euro 歐樂旅行社網站被植入惡意連結,此惡意程式為 GrayBird 的變種,最近有瀏覽這個網頁的網友 (旅遊旺季,滿慘的吧),應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝




惡意連結是放置在首頁 (可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



執行之後,有下面的行為:

[Hidden process]
C:\Program Files\Internet Explorer\iexplore.exe (鎖住 C:\WINDOWS\Hacker.com.cn.exe)

[Added service]
NAME: GrayPigeon_Hacker.com.cn
DISPLAY: GrayPigeon_Hacker.com.cn
FILE: C:\WINDOWS\Hacker.com.cn.exe

NAME: SVKP
DISPLAY: SVKP
FILE: \??\C:\WINDOWS\system32\SVKP.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\server1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\12[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\an[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\hker[1].htm
C:\WINDOWS\Hacker.com.cn.exe
C:\WINDOWS\system32\SVKP.sys

到目前為止 (2007/5/2 @ 10:45),下面的防毒軟體可以偵測到這些惡意檔案 (除了 ANI 檔案外):

12[1].exe:
[ Microsoft ], "[->(Upack)]:TrojanSpy:Win32/Maran.gen!A"
[ Kaspersky ], "PAK:PE_Patch, PAK:UPack"
[ McAfee ], "New Malware.aj !!"
[ Sophos ], "Troj/Maran-Gen"
[ Nod32 ], "a variant of Win32/PSW.Maran trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Drop.Maran.C.2"
[ Norman ], "Security Risk W32/Suspicious_U.gen"
[ Ewido ], "Trojan.Pakes"
Hacker.com.cn.exe:
[ Microsoft ], "TrojanDropper:Win32/Hupigon.gen!A"
[ Kaspersky ], "PAK:SVKP, Backdoor.Win32.Hupigon.eko"
[ McAfee ], "BackDoor-ARR"
[ Sophos ], "Mal/GrayBird"
[ Fortinet ], "suspicious"
[ HBEDV ], "BDS/Hupigon.Gen"
[ Norman ], "Backdoor W32/Smalldoor.ANNN"
hker[1].htm:
[ Sophos ], "Mal/Psyme-A"
[ Fortinet ], "VBS/Small.CT!tr.dldr"
[ HBEDV ], "VBS/Dldr.Agent.6171"
[ Ewido ], "Downloader.Small.dk"
server1[1].exe:
[ Microsoft ], "TrojanDropper:Win32/Hupigon.gen!A"
[ Kaspersky ], "PAK:SVKP, Backdoor.Win32.Hupigon.eko"
[ McAfee ], "BackDoor-ARR"
[ Sophos ], "Mal/GrayBird"
[ Fortinet ], "suspicious"
[ HBEDV ], "BDS/Hupigon.Gen"
[ Norman ], "Backdoor W32/Smalldoor.ANNN"
SVKP.sys:
[ Fortinet ], "SPY/Joiner"

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
玉晶光電網站被植入惡意連結,此惡意程式為 Lineage 的變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外,也利用了 ANI 的安全漏洞。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: Jimau)




惡意連結是放置在首頁 (可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



執行之後,有下面的行為:

[DLL injection]
C:\WINDOWS\Debug\UserMode\32BB5B6.dll

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\m.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\help[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\laog[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\714[1].gif
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\m[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\index614[1].htm
C:\WINDOWS\Debug\UserMode\32BB5B6.dll
C:\WINDOWS\Debug\UserMode\32BB5B6.exe

[Added COM/BHO]
{F2319AD4-D519-45AC-86A7-02FE9B851F37}-C:\WINDOWS\debug\userMode\32BB5B6.dll

到目前為止 (2007/5/2 @ 10:45),下面的防毒軟體可以偵測到這些惡意檔案 (除了 ANI 檔案外):

32BB5B6.exe:
[ Trend ], "TSPY_LINEAGE.FFT"
m.exe:
[ Trend ], "TSPY_LINEAGE.FFT"
32BB5B6.dll:
[ Trend ], "TSPY_LINEAGE.FFU"
index614[1].htm:
[ HBEDV ], "VBS/Dldr.Agent.6171"

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
得利影視娛樂網被值入惡意連結,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外,也利用了 ANI 的安全漏洞。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝




惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



當此惡意程式執行之後,會產生應用程式錯誤的訊息:



執行之後,有下面的行為:

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\qsvj[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\src[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\stat[1].htm
C:\WINDOWS\~tmp6266.exe

到目前為止 (2007/5/1 @ 09:59),下面的防毒軟體可以偵測到這些惡意檔案:

除了 ANI 的樣本,其餘皆偵測不到。

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
世新廣播電台網站被值入惡意連結,此惡意程式可能為 Infostealer 的變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝




