昨天中華民國銀行公會網頁被植入惡意程式碼,但他們修復的很快,但今天又被植入相同的惡意程式碼 (真是糟糕,只是移除網頁的惡意程式部份,而不是找出怎麼進來的,然後,把漏洞補起來),目前還在,請各位小心囉 (放假了,不曉得有多少人會中獎)。



homepage3.png

惡意程式碼是被放置在 top.asp 檔案中:

location.png

而程式碼為:

code7.png

執行之後,有下列行為:

[DLL Injection]
C:\WINDOWS\Help\A8644260.dll (注入某些執行程序如檔案總管等)

[Added file]

C:\Documents and Settings\Administrator\Local Settings\Temp\update.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\I69Q72L4\gmsex[1].exe
C:\WINDOWS\Help\A8644260.dll
C:\WINDOWS\Help\A8644260.exe

[Added BHO]
{DD8BC00C-4CB1-43C3-BC48-4FBBB53A2618}-C:\WINDOWS\help\A8644260.dll



注意:大部分防毒軟體都偵測不到,除了下列:

A8644260.dll:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Nod32 ], "probably a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "HEUR/Malware"
A8644260.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
gmsex[1].exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
update.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"

rogerspeaking 發表在 痞客邦 留言(2) 人氣()

▲top
台灣電子地圖服務網首頁被植入惡意程式碼,至今尚未修復,但因為放置惡意程式的網站目前離線,所以,連上這個網站的使用者不會被感染,以後會不會,我就不確定了,請各位小心囉。



homepage1.png

程式碼是放置在:

code5.png

rogerspeaking 發表在 痞客邦 留言(2) 人氣()

▲top
幻影小築論壇被植入惡意程式碼,不是在首頁,而是在進入每個主題時,會連上 hxxp://www.plmq.com/script/adcount.do?sn=ad001,但因為放置惡意程式的網站目前離線,所以,連上這個網站的使用者不會被感染,以後會不會,我就不確定了,請各位小心囉。(感謝 Jimau)



homepage2.png

這個註冊網域與上一篇是一樣的:

whois-1.png

因為被植入的網站是論壇,所以,它應該是被放置在論壇的樣板 (Template) 裡,否則,不會每個主題都會有連上那個網頁,而程式碼是放置在:

code6.png

-----

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
中央大學遠距教學網又被植入新的惡意程式碼,尚未修復,請各位小心囉。



homepage.png

連上首頁後,會載入一個檔案new_banner_3.asp,這個檔案裡有一段VBScript會去下載一些檔案下來執行。

file.png

code4.png

執行後有下列的行為:

[Dll Injection]
C:\WINDOWS\java\classes\66A75.dll (注入某些執行程序如 IE等)

[Added file]

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\top[1].exe
C:\logex.txt (記錄檔)
C:\Program Files\chinadu.exe
C:\WINDOWS\java\classes\66A75.dll
C:\WINDOWS\java\classes\66A75.exe

[ Added BHO ]
{C8D81FE1-EF3D-4755-BA05-0BE477385679}-C:\WINDOWS\java\classes\66A75.dll

注意:很多防毒軟體偵測不到。

-----

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
這篇文章是從IThome產業動態看到的,本來是想找原始出處,但一直找不到,希望廠商看到了這篇部落格,能提供資訊給我囉。以下是從報導中擷取一小段:

整合式威脅管理領導廠商Fortinet能準確偵查病毒, 測試結果優於賽門鐵克、F-Secure、Sophos、McAfee和卡巴司基。

整合式威脅管理解決方案業界先驅與領導廠商Fortinet,宣佈電腦安全軟體FortiClient在由知名獨立防毒實驗室AV-Test.org主持,採現存所有病毒檔案進行的測試中,以其準確偵測網路威脅的卓越效能領先群倫。

AV-Test.org以模擬後門、傀儡程式(bot)、蠕蟲和特洛依攻擊,建立一系列的防毒測試。Fortinet總成績名列第四,超越其他29家廠商,包括賽門鐵克、F-Secure、Sophos和卡巴司基。FortiClient?則在偵測潛在蠕蟲攻擊項目位居第一。AV-Test.org是目前業界唯一的獨立實驗室,經常為防毒廠商收集和提供效能評量標準,評估各種產品的防毒能力。

