大砲開講 :: 痞客邦 ::

Mar 16 Fri 2007 09:31
寶雅生活館網站被植入惡意連結

寶雅生活館網站被植入惡意連結，此惡意程式為 PE_LOOKED (應該會感染執行檔)，最近有瀏覽這個網頁的網友 (這個網站包含廠商交易平台)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼，你可以搜尋 PE_LOOKED 就知道)。(Credit: Jimau)

**請幫忙通知他們，謝謝**

惡意連結是放置在很多網頁 (Thumbs.js, 01.asp, 02.asp, 03.asp, 04.asp, 05.asp ...) 中的：

惡意程式碼的一部份為：

而且，這個網站被當成增加下面網站流量的工具：

執行之後，有下面的行為：

[Added process]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\WINDOWS\Logo1_.exe (有 Watchdog 的功能)

[DLL injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe (注入 svchost.exe 的執行程序)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\index[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\Thumbs[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].exe
C:\WINDOWS\Logo1_.exe
C:\WINDOWS\RichDll.dll
C:\_desktop.ini (每個目錄皆會產生 _desktop.ini，內容為日期)

[Modified file]
感染所有執行檔 (如果要清除這些檔案，除非防毒軟體的病毒碼增加清除這些感染檔案的特徵碼)

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

RichDll.dll:
[ Trend ], "TROJ_LOOKED.WL"
svchost.exe:
[ Trend ], "PE_LOOKED.WL-O"
svchost.exe:
[ Trend ], "PE_LOOKED.WL-O"
update[1].exe:
[ Trend ], "PE_LOOKED.WL-O"
Logo1_.exe:
[ Trend ], "PE_LOOKED.WL-O"
index[1].htm:
[ HBEDV ], "HEUR/Exploit.HTML"
[ Ewido ], "Hijacker.Linker.e"

rogerspeaking 發表在痞客邦留言(1) 人氣()

個人分類：惡意程式

Mar 16 Fri 2007 09:28
惡意程式與 Windows 系統進階教育訓練課程

由於國內教育訓練中心所開設的課程，都比較偏向認證課程，對想學習這方面的人，是蠻有幫忙的，但對於想學一些比較進階課程的人來說，幫助並不大。有鑑於此，我們實驗室 (Malware-Test Lab) 針對企業 (只開放企業包班，因為課程費用比較高) 開設一系列的資訊安全 (比較偏向惡意程式)、Windows 系統核心與 Windows 驅動程式設計等課程，有興趣的企業、公家單位與軍事單位等，可以利用作者資訊欄中的電子郵件聯絡我。

微軟 Windows 系統相關課程 (比照 OSR，開設相關課程)：

Windows OS Architecture and Internals (3 天)

Introduction to Windows Driver Development (3 天)

Kernel Debugging for Windows (3 天)

Writing WDM Kernel Mode Drivers for Windows (3 天)

Advanced Driver Topics for Windows (2 天)

Advanced Driver Development for Windows (4 天)

Developing File System Mini-Filters for Windows (5 天)

客製化課程 (依據客戶需求)

其他，請參考 OSR

靜態惡意程式分析課程 (Static Malware Analysis)：

Static Malware Analysis Level I (Introduction level) (2 days): Introduction level will cover basic assembly language, PE format, virus types, and basic encryption/infection/evolution/EPO techniques and analysis tools. If the attendants are already knowledgable in these areas, then they should skip this.

Static Malware Analysis Level II (Intermediate level) (2 days): The intermediate level will cover packers, anti-debugging/anti-heuristics/anti-emulation techniques. Half of the class time will be in lecture and half in lab. In the lab, the attendants will analyze different viruses.

Static Malware Analysis Level III (Advanced level) (2~3 days): The advanced level will cover advanced anti-debugging/anti-heuristics/anti-emulation techniques. Most of class time will be spent in lab. Discussion will be held often to keep everyone up to progress and to identify the techniques used. Two or more viruses will be analyzed each day.

rogerspeaking 發表在痞客邦留言(7) 人氣()

個人分類：教育訓練

Mar 16 Fri 2007 01:15
艾維士租車旅遊網被植入惡意連結

艾維士租車旅遊網被植入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(Credit: Jimau)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\yt.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\mystat[1].htm
C:\Program Files\Common Files\search.dll
C:\qing.exe
C:\WINDOWS\system32\winCreate.exe

[ Added COM/BHO ]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

search.dll:
[ Trend ], “TSPY_LINEAGE.FCQ”
update[1].exe:
[ Trend ], “TSPY_LINEAGE.FCQ”
winCreate.exe:
[ Trend ], “TSPY_LINEAGE.FCQ”
qing.exe:
[ Trend ], “TSPY_LINEAGE.FCQ”

rogerspeaking 發表在痞客邦留言(1) 人氣()

