大砲開講

藍色小舖網站遭駭，使得網站被植入惡意檔案，而且，已經被當成跳板 (即時通訊惡意程式 4)。另外，這也顯示這個網站的確有安全漏洞，他們的資安或網管人員需要查一查問題在哪裡，否則，之後應該還是會被植入其他惡意程式。

**請幫忙通知他們，謝謝**



惡意檔案是放置在：



HTTP 連線記錄情形，如下圖所示：

昨天在微風論壇上，看見網友 (亞勾鏈) 張貼一則疑似即時通訊惡意程式的文章，如下圖所示：



沒錯，這是惡意程式的連結，所以，還是老生常談的一句話「不要亂執行來路不明的連結」。

惡意連結為：



經過轉換後，真實網址為：



惡意程式碼的一部分為：



執行之後，有下面的行為：

[Added process]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe

[DLL injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe (注入 svchost.exe 的執行程序)
C:\WINDOWS\Debug\UserMode\ACC27FC0.dll (注入某些執行程序如檔案總管等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\tpp[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\syn[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\top[1].exe
C:\WINDOWS\Debug\UserMode\ACC27FC0.dll
C:\WINDOWS\Debug\UserMode\ACC27FC0.exe
C:\WINDOWS\system32\a.exe

[Added COM/BHO]
{04E1F9F4-5B00-410B-882D-6E2EF34A7EF3}-C:\WINDOWS\debug\userMode\ACC27FC0.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

ACC27FC0.dll:
[ Kaspersky ], "PAK:NSPack, PAK:PE_Patch.MaskPE"
[ Nod32 ], "probably a variant of Win32/PSW.Lineage.DN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Malware"
[ Ikarus ], "Backdoor.Win32.PcClient.GV"
ACC27FC0.exe:
[ Kaspersky ], "PAK:UPack, PAK:PE_Patch.MaskPE"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/PSW.Lineage.VX"
[ Norman ], "Virus W32/Viking.EQ"
svchost.Exe:
[ Kaspersky ], "PAK:UPack, PAK:PE_Patch.MaskPE"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/PSW.Lineage.VX"
[ Norman ], "Virus W32/Viking.EQ"
syn[1].htm:
[ Panda ], "Exploit/IESlice.A"
[ HBEDV ], "HTML/Dldr.Agen.AJ.8"
[ Ewido ], "Downloader.Agent.m"
[ Grisoft ], "Virus identified VBS/Psyme.N"
top[1].exe:
[ Kaspersky ], "PAK:UPack, PAK:PE_Patch.MaskPE"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/PSW.Lineage.VX"
[ Norman ], "Virus W32/Viking.EQ"
tpp[1].exe:
[ Kaspersky ], "PAK:UPack, PAK:PE_Patch.MaskPE"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/PSW.Lineage.VX"
[ Norman ], "Virus W32/Viking.EQ"
a.exe:
[ Kaspersky ], "PAK:UPack, PAK:PE_Patch.MaskPE"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/PSW.Lineage.VX"
[ Norman ], "Virus W32/Viking.EQ"
index.html:
[ HBEDV ], "HTML/Dldr.Agen.AJ.8"
[ Ewido ], "Downloader.Agent.m"
[ Grisoft ], "Virus identified VBS/Psyme.N"

華視網站遭駭，使得網站被植入惡意檔案。這已經不知道是第幾次華視網站遭駭客入侵，而且，已經被當成跳板 (手機王網頁又被植入惡意連結)。另外，這也顯示這個網站的確有安全漏洞，他們的資安或網管人員需要查一查問題在哪裡 (不要在鴕鳥心態？)，否則，之後應該還會被植入其他惡意程式 (講了這麼多次，好像沒什麼作用)。

**請幫忙通知他們，謝謝**



惡意檔案是被放置在：



請盡速移除，謝謝。

手機王網頁又被植入惡意連結。這已經是第三次，他們的網頁被植入惡意連結，這是購物網站，真是不應該，而且，正逢過年期間，他們的網管應該也在休假，所以，我猜測中毒的網友應該不少 (受害者可以索賠嗎？)。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷使用者帳號與密碼，很可能也會偷信用卡卡號，而且，有 Rootkit 的行為)。

**請幫忙通知他們，謝謝**



惡意連結是放置在 v7_index.js 檔案中：



上面的連結是在華視的網站上，華視的網站實在是太容易被入侵了，太令人失望了。

惡意程式碼的一部分為 (使用 malformed ascii bypassing 的技術，看起來像是毫無意義，實際上，它是可以被執行的)：



執行之後，有下面的行為：

[Added hidden process] (隱藏執行程序)
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe

[DLL injection]
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe (注入 svchost.exe)
C:\WINDOWS\Debug\UserMode\299E575.dll (注入某些執行程序如檔案總管等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\CiKE.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\taskmgr.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\test[1].exe
C:\logex.txt
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eCompress.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eImgConverter.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eLIB.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\HideProc.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\internet.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\krnln.fnr
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\Nhook.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\shell.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe
C:\WINDOWS\Debug\UserMode\299E575.dll
C:\WINDOWS\Debug\UserMode\299E575.exe