Fortinet產品行銷副總裁Freddy Mangum表示,「AV-Test.org的測試結果,進一步肯定了Fortinet以整合式安全防護偵查病毒和抵禦惡意攻擊的方法。Fortinet 長期以來即主張,單一功能的解決方案不足以有效察查並阻止以網路和應用程式為基礎的攻擊。我們對這項結果感到非常榮幸,因為它再次印證Fortinet優質的產品、研究與方法。」

讓人最納悶的地方在於所有詳細的資訊都沒有公佈,也無從得知他們是如何測試這些產品,真令人大失所望。 :(

rogerspeaking 發表在 痞客邦 留言(2) 人氣()

▲top
昨天CNET報導國內某SOC疑遭駭客入侵,一直找不到倒底是哪家公司,雖然國內SOC沒有多少個,但有誰知道嗎?以下是擷取一小段報導:

國內某家SOC昨(25)日疑似出現網站遭入侵,並植入危及機密資料的木馬程式。

這家SOC網站首頁及其他幾個部份今天被發現被置入特定圖案,顯示遭到外人入侵,安全專家表示。安全專家同時發現,這家安全業者也可能被植入惡意程式,賦予遠端駭客在網站上為所欲為的權利,包括竊取客戶資料。

所謂SOC (Security Operations Center)是指一種安全委外服務業者,甚至可以做到由外24x7不間斷監控企業網路流量,以便偵測可能的駭客入侵或蠕蟲爆發行為。

首先發現該問題的安全顧問已經通報這家安全服務業者。他表示,由於可在Google上搜尋到問題網頁,顯示被置換已有一段時間。

但另一名安全顧問則相信,置換首頁之外,入侵者可能做了其他事,因為該網站被發現可能遭植入木馬程式。它可讓駭客在網站上做任何想做的事,「看你是要搜尋密碼檔或資料庫內的資料,或是執行任何指令,」CA安全技術顧問林宏嘉說。

該業者已於晚上將被修改的首頁恢復、並將木馬清除、漏洞修補掉。

全文出處: 國內某SOC疑遭駭客入侵

rogerspeaking 發表在 痞客邦 留言(2) 人氣()

▲top
最近看了台灣的卡巴斯基公佈了一份防毒軟體效能報告,在好奇心驅使之下,想要尋找相關的文章,皇天不負苦心人,終於找到了「CNET 2007 防毒軟體效能評比」,測試的防毒軟體只有 NOD32 2.5、Kasperksy Antivirus 6、CA Anti-Virus 2007、Norton、AntiVirus 2007、BitDefender 10、McAfee VirusScan Plus 2007。



讀完之後,感覺蠻失望的,原因是他們沒有說明的很詳細,好像霧裡看花,以下的圖是從 CNET 的報告擷取出來的:

performance1.png

performance2.png

performance3.png

performance4.png

期待各位發表您的想法。



原文來源:

CNET 2007 antivirus performance test scores

CNET 2006 antivirus performance test scores

rogerspeaking 發表在 痞客邦 留言(2) 人氣()

▲top
朱銘美術館、惠安移民(留學)首頁有惡意程式碼,尚未修復,請小心囉 !! (感謝 Jimau)
開啟朱銘美術館首頁會執行 hxxp://www.wgp.com.tw/kh/zj/index.htm,這是指到惠安移民(留學)的一個網頁。



執行之後有下列行為:

[Dll Injection]
C:\WINDOWS\Debug\UserMode\ghosttop.dll (注入某些執行程序如 explorer.exe)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\ghosttop1220.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\ghosttop1220[1].exe
C:\WINDOWS\Debug\UserMode\ghosttop.dll
C:\WINDOWS\Debug\UserMode\ghosttop.exe

[Added BHO]
{5EEEA400-799B-4A55-8F17-E03795052FD0}-C:\WINDOWS\debug\userMode\ghosttop.dll

home5.png

url.png

code3.png

home11.png

-----

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
你可以從下列的網址下載趨勢科技 RootkitBuster Beta (英文版):
http://www.trendmicro.com/download/rbuster.asp



RootkitBuster 支援下列的功能:
1. 掃描及清除隱藏檔案。
2. 掃描及清除隱藏註冊表。
3. 掃描及清除隱藏執行程序。
4. 掃描及清除隱藏驅動程式。
5. 掃描及清除 SSDT。

rogerspeaking 發表在 痞客邦 留言(1) 人氣()

▲top
Rootkit 到底是什麼呢?
為什麼越來越多人在關心及討論 Rootkit 呢?
為什麼越來越多的惡意程式及間諜軟體利用 Rootkit 的技術,以達成特定的目的呢?
為什麼 IT/IS 管理人員這麼擔心 Rootkit 的入侵呢?
為什麼 Rootkit 已經成為資安管理最大風險所在呢?
那 Rootkit 又會對個人及企業帶來什麼危害呢?