個人分類：惡意程式

Mar 16 Fri 2007 01:13
長江廣告公司網站被植入惡意連結

長江廣告公司網站被植入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(Credit: Jimau)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\8566D7.dll (注入某些執行程式如檔案總管和 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh0703.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gz0701x[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\614[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gx[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\a[1].htm
C:\WINDOWS\Debug\UserMode\8566D7.dll
C:\WINDOWS\Debug\UserMode\8566D7.exe

[Added COM/BHO]
{93001DB8-F229-43F3-B533-9F546F1AD1EA}-C:\WINDOWS\debug\userMode\8566D7.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

8566D7.dll:
[ Trend ], "TSPY_LINEAGE.EXN"
8566D7.exe:
[ Trend ], "TSPY_LINEAGE.EXN"
gh0703.exe:
[ Trend ], "TSPY_LINEAGE.EXN"
gz0701x[1].exe:
[ Trend ], "TSPY_LINEAGE.EXN"
614[1].htm:
[ HBEDV ], "JS/Psyme.D"
[ Ewido ], "Downloader.Agent.m"
a[1].htm:
[ HBEDV ], "JS/Psyme.D"
[ Ewido ], "Downloader.Agent.m"
gh[1].htm:
[ Alpha_Gen ], "Heur_Infrm-2"
gx[1].exe:
[ Alpha_Gen ], "Test_DLDR-2"
[ Kaspersky ], "PAK:FSG, PAK:PE_Patch"
[ Sophos ], "Mal/Packer"
[ Panda ], "Suspicious file"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Malware"
[ Fprot ], "[->(FSG)]:Infection: Possibly a new variant of W32/new-malware!Maximus"-----

rogerspeaking 發表在痞客邦留言(0) 人氣()

個人分類：惡意程式

Mar 15 Thu 2007 12:18
臺灣省政府全球資訊網被植入惡意連結

臺灣省政府全球資訊網被植入惡意連結，此惡意程式為 Lineage 變種。不知道哪些公務人員會上這個網站，最好小心囉。另外，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(Credit: Jimau)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\yt.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\update[1].exe
C:\Program Files\Common Files\search.dll
C:\qing.exe
C:\WINDOWS\system32\winCreate.exe

[Added COM/BHO]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

search.dll:
[ Trend ], “TSPY_LINEAGE.FCQ”
update[1].exe:
[ Trend ], “TSPY_LINEAGE.FCQ”
winCreate.exe:
[ Trend ], “TSPY_LINEAGE.FCQ”
qing.exe:
[ Trend ], “TSPY_LINEAGE.FCQ”-----

rogerspeaking 發表在痞客邦留言(0) 人氣()

個人分類：惡意程式

Mar 15 Thu 2007 05:18
亞洲唱片網頁被植入惡意連結

更新資訊：已修復

亞洲唱片網頁被植入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(Credit: Jimau)

**請幫忙通知他們，謝謝**

惡意連結是放置在很多網頁中 (vip.asp, about.asp, dealer.asp 等等，全部檢查一遍，比較保險) 的：

惡意程式的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\Program Files\Common Files\Microsoft Shared\winmain.dll (注入某些執行程式如檔案總管和 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\System.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\jia[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\ttbbss123[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\tw[1].htm
C:\Program Files\Common Files\Microsoft Shared\winmain.dll
C:\WINDOWS\winxp.exe

[Added COM/BHO]
{D3B94911-CB71-476A-8015-A15C0D40F3D8}-C:\Program Files\Common Files\Microsoft Shared\winmain.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

ttbbss123[1].exe:
[ Trend ], "TSPY_LINEAGE.EWE"
tw[1].exe:
[ Trend ], "TSPY_LINEAGE.EWE"
winmain.dll:
[ Trend ], "TSPY_LINEAGE.EWE"
winxp.exe:
[ Trend ], "TSPY_LINEAGE.EWE"
System.exe:[ Trend ], "TSPY_LINEAGE.EWE"
tw[1].htm:
[ Kaspersky ], "Trojan-Downloader.VBS.Small.cw"
[ Sophos ], "Mal/Psyme-B"
[ HBEDV ], "JS/Dldr.Nilag.bij.1"
[ Norman ], "Trojan JS/Exploit!ADODB.Stream.A"
[ Ewido ], "Not-A-Virus.Exploit.HTML.Mht"
jia[1].htm:
[ Sophos ], "Mal/Psyme-B"
[ Norman ], "Trojan JS/Exploit!ADODB.Stream.A"
[ Ewido ], "Not-A-Virus.Exploit.HTML.Mht"

rogerspeaking 發表在痞客邦留言(1) 人氣()