惡意連結是放置在 aboutshrs.asp (可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



執行之後,有下面的行為:

[DLL injection]
C:\WINDOWS\java\classes\66A75.dll (注入某些執行程序如檔案總管、IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\default[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\top[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\images[1].htm
C:\NTDETEC.exe
C:\WINDOWS\java\classes\66A75.dll
C:\WINDOWS\java\classes\66A75.exe

[Added COM/BHO]
{C8D81FE1-EF3D-4755-BA05-0BE477385679}-C:\WINDOWS\java\classes\66A75.dll

到目前為止 (2007/5/1 @ 10:45),下面的防毒軟體可以偵測到這些惡意檔案:

top[1].exe:
[ Trend ], "TROJ_DLOADER.PAX"
66A75.dll:
[ Trend ], "Possible_Infostl"
66A75.exe:
[ Alpha_Gen ], "Possible_Infostl"
[ Beta_Gen ], "Possible_Infostl"
[ Kaspersky ], "PAK:NSPack, PAK:PE_Patch.MaskPE"
[ Sophos ], "Mal/Packer"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
images[1].htm:
[ Ewido ], "Downloader.Agent.m"
NTDETEC.exe:
[ Alpha_Gen ], "Possible_Infostl"
[ Beta_Gen ], "Possible_Infostl"
[ Kaspersky ], "PAK:NSPack, PAK:PE_Patch.MaskPE"
[ Sophos ], "Mal/Packer"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
1[1].exe:
[ Alpha_Gen ], "Possible_Infostl"
[ Beta_Gen ], "Possible_Infostl"
[ Kaspersky ], "PAK:NSPack, PAK:PE_Patch.MaskPE"
[ Sophos ], "Mal/Packer"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
任遊留遊學網又被值入惡意連結,此惡意程式為 Lineage 的變種,最近有瀏覽這個網頁的網友 (旅遊旺季,滿慘的吧),應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外,也利用了 ANI 的安全漏洞。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝




惡意連結是放置在 mm_menu.js (可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



執行之後,有下面的行為:

[DLL injection]
C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysInfo.vxd

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gfdgj45.com
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\real[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\a[1].exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysInfo.vxd
C:\Program Files\Common Files\Microsoft Shared\MSInfo\system42.rar

[ Added COM/BHO ]
{90BC520C-9175-470E-94B8-10FD869D170B}-C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.vxd

到目前為止 (2007/5/1 @ 09:28),下面的防毒軟體可以偵測到這些惡意檔案 (除了 ANI 檔案外):

69GH0BNS.exe:
[ Trend ], "TSPY_ONLINEG.ASS"
play[1].png:
[ Trend ], "TSPY_ONLINEG.ASS"
69GH0BNS.dll:
[ Trend ], "TSPY_ONLINEG.ASS"

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
台灣 Nikon 網站被值入惡意連結,此惡意程式為 Lineage 的變種,最近有瀏覽這個網頁的網友 (旅遊旺季,滿慘的吧),應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外,也利用了 ANI 的安全漏洞。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝




惡意連結是放置在首頁 (可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



執行之後,有下面的行為:

[DLL injection]
C:\WINDOWS\Debug\UserMode\32BB5B6.dll

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\m.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\help[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\laog[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\714[1].gif
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\m[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\index614[1].htm
C:\WINDOWS\Debug\UserMode\32BB5B6.dll
C:\WINDOWS\Debug\UserMode\32BB5B6.exe

[Added COM/BHO]
{F2319AD4-D519-45AC-86A7-02FE9B851F37}-C:\WINDOWS\debug\userMode\32BB5B6.dll

到目前為止 (2007/5/1 @ 09:45),下面的防毒軟體可以偵測到這些惡意檔案 (除了 ANI 檔案外):

32BB5B6.exe:
[ Trend ], "TSPY_LINEAGE.FFT"
m.exe:
[ Trend ], "TSPY_LINEAGE.FFT"
32BB5B6.dll:
[ Trend ], "TSPY_LINEAGE.FFU"
index614[1].htm:
[ HBEDV ], "VBS/Dldr.Agent.6171"

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
台灣貿易商務網又被值入惡意連結,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外,也利用了 ANI 的安全漏洞。對於一個號稱亞太最大 B2B 網站而言,未免也太容易被入侵了吧!乾脆關站算了對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝




惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



當此惡意程式執行之後,會產生應用程式錯誤的訊息:



執行之後,有下面的行為:

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\qsvj[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\src[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\stat[1].htm
C:\WINDOWS\~tmp3464.exe

到目前為止 (2007/5/1 @ 09:59),下面的防毒軟體可以偵測到這些惡意檔案:

