大砲開講

更新資訊：打了兩通電話，剛剛再檢查他們的網頁，確定已經移除了，不過，我想他們處理的速度應該要改進。

繼中華民國銀行公會之後，財團法人證券投資人及期貨交易人保護中心首頁被植入惡意連結，不曉得這個單位重不重要呢？我想應該很重要吧，那投資人的臉應該都綠了一半，竟然，這麼容易被入侵，他們的網管人員真的要上緊發條了，請各位暫時不要瀏覽這個網站，等我們確認他們已經修復後，會在此更新訊息 (這隻病毒是灰鴿子，具有遠端控制能力)。(感謝 Jimau)

**請幫忙通知他們，謝謝**





惡意連結放置在首頁：



惡意程式的一部份為：



執行之後，有下面的行為：

[Added process]
C:\Program Files\wsw\wsw.cc

[Added service]
NAME: Automatic Updates
DISPLAY: Automatic Updates
FILE: C:\Program Files\wsw\wsw.cc

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\kljsdown1125.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\111[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\222[1].exe
C:\Program Files\wsw\wsw.cc



到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

222[1].exe:
[ Alwil ], "Win32:Graybird-AD [Trj]"
[ Nod32 ], "a variant of Win32/Hupigon trojan"
[ Fortinet ], "suspicious"
[ Ewido ], "Backdoor.Hupigon.awp"
kljsdown1125.exe:
[ Alwil ], "Win32:Graybird-AD [Trj]"
[ Nod32 ], "a variant of Win32/Hupigon trojan"
[ Fortinet ], "suspicious"
[ Ewido ], "Backdoor.Hupigon.awp"
wsw.cc:
[ Alwil ], "Win32:Graybird-AD [Trj]"
[ Nod32 ], "a variant of Win32/Hupigon trojan"
[ Fortinet ], "suspicious"
[ Ewido ], "Backdoor.Hupigon.awp"
111[1].exe:
[ Nod32 ], "probably unknown NewHeur_PE virus [7]"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Crypted"
3.htm-malscript:
[ McAfee ], "VBS/Psyme"
[ Fortinet ], "VBS/Psyme.CY!tr"
[ Norman ], "Trojan VBS/Psyme.AE"
7.htm-malscript:
[ McAfee ], "[000001ca.vbs]:Exploit-MS06-014"
[ Norman ], "Trojan VBS/Psyme.AK"
[ Grisoft ], "Trojan horse Downloader.Small.57.V"
index.htm-malscript:
[ Ewido ], "Downloader.Agent.m"
1.htm-malscript:
[ McAfee ], "VBS/Psyme"

Rustock.B Rootkit 使用蠻多惡意程式常用或不常用的技術，例如加殼技術、ADS (Alternative Data Stream) 等，以隱藏自己的行為。



Frank Boldewin 分析了這隻 Rootkit，並且把分析的結果記錄下來，寫成一篇文章，分享給大家 (包含樣本、程式碼等)，有興趣的人或想學習如何分析惡意程式的人 (有點困難就是了)，可以參考 A Journey to the Center of the Rustock.B Rootkit。

社團法人台北市野鳥學會首頁又被植入惡意連結，與之前的惡意程式是同一家族，但版本已經更新，請各位暫時不要瀏覽這個網站，等我們確認他們已經修復後，會在此更新訊息 (這隻病毒會偷帳號與密碼)。

**請幫忙通知他們，謝謝**





惡意連結是放置在首頁中：



惡意程式碼的一部份為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Help\45AD9FCA.dll (注入某些執行程序如檔案總管等)

[Added file]
C:\WINDOWS\Help\45AD9FCA.dll
C:\WINDOWS\Help\45AD9FCA.exe

[Added COM/BHO]
{79921D3F-7537-463E-9E38-CD503A8FA485}-C:\WINDOWS\help\45AD9FCA.dll



到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

45AD9FCA.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
45AD9FCA.dll:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Nod32 ], "probably a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "HEUR/Malware"

喜多喜卡網首頁又被植入惡意連結，與之前的惡意程式是同一家族，但版本已經更新，請各位暫時不要瀏覽這個網站，等我們確認他們已經修復後，會在此更新訊息 (這隻病毒會偷帳號與密碼)。

**請幫忙通知他們，謝謝**





惡意程式連結放置在首頁中：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\FDC1E2.dll (注入某些執行程序如檔案總管等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gt0114.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gt0119[1].exe
C:\WINDOWS\Debug\UserMode\FDC1E2.dll
C:\WINDOWS\Debug\UserMode\FDC1E2.exe

[Added COM/BHO]
{B12A3D44-5A7C-48BF-98C8-7E29E5FEF7EB}-C:\WINDOWS\debug\userMode\FDC1E2.dll