個人分類：惡意程式

Mar 14 Wed 2007 11:23
Windows Server 2003 Service Pack 2 提供下載

微軟最近發布 Windows Server 2003 Service Pack 2，只針對 32 位元 x86 的系統，有興趣的人，可以參考 KB914961 或 Windows Server 2003 Service Pack 2 (32-bit x86)。-----

rogerspeaking 發表在痞客邦留言(0) 人氣()

個人分類：產業新聞

Mar 14 Wed 2007 10:54
台灣 Nikon 網站又被植入惡意連結

台灣 Nikon 網站又被植入惡意連結，此惡意程式為 Lineage 變種。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\8566D7.dll (注入某些執行程序如檔案總管和 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh0703.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\614[1].htm
C:\WINDOWS\Debug\UserMode\8566D7.dll
C:\WINDOWS\Debug\UserMode\8566D7.exe

[Added COM/BHO]
{93001DB8-F229-43F3-B533-9F546F1AD1EA}-C:\WINDOWS\debug\userMode\8566D7.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

614[1].htm:
[ Trend ], "JS_PSYME.ADM"
8566D7.dll:
[ Alpha_Gen ], "Possible_Lineage"
[ Symantec ], "Infostealer.Lineage"
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Nod32 ], "probably a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "HEUR/Malware"
[ Grisoft ], "Trojan horse PSW.Generic3.OFY"
8566D7.exe:
[ Alpha_Gen ], "Possible_Lineage"
[ Symantec ], "Infostealer.Gampass"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Malware"
[ Grisoft ], "Trojan horse PSW.Generic3.OFX"
gh0703.exe:
[ Alpha_Gen ], "Possible_Lineage"
[ Symantec ], "Infostealer.Gampass"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Malware"
[ Grisoft ], "Trojan horse PSW.Generic3.OFX"
gh[1].htm:
[ Alpha_Gen ], "Heur_Infrm-2"

rogerspeaking 發表在痞客邦留言(2) 人氣()

個人分類：惡意程式

Mar 14 Wed 2007 09:36
余雪鴻開運館 (希易資訊) 網站被植入惡意連結

更新資訊：已移除此惡意連結

余雪鴻開運館 (希易資訊) 網站被植入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(Credit: 小砲)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\yt.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\update[1].htm
C:\Program Files\Common Files\search.dll
C:\qing.exe
C:\WINDOWS\system32\winCreate.exe

[Added COM/BHO]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

search.dll:
[ Trend ], “TSPY_LINEAGE.FCQ”
update[1].exe:
[ Trend ], “TSPY_LINEAGE.FCQ”
winCreate.exe:
[ Trend ], “TSPY_LINEAGE.FCQ”
qing.exe:
[ Trend ], “TSPY_LINEAGE.FCQ”

rogerspeaking 發表在痞客邦留言(3) 人氣()

個人分類：惡意程式

Mar 14 Wed 2007 04:50
Timesadwards 時報廣告俱樂部網頁又被植入惡意連結

Timesadwards 時報廣告俱樂部網頁又被植入惡意連結，此惡意程式為 Lineage 變種。最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(Credit: Jimau)

**請幫忙通知他們，謝謝**

惡意連結是放置在時報廣告金像獎、時報亞太廣告獎等網頁 (太多了，使用字串搜尋比較快) 中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\yt.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\help[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].exe
C:\Program Files\Common Files\search.dll
C:\qing.exe
C:\WINDOWS\system32\winCreate.exe

[ Added COM/BHO ]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

search.dll:
[ Trend ], "TSPY_LINEAGE.FCQ"
update[1].exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
winCreate.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
qing.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"

rogerspeaking 發表在痞客邦留言(2) 人氣()

個人分類：惡意程式

Mar 14 Wed 2007 04:24
時報旅遊 (中國時報旅行社) 網站被植入惡意連結

時報旅遊 (中國時報旅行社) 網站被植入惡意連結。這是一個旅遊資訊網站，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(Credit: Jimau)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[Added process]
C:\WINDOWS\avp.exe

[DLL injection]
C:\WINDOWS\system32\od2media.dll (注入 IE 的執行程序)

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\1111[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\3[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

1111[1].exe:
[ Trend ], "Possible_Virus"
avp.exe:
[ Trend ], "TROJ_MARAN.DJ"
od2media.dll:
[ Trend ], "Possible_Virus"
3[1].htm:
[ McAfee ], "Exploit-ObscuredHtml"

rogerspeaking 發表在痞客邦留言(2) 人氣()

個人分類：惡意程式

Mar 13 Tue 2007 09:23
高雄市政府教育局國教輔導團網頁被植入惡意連結

更新資訊：惡意連結已經移除

高雄市政府教育局國教輔導團網頁被植入惡意連結，此惡意程式為灰鴿子。這是一個教育資訊網站，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦 (此惡意連結有可能不會執行)。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(感謝 Yayow)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁 (index.htm) 中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\system32.DLL (注入某些執行程序如 IE 等)
C:\WINDOWS\SYSTEM32KEY.DLL (注入某些執行程序如檔案總管和 IE 等)