除了 ANI 的樣本,其餘皆偵測不到。

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
**高度危險網站:常常被植入惡意連結,列入網站黑名單,不建議瀏覽此網站**
財團法人證券投資人及期貨交易人保護中心網站又植入惡意連結,此惡意程式可能為 Infostealer 的變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外,也利用了 ANI 的安全漏洞。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝




惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



執行之後,有下面的行為:

[DLL injection]
C:\WINDOWS\Debug\UserMode\8C00D.dll (注入某些執行程序如檔案總管、IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\2007mmm.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\2007mmm[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\Help[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\614[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\ani[1].htm
C:\WINDOWS\Debug\UserMode\8C00D.dll
C:\WINDOWS\Debug\UserMode\8C00D.exe

[Added COM/BHO]
{9B2D4BBF-3EA1-49E8-A80E-4AFE3EB31CF0}-C:\WINDOWS\debug\userMode\8C00D.dll

到目前為止 (2007/5/1 @ 09:18),下面的防毒軟體可以偵測到這些惡意檔案:

8C00D.exe:
[ Trend ], "Possible_Infostl"
2007mmm.exe:
[ Trend ], "Possible_Infostl"
8C00D.dll:
[ Trend ], "Possible_Infostl"
614[1].htm:
[ HBEDV ], "VBS/Dldr.Agent.6171"

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
更新資訊:已經修復
國光假期旅遊網被值入惡意連結,防毒軟體無法真正辨識其內容,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: Jimau)




惡意連結是放置在 template_style_01.asp (可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



當執行此惡意程式之後,會產生應用程式錯誤的訊息:



執行之後,有下面的行為:

[Deleted process]
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\music[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\top[1].js
C:\WINDOWS\Help\69GH0BNS.dll
C:\WINDOWS\Help\69GH0BNS.exe

[Added COM/BHO]
{79921D3F-7537-463E-9E38-CD503A8FA485}-C:\WINDOWS\help\69GH0BNS.dll

到目前為止 (2007/4/30 @ 12:09),下面的防毒軟體可以偵測到這些惡意檔案:

69GH0BNS.exe:
[ Alpha_Gen ], "Possible_MLWR-5"
[ Sophos ], "Mal/EncPk-F"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
69GH0BNS.dll:
[ Alpha_Gen ], "Possible_MLWR-5"
[ Sophos ], "Mal/EncPk-F"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
music.png:
[ Alpha_Gen ], "Possible_MLWR-5"
[ Sophos ], "Mal/EncPk-F"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"

rogerspeaking 發表在 痞客邦 留言(2) 人氣()

▲top
更新資訊:已修復 (2007/4/30 @ 21:30)
年代售票網站又被值入惡意連結,防毒軟體無法真正辨識其內容,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對於一個這樣的網站,竟然這麼容易被入侵,會員的資料也許早已經被竊取了,難道他們不需要檢討嗎對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝




惡意連結是放置在首頁 (可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



執行之後,有下面的行為:

[Deleted process]
C:\WINDOWS\system32\wuauclt.exe

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\play[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\top[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\play[1].png
C:\WINDOWS\Help\69GH0BNS.dll
C:\WINDOWS\Help\69GH0BNS.exe

[ Added COM/BHO ]
{79921D3F-7537-463E-9E38-CD503A8FA485}-C:\WINDOWS\help\69GH0BNS.dll

到目前為止 (2007/4/30 @ 11:43),下面的防毒軟體可以偵測到這些惡意檔案:

69GH0BNS.exe:
[ Alpha_Gen ], "Possible_MLWR-5"
[ Sophos ], "Mal/EncPk-F"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
69GH0BNS.dll:
[ Alpha_Gen ], "Possible_MLWR-5"
[ Sophos ], "Mal/EncPk-F"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
play[1].png:
[ Alpha_Gen ], "Possible_MLWR-5"
[ Sophos ], "Mal/EncPk-F"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
耕讀園網站被值入惡意連結,此惡意程式為 Infostealer 的變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: Jimau)




惡意連結是放置在首頁 (可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



執行之後,有下面的行為:

[Deleted process]
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE

[DLL injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe (注入 svchost.exe 的執行程序)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\1[1].Exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\wm[1].htm
C:\WINDOWS\Debug\UserMode\3CA549D.dll
C:\WINDOWS\Debug\UserMode\3CA549D.exe

[Added COM/BHO]
{38E5B7AE-E624-4234-A47E-5CC167C550F9}-C:\WINDOWS\debug\userMode\3CA549D.dll

到目前為止 (2007/4/30 @ 11:43),下面的防毒軟體可以偵測到這些惡意檔案:

3CA549D.dll:
[ Trend ], "Possible_Infostl"
3CA549D.exe:
[ Alpha_Gen ], "Possible_MLWR-5"
[ McAfee ], "New Malware.bx !!"
[ Sophos ], "Mal/EncPk-F"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
svchost.exe:
[ Alpha_Gen ], "Possible_MLWR-5"
[ McAfee ], "New Malware.bx !!"
[ Sophos ], "Mal/EncPk-F"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
wm[1].htm:
[ Ewido ], "Downloader.Agent.m"
1[1].Exe:
[ Alpha_Gen ], "Possible_MLWR-5"
[ McAfee ], "New Malware.bx !!"
[ Sophos ], "Mal/EncPk-F"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSPM.Gen"

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
更新資訊:已修復 (2007/4/30 @ 12:00)
奧萬大國家森林遊樂區網站被值入惡意連結,此惡意程式為 Lineage 的變種,另外,也利用了 ANI 的安全漏洞,最近有瀏覽這個網頁的網友 (旅遊旺季,滿慘的吧),應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: linkey)




惡意連結是放置在首頁 (可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



當執行此惡意程式後,會產生一個應用程式錯誤,之後,網路就出問題:



執行之後,有下面的行為:

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\7888p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GDI3K1MF\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\9197p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\test[1].js
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\drwtsn32.log
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

到目前為止 (2007/4/28 @ 23:35),下面的防毒軟體可以偵測到這些惡意檔案:

avp.exe:
[ Sophos ], "Mal/Packer"
od2media.dll:
[ Sophos ], "Mal/EncPk-F"
update[1].exe:
[ Sophos ], "Mal/Packer"
7888p[1].jpg:
[ Sophos ], "Troj/Animoo-L"
9197p[1].jpg:
[ Sophos ], "Troj/Animoo-L"

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
7-11 網路購物取貨服務網站被值入惡意連結,此惡意程式為 Lineage 的變種,另外,也利用了 ANI 的安全漏洞,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: 噢和 linkey)




惡意連結是放置在首頁及很多頁面 (可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



當執行此惡意程式後,會產生一個應用程式錯誤,之後,網路就出問題:



執行之後,有下面的行為:

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\7888p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GDI3K1MF\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\9197p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\test[1].js
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\drwtsn32.log
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

到目前為止 (2007/4/28 @ 23:35),下面的防毒軟體可以偵測到這些惡意檔案:

avp.exe:
[ Sophos ], "Mal/Packer"
od2media.dll:
[ Sophos ], "Mal/EncPk-F"
update[1].exe:
[ Sophos ], "Mal/Packer"
7888p[1].jpg:
[ Sophos ], "Troj/Animoo-L"
9197p[1].jpg:
[ Sophos ], "Troj/Animoo-L"

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
國立故宮博物院藝術史討論區被值入惡意連結,此惡意程式為 Lineage 的變種,另外,也利用了 ANI 的安全漏洞,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: 魂)




惡意連結是放置在首頁及 d_day.asp (其他頁面可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



當執行此惡意程式後,會產生一個應用程式錯誤,之後,網路就出問題:



執行之後,有下面的行為:

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\7888p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GDI3K1MF\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\9197p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\test[1].js
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\drwtsn32.log
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

到目前為止 (2007/4/28 @ 23:35),下面的防毒軟體可以偵測到這些惡意檔案:

avp.exe:
[ Sophos ], "Mal/Packer"
od2media.dll:
[ Sophos ], "Mal/EncPk-F"
update[1].exe:
[ Sophos ], "Mal/Packer"
7888p[1].jpg:
[ Sophos ], "Troj/Animoo-L"
9197p[1].jpg:
[ Sophos ], "Troj/Animoo-L"

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
八大電視台網站被植入惡意連結,此惡意程式為 Lineage 的變種,另外,也利用了 ANI 的安全漏洞,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: linkey)




惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的:



惡意程式碼的一部份為:



當執行此惡意程式後,會產生一個應用程式錯誤,之後,網路就出問題:



最扯的是利用八大電視台所提供的聯絡方式,竟然出現錯誤,那怎麼通知他們,該不會又要我花錢打電話給他們:



執行之後,有下面的行為:

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\7888p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GDI3K1MF\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\9197p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\stat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\test[1].js
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\drwtsn32.log
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

到目前為止 (2007/4/28 @ 23:35),下面的防毒軟體可以偵測到這些惡意檔案:

avp.exe:
[ Sophos ], "Mal/Packer"
od2media.dll:
[ Sophos ], "Mal/EncPk-F"
update[1].exe:
[ Sophos ], "Mal/Packer"
7888p[1].jpg:
[ Sophos ], "Troj/Animoo-L"
9197p[1].jpg:
[ Sophos ], "Troj/Animoo-L"

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
«1...678 910...32