到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

gt0119[1].exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Sophos ], "[FILE:0000]:Mal/Packer"
[ HBEDV ], "HEUR/Malware"
[ Rising ], "[>>PECompact2.x]:Trojan.PSW.Lineage.msb"
FDC1E2.dll:
[ Kaspersky ], "PAK:NSPack"
[ Sophos ], "Mal/Packer"
[ Nod32 ], "probably a variant of Win32/PSW.Lineage.DN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Malware"
[ Rising ], "[>>NsPack]:Trojan.PSW.Lineage.msb"
FDC1E2.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Sophos ], "[FILE:0000]:Mal/Packer"
[ HBEDV ], "HEUR/Malware"
[ Rising ], "[>>PECompact2.x]:Trojan.PSW.Lineage.msb"
gt0114.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Sophos ], "[FILE:0000]:Mal/Packer"
[ HBEDV ], "HEUR/Malware"
[ Rising ], "[>>PECompact2.x]:Trojan.PSW.Lineage.msb"-----

台中市電腦商業同業公會 (TCCA) 首頁又被植入惡意連結。在我的測試環境，此惡意連結會讓瀏覽器當掉，但我不曉得是不是在各位的環境也一樣，請各位小心。

**請幫忙通知他們，謝謝**





惡意連結放置在首頁中：



-----

AutoRuns for Windows v8.61 支援一個新的功能「比較 (compare)」，可以與之前的結果做差異性的比較，另外，修正與 Windows 98/Me 相容性的問題。





這個工具蠻好用的，它可以查看哪些程式會自動執行 (AutoRun 或 AutoStart)，亦即，當作業系統啟動後，哪些程式會自動執行 。

MS Word 2000 昨天又被發現零時差攻擊 (Zero-Day Attack)。



受影響軟體或系統，請參考 Microsoft Word 2000 Unspecified Code Execution Vulnerability。利用此漏洞的病毒為 Trojan.Mdropper.W。

請各位注意，不要亂開啟來路不明的檔案。

其他資訊，請參考 New Microsoft Word 2000 Vulnerability 或 Microsoft Security Advisory (932114)。
-----

剛剛想瀏覽 IThome 線上新聞和部落格，但他們的伺服器回應「Connect: Lost connection to MySQL server during query」，想必是掛了，不曉得發生什麼事，不會是因為地震的關係吧！







-----

中華歐亞基金會首頁又被植入惡意連結，他們網管人員可要加油了，請各位小心 (此惡意程式具有遠端控制能力)。

**請幫忙通知他們，謝謝**





惡意連結為：



惡意程式的一部分為：



執行之後，有下面的行為：

[Added process]
C:\Program Files\Internet Explorer\iexplore.exe (開啟兩個在工作列上看不見的 IE)

[DLL injection]
C:\WINDOWS\system32\ctfman.exe (注入檔案總管，而且，它會不讓其他的程式對他進行存取)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\duge[1].exe
C:\WINDOWS\system32\ctfman.exe



到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

ctfman.exe:
[ Kaspersky ], "PAK:NSPack, Backdoor.Win32.Prorat.ae"
[ Sophos ], "Mal/Packer"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Crypted"
[ Ewido ], "Downloader.Small"
[ Grisoft ], "Trojan horse BackDoor.Generic4.PIR"
duge[1].exe:
[ Kaspersky ], "PAK:NSPack, Backdoor.Win32.Prorat.ae"
[ Sophos ], "Mal/Packer"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Crypted"
[ Ewido ], "Downloader.Small"
[ Grisoft ], "Trojan horse BackDoor.Generic4.PIR"

剛剛我們的服務信箱收到一封名為「請Service轉寄這一封反YAHXX的真相報導!!」的電子郵件，寄件者是偽造的，應該是替「皮吉網」打廣告的垃圾郵件，這也未免太卑庇了吧，請各位小心，不要上當了。





電子郵件內容圖檔：

文化創意產業首頁被植入惡意連結，不過，這個惡意連結現在斷線中，不曉得什麼時候會上線，請各位小心。另外，這也表示這個網站有安全漏洞，他們的資安或網管人員需要查一查問題在哪，否則，之後應該還會被植入其他惡意程式。(感謝 Jimau)

**請幫忙通知他們，謝謝**





惡意連結是放置在 index.asp 檔案中，惡意連結為：

最近 Goolge 官方發佈 Google 網上論壇 (Google Groups) 升格為正式版，它就像 BBS 或 論壇，只是多了一些自訂功能，還有就是 Google 所提供的其他服務。





今天我要談論的主題是廣告垃圾信。也不知道是怎麼一回事，晃來晃去，竟然，晃到 Google 網上論壇，剛開始只瀏覽某些特定群組，感覺發表的主題怎麼跟這些群組不太相關，再瀏覽其他的群組之後，晃然大悟，怎麼這麼多廣告垃圾信 (如下)，有沒有搞錯，正常的主題沒幾個，廣告垃圾信，倒是一推。