Malware-Test Lab 在95年12月16日特別舉辦「Rootkit Internals Workshop」,由 Malware-Test Lab 的資安專家為您介紹及講解 Rootkit 的技術,讓您了解 Rootkit 的行為及危害程度,並告訴您如何辨識、清除及防護您的系統,不受到 Rootkit 的干擾。

研討會講義已開放下載,如果對這個主題有興趣的人,可以從下面的連結下載檔案:

Rootkit Internals Workshop 講義

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
奧迪(Audi)、台中市電腦商業同業公會(TCCA)、台灣區自行車輸出業同業公會(TBEA)首頁或其他網頁都有惡意程式碼,被注入下列的連結,到目前為止,尚未修復,請小心囉 (已用電子郵件通知他們了)。(感謝 Jimau 告知)



hxxp://www.misofthelp.com/help/help.htm
code.png
不過,這個程式 (update.exe) 在 Windows XP SP2 上執行會發生錯誤,其他的,我沒試過。

home2.png

home3.png

home4.png

error.png-----

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
IThome首頁也被植入惡意程式,到現在尚未清除,請各位小心(FireFox不會被影響)。





home1.png

惡意程式碼是藏在一個htm檔:

code1.png

code2.png

以下是執行之後的行為:

[Dll Injection]
C:\Program Files\Common Files\wincreat.dll (注入某些執行程序如 Explorer.exe 等)

[Added Files]
C:\Documents and Settings\Administrator\Local Settings\Temp\feipeng.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\update.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\help[1].htm
C:\Program Files\Common Files\wincreat.dll
C:\WINDOWS\system32\winCreate.exe

[Added BHO]
{D14CE39F-EED3-489A-948C-FCD588F831E7}-C:\Program Files\Common Files\wincreat.dll

rogerspeaking 發表在 痞客邦 留言(3) 人氣()

▲top
IThome首頁也被植入惡意程式,到現在尚未清除,請各位小心(FireFox不會被影響)。





home1.png

惡意程式碼是藏在一個htm檔:

code1.png

code2.png

以下是執行之後的行為:

[Dll Injection]
C:\Program Files\Common Files\wincreat.dll (注入某些執行程序如 Explorer.exe 等)

[Added Files]
C:\Documents and Settings\Administrator\Local Settings\Temp\feipeng.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\update.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\help[1].htm
C:\Program Files\Common Files\wincreat.dll
C:\WINDOWS\system32\winCreate.exe

[Added BHO]
{D14CE39F-EED3-489A-948C-FCD588F831E7}-C:\Program Files\Common Files\wincreat.dll

rogerspeaking 發表在 痞客邦 留言(2) 人氣()

▲top
手機王(Sogi)又被植入惡意程式碼,到現在又未被移除,請小心。



home.png

惡意程式碼是藏在一個JS檔:

code11.png
code22.PNG

code33.PNG

以下是執行之後的行為:

[Dll Injection]

C:\WINDOWS\Debug\UserMode\3083.dll (注入某些執行程序如 Explorer.exe 等)

[Added Files]

C:\Documents and Settings\Administrator\Local Settings\Temp\s.exe

C:\logex.txt (會記錄 IE 的行為)
C:\WINDOWS\Debug\UserMode\3083.dll
C:\WINDOWS\Debug\UserMode\3083.exe

[Added BHO]

{5CEA2D14-E3C1-4EA7-BCFD-C79FC6EF28A7}-C:\WINDOWS\debug\userMode\3083.dll

-----

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
Hinet直播網首頁被植入惡意程式碼,到現在為止,尚未移除,請各位小心。



homepage

惡意程式碼是藏在一個JS檔:

viruscode

viruscode1
以下是執行之後的行為:

[Dll Injection]

C:\WINDOWS\off1win.dll (注入某些執行程序如 explorer.exe等)

[Added file]

C:\Documents and Settings\Administrator\Local Settings\Temp\AdCount.com
C:\WINDOWS\off1win.dll
C:\WINDOWS\system32\on1Exe.exe

[ Added BHO ]

{894C0068-46AC-4F59-A140-EDE0DABA776C}-C:\WINDOWS\off1win.dll

rogerspeaking 發表在 痞客邦 留言(5) 人氣()

▲top
«1...293031 32