[Added COM/BHO]
{77D9BC5E-7942-499F-9AA0-D1BA226D2788}-C:\WINDOWS\debug\userMode\299E575.dll

[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Value=svchost, Data=C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

CiKE.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
eCompress.fne:
[ Kaspersky ], "PAK:NSPack"
[ Fortinet ], "PossibleThreat!024073"
[ HBEDV ], "HEUR/Crypted"
[ Norman ], "Trojan W32/PWStealer.gen1"
eImgConverter.fne:
[ Kaspersky ], "PAK:NSPack"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Crypted"
[ Norman ], "Trojan W32/PWStealer.gen1"
eLIB.fne:
[ Kaspersky ], "PAK:NSPack, Trojan.Win32.Agent.agf"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Crypted"
[ Norman ], "Trojan W32/PWStealer.gen1"
HideProc.dll:
[ Kaspersky ], "Trojan.Win32.Agent.agf"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
[ Norman ], "Trojan W32/PWStealer.gen1"
internet.fne:
[ Kaspersky ], "PAK:NSPack, Trojan-Clicker.Win32.Flyst.d"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Crypted"
[ Norman ], "Trojan W32/PWStealer.gen1"
[ Ewido ], "Trojan.Lineage.alo"
krnln.fnr:
[ Kaspersky ], "PAK:NSPack"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Drop.Lmir.16.B"
[ Norman ], "Trojan W32/PWStealer.gen1"
Nhook.dll:
[ Kaspersky ], "PAK:NSPack, Trojan.Win32.Agent.agf"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Crypted"
[ Norman ], "Trojan W32/PWStealer.gen1"
shell.fne:
[ Kaspersky ], "PAK:NSPack"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Lmir.16"
[ Norman ], "Trojan W32/PWStealer.gen1"
svchost.exe:
[ Kaspersky ], "Trojan-Downloader.Win32.Agent.bgz"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
[ Norman ], "Trojan W32/PWStealer.gen1"
taskmgr.exe:
[ Alpha_Gen ], "TEST_Downloader1"
[ Kaspersky ], "Trojan-Downloader.Win32.Agent.aqy"
[ Nod32 ], "a variant of Win32/Delf.AG worm"
[ Fortinet ], "W32/Agent.AQY!tr.dldr"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
[ Norman ], "Trojan W32/PWStealer.gen1"
[ Ikarus ], "Backdoor.Win32.Hupigon.BV"
[ Grisoft ], "Trojan horse Generic3.AIS"
test[1].exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
299E575.dll:
[ Alpha_Gen ], "Possible_Lineage"
[ Beta_Gen ], "Possible_Lineage"
[ Symantec ], "Infostealer.Lineage"
[ Kaspersky ], "PAK:NSPack"
[ Nod32 ], "probably a variant of Win32/PSW.Lineage.DN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Malware"
[ Norman ], "Trojan W32/Hupigon.gen7"
[ Ikarus ], "Backdoor.Win32.PcClient.GV"
299E575.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"

逢甲大學資工所行動計算實驗室網頁遭駭。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出問題的關鍵，而不是只是移除這些遭駭的內容。

**請幫忙通知他們，謝謝**

首頁：



遭置換網頁：



至於詳細的資訊，可以參考 zone-h。-----

靜宜大學地理資訊系統網頁遭駭。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出問題的關鍵，而不是只是移除這些遭駭的內容。

**請幫忙通知他們，謝謝**

首頁：



遭置換網頁：



至於詳細的資訊，可以參考 zone-h。-----

國立中央圖書館台灣分館網頁遭駭。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出問題的關鍵，而不是只是移除這些遭駭的內容。

**請幫忙通知他們，謝謝**

首頁：



遭置換網頁：



至於詳細的資訊，可以參考 zone-h。-----

台灣基督長老教會忠明教會網頁遭駭。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出問題的關鍵，而不是只是移除這些遭駭的內容。

**請幫忙通知他們，謝謝**

首頁：



遭置換網頁：



至於詳細的資訊，可以參考 zone-h。-----

Firefox 對 DOM (Document Object Model) 屬性 "location.hostname" 處理不當，使得攻擊者有機會取得使用者含有機密資料的 Cookie 檔案。

此漏洞的關鍵在於 Null 字元 ("\x00")。當攻擊者將惡意網站的 "location.hostname"設為 "attackersite.com\x00trustedsite.com"，Firefox 會認為是 "trustedsite.com"，而將使用者的 cookie 檔案送到 "attackersite.com"。

受影響版本：2.0.0.1 或 其他 (未測試過)