如果 Google 再不快點找出對策的話，應該有很多人都不會去使用它吧！另外，就像 Blog Spam 一樣，Google Groups Spam 也是一種商機囉，想做的廠商，趕快動工。

我想這個還是要從法律面著手，制定相關法律 (立法委員該做正事了吧)，否則，很難阻止這種行為。

-----

HyTV 電視王網頁被植入惡意連結，好像是熊貓燒香病毒，中毒後，CPU 的使用量一直維持在 100%，而且，無法在安全模式清除它們，請各位特別小心。(感謝 MR)



**請幫忙通知他們，謝謝**





惡意連結為：



惡意程式的一部分為：



執行之後，有下面的行為：

[Added process]
C:\WINDOWS\system32\drivers\nvscv32.exe
C:\WINDOWS\iexpl0re.exe
C:\WINDOWS\iexp1ore.exe

[Deleted process]
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\msiexec.exe

[DLL injection]
C:\WINDOWS\system32\drivers\clipsrv.dll (注入檔案總管)
C:\WINDOWS\system32\LgSyzr.dll (注入某些執行程序如檔案總管等)
C:\WINDOWS\system32\windhcp.ocx (注入檔案總管)

[Added service]
NAME: WinDHCPsvc
DISPLAY: Windows DHCP Service
FILE: C:\WINDOWS\system32\\rundll32.exe windhcp.ocx,input

[Modified service]
NAME: ALG
DISPLAY: Application Layer Gateway Service
STATUS: SERVICE_STOPPED
FILE: C:\WINDOWS\System32\alg.exe

NAME: ClipSrv
DISPLAY: ClipBook
STATUS: SERVICE_STOPPED
FILE: C:\WINDOWS\system32\drivers\clipsrv.exe

NAME: IpNat
DISPLAY: IP Network Address Translator
STATUS: SERVICE_STOPPED
FILE: System32\DRIVERS\ipnat.sys

NAME: MSIServer
DISPLAY: Windows Installer
STATUS: SERVICE_STOPPED
FILE: C:\WINDOWS\System32\msiexec.exe /V

NAME: Schedule
DISPLAY: Task Scheduler
STATUS: SERVICE_STOPPED
FILE: C:\WINDOWS\System32\svchost.exe -k netsvcs

NAME: SharedAccess
DISPLAY: Windows Firewall/Internet Connection Sharing (ICS)
STATUS: SERVICE_STOPPED
FILE: C:\WINDOWS\System32\svchost.exe -k netsvcs

[Deleted service]
NAME: wscsvc
DISPLAY: Security Center
FILE: C:\WINDOWS\System32\svchost.exe -k netsvcs

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\ProcessExplorerNt\Desktop_.ini
C:\Program Files\Desktop_.ini
C:\Program Files\MSN Gaming Zone\Desktop_.ini
C:\Program Files\Online Services\Desktop_.ini
C:\Program Files\Uninstall Information\Desktop_.ini
C:\Program Files\xerox\Desktop_.ini
C:\Program Files\xerox\nwwia\Desktop_.ini
C:\WINDOWS\cs.exe
C:\WINDOWS\ie.exe
C:\WINDOWS\iexp1ore.exe
C:\WINDOWS\iexpl0re.exe
C:\WINDOWS\my.exe
C:\WINDOWS\system32\drivers\clipsrv.dll
C:\WINDOWS\system32\drivers\clipsrv.exe
C:\WINDOWS\system32\drivers\nvscv32.exe
C:\WINDOWS\system32\drivers\usbme.sys
C:\WINDOWS\system32\LgSym.dll
C:\WINDOWS\system32\LgSyzr.dll
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\windhcp.ocx
C:\WINDOWS\wl.exe
C:\WINDOWS\wm.exe
C:\WINDOWS\zt.exe

[Added registry]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run||Value=nvscv32||Data=C:\WINDOWS\system32\drivers\nvscv32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run||Value=rb7bmm9||Data=C:\WINDOWS\iexpl0re.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run||Value=3m0qi9w9||Data=C:\WINDOWS\iexp1ore.exe
HKU\S-1-5-21-515967899-583907252-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run||Value=nvscv32||Data=C:\WINDOWS\system32\drivers\nvscv32.exe
HKU\S-1-5-21-515967899-583907252-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run||Value=rb7bmm9||Data=C:\WINDOWS\iexpl0re.exe
HKU\S-1-5-21-515967899-583907252-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run||Value=3m0qi9w9||Data=C:\WINDOWS\iexp1ore.exe



