
C:\WINDOWS\java\9F9A49B50B15.exe

[ Added COM/BHO ]
{BBEA12CD-C2D6-428C-B433-06BA9EC859ED}-C:\WINDOWS\java\9F9A49B50B15.dll

到目前為止 (2007/8/2 @ 15:25),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

9F9A49B50B15.dll:
[ Alpha_Gen ], 『Possible_Infostl』
[ Beta_Gen ], 『Possible_Infostl』
[ Microsoft ], 『PWS:Win32/Gamania.gen!B』
[ Kaspersky ], 『PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, PAK:PE_Patch.MaskPE, Trojan-PSW.Win32.OnLineGames.dr』
[ Panda ], 『Suspicious file』
[ Fortinet ], 『W32/OnLineGames.DR!tr.pws』
[ HBEDV ], 『TR/PSW.OnLineGames.DR.181″
9F9A49B50B15.exe:
[ Symantec ], 『W32.Gammima』
[ Kaspersky ], 『PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, Trojan-PSW.Win32.OnLineGames.dr』
[ Fortinet ], 『W32/OnLineGames.DR!tr.pws』
[ HBEDV ], 『TR/PSW.OnLineGames.DR.180″
update1[1].exe:
[ Symantec ], 『W32.Gammima』
[ Kaspersky ], 『PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, Trojan-PSW.Win32.OnLineGames.dr』
[ Fortinet ], 『W32/OnLineGames.DR!tr.pws』
[ HBEDV ], 『TR/PSW.OnLineGames.DR.180″

惡意程式, 網站安全 | 瀏覽數:505 | 0 迴響 »

全球華人行銷知識庫網站被植入惡意連結

2007 年 08 月 01 日 – 07:46:00

全球華人行銷知識庫網站被植入惡意連結,此惡意程式為 PWS-QQPass 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒 (此惡意程式應該會偷帳號與密碼)。(感謝網友通知)

惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:

執行之後,有下面的行為:

[DLL injection]
C:\WINDOWS\java\4C8687D225CD.dll

[Added file]
C:\Documents and Settings\Administrator\Desktop\1.bat
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\stinit[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\1[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\mian[1].exe
C:\WINDOWS\java\4C8687D225CD.dll
C:\WINDOWS\java\4C8687D225CD.exe

[Added COM/BHO]
{349E37A1-4C07-409F-83E5-36213268854B}-C:\WINDOWS\java\4C8687D225CD.dll

到目前為止 (2007/7/31 @ 23:51),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

1[1].htm:
[ Microsoft ], 『Exploit:HTML/Expascii.gen』
[ McAfee ], 『ObfuscatedHtml』
[ Fortinet ], 『HTML/ASCII.gen!exploit』
4C8687D225CD.dll:
[ Alpha_Gen ], 『Possible_Infostl』
[ Beta_Gen ], 『Possible_Infostl』
[ Microsoft ], 『PWS:Win32/Gamania.gen!B』
[ McAfee ], 『PWS-QQPass』
4C8687D225CD.exe:
[ Alpha_Gen ], 『Possible_Infostl』
[ Beta_Gen ], 『Possible_Infostl』
[ Microsoft ], 『PWS:Win32/Wowsteal.gen!A』
[ Kaspersky ], 『Trojan-PSW.Win32.Magania.jq』
[ McAfee ], 『New Malware.x !!』
[ Fortinet ], 『suspicious』
[ Norman ], 『[Heuristic Sandbox detection]:Virus W32/Malware』
mian[1].exe:
[ Alpha_Gen ], 『Possible_Infostl』
[ Beta_Gen ], 『Possible_Infostl』
[ Microsoft ], 『PWS:Win32/Wowsteal.gen!A』
[ Kaspersky ], 『Trojan-PSW.Win32.Magania.jq』
[ McAfee ], 『New Malware.x !!』
[ Fortinet ], 『suspicious』
[ Norman ], 『[Heuristic Sandbox detection]:Virus W32/Malware』

惡意程式, 網站安全 | 瀏覽數:573 | 4 迴響 »

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).