如果你想要觀看此漏洞的展示，請看這裡。

雖然，你可以找到暫時性的解決方案，但對一般使用者來說，可能不會設定，所以，還是使用 Firefox 提供的自動更新，如下圖所示：



另外，再一次提醒各位，請勿瀏覽來路不明的網站。

至於詳細的資訊，請參考：

Zalewski cookie setting / same-domain bypass vulnerability

Firefox Same-Domain Bypass Vulnerability (NULL Character)

Firefox 對 DOM (Document Object Model) 屬性 "location.hostname" 處理不當，使得攻擊者有機會取得使用者含有機密資料的 Cookie 檔案。

此漏洞的關鍵在於 Null 字元 ("\x00")。當攻擊者將惡意網站的 "location.hostname"設為 "attackersite.com\x00trustedsite.com"，Firefox 會認為是 "trustedsite.com"，而將使用者的 cookie 檔案送到 "attackersite.com"。

受影響版本：2.0.0.1 或 其他 (未測試過)

如果你想要觀看此漏洞的展示，請看這裡。

雖然，你可以找到暫時性的解決方案，但對一般使用者來說，可能不會設定，所以，還是使用 Firefox 提供的自動更新，如下圖所示：



另外，再一次提醒各位，請勿瀏覽來路不明的網站。

至於詳細的資訊，請參考：

Zalewski cookie setting / same-domain bypass vulnerability

Firefox Same-Domain Bypass Vulnerability (NULL Character)

Apple 發布修補四個 the Month of Apple Bug (MoAB) 安全漏洞，如下所示：

1. Finder (MOAB-09-01-2007)
   
   
   
   • 更新軟體：Mac OS X v10.4.8 與 Mac OS X Server v10.4.8
   
   
   • 影響：載入嵌入惡意程式的磁碟影像檔可能造成應用程式當機或程式碼自動執行
   
   
   
   


2. iChat (MOAB-29-01-2007)
   
   
   
   • 更新軟體：Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.8 和 Mac OS X Server v10.4.8
   
   
   • 影響：區域網絡中的發動攻擊者可能造成 iChat 當機
   
   
   
   


3. iChat (MOAB-20-01-2007)
   
   
   
   • 更新軟體：Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.8 和 Mac OS X Server v10.4.8
   
   
   • 影響：瀏覽嵌有惡意程式網站，而造成程式碼自動執行
   
   
   
   


4. UserNotification (MOAB-22-01-2007)
   
   
   
   • 更新軟體：Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.8 和 Mac OS X Server v10.4.8
   
   
   • 影響：本機使用者可藉由不正當方式取得系統使用權限
   
   
   
   

至於詳細的資訊，請參考「關於 2007-002 安全更新」。-----

SONY 社會關懷網網頁遭駭。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出問題的關鍵，而不是只是移除這些遭駭的內容。

**請幫忙通知他們，謝謝**

首頁：



遭置換網頁：



至於詳細的資訊，可以參考 zone-h。-----

開眼e週報網頁被植入惡意連結，又是 Lineage 變種。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。(感謝 Vincent)

**請幫忙通知他們，謝謝**



惡意連結是放置在 up.js 的檔案中：



惡意程式碼的一部分為 (使用 malformed ascii bypassing 的技術)：



執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\update.exe
C:\Program Files\Common Files\search.dll
C:\WINDOWS\system32\winCreate.exe

[ Added COM/BHO ]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

search.dll:
[ TRend ], "TSPY_LINEAGE.BNA"
update.exe:
[ TRend ], "TSPY_LINEAGE.BNA"
winCreate.exe:
[ TRend ], "TSPY_LINEAGE.BNA"
update.html:
[ TRend ], "HTML_DLOADER.LAE"-----

西洋情人節當天，微軟發佈另一個 Word 安全漏洞，此漏洞允許攻擊者執行遠端程式碼。目前沒有修補程式。

受影響軟體：

• Microsoft Office 2000 (Word 2000)


• Microsoft Office XP (Word 2002)

至於其他詳細的資訊，請參考 Microsoft Security Advisory (933052)。-----

**請幫忙通知他們，謝謝**

剛剛進入我的部落格時，感覺開啟頁面速度很慢，也覺得怪怪的，因為首頁頁面有些部分已經開啟，但有些部分一直在接收資料，如下圖所示：



大約經過 20 秒後，整個頁面才完整開啟，原本以為是 Google AdSense 的問題，但觀察其他網友的部落格，並不會出現這樣的情形，讓我覺得很納悶，決定繼續追查到底是哪裡出問題，最後查到部落格觀察 (Blog Look) 的小貼紙，它就是兇手，因為部落格觀察網站掛了 (連 Ping 都 Ping 不到)。

如果有使用「部落格觀察小貼紙」的部落格，應該也會連帶地受到影響 (開啟頁面很慢)。我已經暫時把它移除 (想不到其他方法)，不曉得各位有其他更好的做法嗎？

另外，部落格觀察網站已經掛了蠻多次，希望網站的管理者能好好的改善網站的穩定度，因為它會影響其他的部落格。