到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

ie.exe:
[ Trend ], "TSPY_AGENT.JCJ"
iexp1ore.exe:
[ Trend ], "TSPY_LINEAGE.HAZ"
nvscv32.exe:
[ Trend ], "PE_FUJACKS.CA-O"
svchost.exe:
[ Trend ], "PE_FUJACKS.CA-O"
windhcp.ocx:
[ Trend ], "TROJ_AGENT.KFD"
wl.exe:
[ Trend ], "TSPY_LINEAGE.DRA"
clipsrv.exe:
[ Trend ], "TSPY_AGENT.JCJ"
cs.exe:
[ Trend ], "TSPY_LINEAGE.DRU"
worm.exe:
[ Trend ], "PE_FUJACKS.CA-O"
iexpl0re.exe:
[ Symantec ], "Bloodhound.NsAnti"
[ Sophos ], "Mal/Packer"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSAnti.Gen"
[ Ahnlab ], "infected by Win32/NSAnti.suspicious"
LgSym.dll:
[ Symantec ], "Bloodhound.NsAnti"
[ Sophos ], "Mal/Packer"
[ Nod32 ], "a variant of Win32/PSW.Agent.NBX trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSAnti.Gen"
[ Ahnlab ], "infected by Win32/NSAnti.suspicious"
LgSyzr.dll:
[ Symantec ], "Infostealer.Gampass"
[ Kaspersky ], "PAK:UPX"
[ Nod32 ], "probably a variant of Win32/PSW.Agent.NBX trojan"
[ HBEDV ], "TR/Dldr.Agent.OL.1"
my.exe:
[ Kaspersky ], "PAK:UPX"
[ McAfee ], "[GenUnp\0003a6c8.EXE]:Downloader-BAF.dll, [GenUnp\0002e0c8.EXE]:Downloader-BAF"
[ Nod32 ], "[UPX v12_m2]:unpack error"
[ HBEDV ], "HEUR/Crypted"
wm.exe:
[ Sophos ], "Mal/Packer"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
[ Ahnlab ], "infected by Win32/NSAnti.suspicious"
zt.exe:
[ McAfee ], "New Malware.w !!"
[ Sophos ], "Mal/Packer"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
[ Ahnlab ], "infected by Win32/NSAnti.suspicious"

華視網頁被植入惡意連結，已經很多次了，不過，這個惡意連結現在斷線中，不曉得什麼時候會上線，請各位小心。另外，這也表示這個網站有安全漏洞，他們的資安或網管人員需要查一查問題在哪，否則，之後應該還會被植入其他惡意程式。(感謝 無言)

**請幫忙通知他們，謝謝**





惡意連結放置在 general.js 和 marquee.js 兩個檔案中，惡意連結為：



hxxp://www.hiet.tw 這個連結是有作用的，只是又被轉到另一個連結，而此連結現在離線中。 另外，hiet.tw 這個網域是註冊在：

昨天很多電子媒體都相繼報導「雅虎併無名，競爭者聯合嗆聲反對」，倒底是怎麼一回事呢？



報導中說，入口網站業者 PChome、webs-tv 及蕃薯藤同聲反對雅虎奇摩併購無名小站，原因是壟斷台灣網路市場。

以下是我的看法：

台灣有太多的壟斷市場如鐵路、石油、電信等等，不是嗎？在商言商，企業生存之道，增加自己的競爭力，提高客戶滿意度，進而增加獲利 (使股東高興)，否則，就是併購競爭者，以形成獨大局面，這應該是很正常的企業運作模式，我倒不覺得奇怪。我倒是要反問這些反對者，你們不也是為自己的利益著想嗎？難道是為了使用者嗎？如果以後你們變成老大，想必也一定會這麼做，不是嗎？

在這裡，我比較關心的是使用者的權益問題。第一、如果對使用者有什麼承諾的話，應該履行承諾，否則，使用者會唾棄你。第二、如果合併結果，對使用者是好的 (事後才能證明)，那也沒問題，如果不好，市場自然會淘汰他們。

前一陣子，很熱門的話題「時代（Time）雜誌選出 You 做風雲人物」，每個企業口口聲聲說，要提高顧客滿意度 (知易行難喔)，真的是這樣嗎？我倒是沒感受到這種服務，不是嗎？不曉得各位有感受到嗎？

最後，併購在國外是很正常的，因為企業要生存，要有市場競爭力。反觀國內，彼此相互批評，不知道問題的關鍵在什麼地方 (難道，雅虎一開始就是最大的嗎？)，所以，我想「顧客至上」應該只是一個口號而已，不是嗎？

結論是天底下沒有白吃的午餐，自己的權益要自己爭取。

更新資訊：

當Yahoo!奇摩就等於網路時，網路世界還是自由的嗎？－－對於Yahoo!奇摩併購無名小站的質疑

1月23日記者會全程錄影