[Added service]
NAME: System Application
DISPLAY: System Application
FILE: C:\WINDOWS\system32.exe

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\mm2[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\2[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\mm[1].htm
C:\WINDOWS\system32.DLL
C:\WINDOWS\system32.exe
C:\WINDOWS\SYSTEM32KEY.DLL
C:\WINDOWS\SYSTEM32KEY.log

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

system32.exe:
[ Trend ], "BKDR_HUPIGON.DDF"
2[1].exe:
[ Trend ], "BKDR_HUPIGON.DDF"
mm2[1].htm:
[ HBEDV ], "JS/Dldr.Agent.20356"
[ Ewido ], "Downloader.Agent.m"
mm[1].htm:
[ Kaspersky ], "Trojan-Downloader.VBS.Small.dq"
[ Ewido ], "Downloader.Agent.m"
system32.DLL:
[ Alpha_Gen ], "BKDR_HUP1GON.GEN"
[ Kaspersky ], "PAK:PE_Patch.MaskPE, Type_Win32"
[ Sophos ], "[FILE:0000]:Mal/GrayBird"
[ Alwil ], "Win32:Hupigon-JF [Trj]"
[ Nod32 ], "a variant of Win32/Hupigon trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "BDS/Hupigon.Gen"
SYSTEM32KEY.DLL:
[ Alpha_Gen ], "BKDR_HUP1GON.GEN"
[ Kaspersky ], "PAK:PE_Patch.MaskPE, Type_Win32"
[ Sophos ], "Mal/GrayBird"
[ Alwil ], "Win32:Hupigon-JF [Trj]"
[ Nod32 ], "probably a variant of Win32/Hupigon trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "BDS/Hupigon.Gen"

rogerspeaking 發表在痞客邦留言(2) 人氣()

個人分類：惡意程式

Mar 13 Tue 2007 04:26
旅遊書籤網站被植入惡意連結

旅遊書籤網站被植入惡意連結，此惡意程式為 Lineage 變種。這是一個旅遊資訊網站，最近有瀏覽這個網頁的網友 (今日超過 600 人瀏覽)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(感謝 Jimau)

**請幫忙通知他們，謝謝**

惡意連結是放置在首頁中的：

惡意程式碼的一部份為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\1D4F6.dll (注入某些執行程序如檔案總管和 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh0703.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gh[1].htm
C:\WINDOWS\Debug\UserMode\1D4F6.dll
C:\WINDOWS\Debug\UserMode\1D4F6.exe

[Added COM/BHO]
{81549ADC-2F24-4784-8124-F1075D770539}-C:\WINDOWS\debug\userMode\1D4F6.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

1D4F6.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
gh0703.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
gh[1].htm:
[ Alpha_Gen ], "Heur_Infrm-2"
1D4F6.dll:
[ Alpha_Gen ], "Possible_Lineage"
[ Microsoft ], "PWS:Win32/Lineage.gen!A"
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Nod32 ], "a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "HEUR/Malware"
614.htm:
[ HBEDV ], "JS/Psyme.D"
[ Ewido ], "Downloader.Agent.m"-----

rogerspeaking 發表在痞客邦留言(0) 人氣()

個人分類：惡意程式

Mar 13 Tue 2007 03:57
203 人力銀行網站遭駭

203 人力銀行網站遭駭，不曉得使用者資訊有沒有被偷呢？另外，也要注意的是這個網站是有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出問題的關鍵，而不是只是移除這些遭駭的內容。

**請幫忙通知他們，謝謝**

首頁：

遭放置入侵證據之網頁：

至於詳細的資訊，可以參考 zone-h。-----

rogerspeaking 發表在痞客邦留言(0) 人氣()

個人分類：安全漏洞

Mar 13 Tue 2007 03:36
嘉義縣政府圖書館服務網遭駭

嘉義縣政府圖書館服務網遭駭。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出問題的關鍵，而不是只是移除這些遭駭的內容。

**請幫忙通知他們，謝謝**

首頁：

遭放置入侵證據之網頁：

至於詳細的資訊，可以參考 zone-h。-----

rogerspeaking 發表在痞客邦留言(0) 人氣()

個人分類：安全漏洞

«1 ...13 1415 16 17 ...32 »

月曆

«	五月 2024					»
日	一	二	三	四	五	六
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

最新迴響

新聞交換(RSS)

我的連結

測試評比

Malware-Test Lab

部落格

大砲開講 @ Blogger

文章彙整

所有文章列表

文章分類

參觀人氣

本日人氣：
累積人氣：

QR Code

qrcode