大砲開講

更新資訊：已修復

亞洲唱片網頁被植入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(Credit: Jimau)

**請幫忙通知他們，謝謝**



惡意連結是放置在很多網頁中 (vip.asp, about.asp, dealer.asp 等等，全部檢查一遍，比較保險) 的：



惡意程式的一部份為：



執行之後，有下面的行為：

[DLL injection]
C:\Program Files\Common Files\Microsoft Shared\winmain.dll (注入某些執行程式如檔案總管和 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\System.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\jia[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\ttbbss123[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\tw[1].htm
C:\Program Files\Common Files\Microsoft Shared\winmain.dll
C:\WINDOWS\winxp.exe

[Added COM/BHO]
{D3B94911-CB71-476A-8015-A15C0D40F3D8}-C:\Program Files\Common Files\Microsoft Shared\winmain.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

ttbbss123[1].exe:
[ Trend ], "TSPY_LINEAGE.EWE"
tw[1].exe:
[ Trend ], "TSPY_LINEAGE.EWE"
winmain.dll:
[ Trend ], "TSPY_LINEAGE.EWE"
winxp.exe:
[ Trend ], "TSPY_LINEAGE.EWE"
System.exe:[ Trend ], "TSPY_LINEAGE.EWE"
tw[1].htm:
[ Kaspersky ], "Trojan-Downloader.VBS.Small.cw"
[ Sophos ], "Mal/Psyme-B"
[ HBEDV ], "JS/Dldr.Nilag.bij.1"
[ Norman ], "Trojan JS/Exploit!ADODB.Stream.A"
[ Ewido ], "Not-A-Virus.Exploit.HTML.Mht"
jia[1].htm:
[ Sophos ], "Mal/Psyme-B"
[ Norman ], "Trojan JS/Exploit!ADODB.Stream.A"
[ Ewido ], "Not-A-Virus.Exploit.HTML.Mht"

台灣 Nikon 網站又被植入惡意連結，此惡意程式為 Lineage 變種。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**



惡意連結是放置在首頁中的：



惡意程式的一部份為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\8566D7.dll (注入某些執行程序如檔案總管和 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh0703.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\614[1].htm
C:\WINDOWS\Debug\UserMode\8566D7.dll
C:\WINDOWS\Debug\UserMode\8566D7.exe

[Added COM/BHO]
{93001DB8-F229-43F3-B533-9F546F1AD1EA}-C:\WINDOWS\debug\userMode\8566D7.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

614[1].htm:
[ Trend ], "JS_PSYME.ADM"
8566D7.dll:
[ Alpha_Gen ], "Possible_Lineage"
[ Symantec ], "Infostealer.Lineage"
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Nod32 ], "probably a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "HEUR/Malware"
[ Grisoft ], "Trojan horse PSW.Generic3.OFY"
8566D7.exe:
[ Alpha_Gen ], "Possible_Lineage"
[ Symantec ], "Infostealer.Gampass"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Malware"
[ Grisoft ], "Trojan horse PSW.Generic3.OFX"
gh0703.exe:
[ Alpha_Gen ], "Possible_Lineage"
[ Symantec ], "Infostealer.Gampass"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Malware"
[ Grisoft ], "Trojan horse PSW.Generic3.OFX"
gh[1].htm:
[ Alpha_Gen ], "Heur_Infrm-2"

更新資訊：已移除此惡意連結

余雪鴻開運館 (希易資訊) 網站被植入惡意連結，此惡意程式為 Lineage 變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(Credit: 小砲)

**請幫忙通知他們，謝謝**



惡意連結是放置在首頁中的：



惡意程式碼的一部份為：



執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\yt.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\update[1].htm
C:\Program Files\Common Files\search.dll
C:\qing.exe
C:\WINDOWS\system32\winCreate.exe

[Added COM/BHO]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

search.dll:
[ Trend ], “TSPY_LINEAGE.FCQ”
update[1].exe:
[ Trend ], “TSPY_LINEAGE.FCQ”
winCreate.exe:
[ Trend ], “TSPY_LINEAGE.FCQ”
qing.exe:
[ Trend ], “TSPY_LINEAGE.FCQ”

Timesadwards 時報廣告俱樂部網頁又被植入惡意連結，此惡意程式為 Lineage 變種。最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(Credit: Jimau)

**請幫忙通知他們，謝謝**



惡意連結是放置在時報廣告金像獎、時報亞太廣告獎等網頁 (太多了，使用字串搜尋比較快) 中的：



惡意程式碼的一部份為：



執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\yt.vbs
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\help[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].exe
C:\Program Files\Common Files\search.dll
C:\qing.exe
C:\WINDOWS\system32\winCreate.exe

[ Added COM/BHO ]
{6F4747B0-4094-4200-A251-866989504B17}-C:\Program Files\Common Files\search.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

search.dll:
[ Trend ], "TSPY_LINEAGE.FCQ"
update[1].exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
winCreate.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"
qing.exe:
[ Trend ], "TSPY_LINEAGE.FCQ"

時報旅遊 (中國時報旅行社) 網站被植入惡意連結。這是一個旅遊資訊網站，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(Credit: Jimau)

**請幫忙通知他們，謝謝**



惡意連結是放置在首頁中的：



惡意程式碼的一部份為：



執行之後，有下面的行為：

[Added process]
C:\WINDOWS\avp.exe

[DLL injection]
C:\WINDOWS\system32\od2media.dll (注入 IE 的執行程序)

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\1111[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\3[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

1111[1].exe:
[ Trend ], "Possible_Virus"
avp.exe:
[ Trend ], "TROJ_MARAN.DJ"
od2media.dll:
[ Trend ], "Possible_Virus"
3[1].htm:
[ McAfee ], "Exploit-ObscuredHtml"

更新資訊：惡意連結已經移除

高雄市政府教育局國教輔導團網頁被植入惡意連結，此惡意程式為灰鴿子。這是一個教育資訊網站，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦 (此惡意連結有可能不會執行)。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(感謝 Yayow)

**請幫忙通知他們，謝謝**



惡意連結是放置在首頁 (index.htm) 中的：



惡意程式碼的一部份為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\system32.DLL (注入某些執行程序如 IE 等)
C:\WINDOWS\SYSTEM32KEY.DLL (注入某些執行程序如檔案總管和 IE 等)

[Added service]
NAME: System Application
DISPLAY: System Application
FILE: C:\WINDOWS\system32.exe

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\mm2[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\2[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\mm[1].htm
C:\WINDOWS\system32.DLL
C:\WINDOWS\system32.exe
C:\WINDOWS\SYSTEM32KEY.DLL
C:\WINDOWS\SYSTEM32KEY.log

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

system32.exe:
[ Trend ], "BKDR_HUPIGON.DDF"
2[1].exe:
[ Trend ], "BKDR_HUPIGON.DDF"
mm2[1].htm:
[ HBEDV ], "JS/Dldr.Agent.20356"
[ Ewido ], "Downloader.Agent.m"
mm[1].htm:
[ Kaspersky ], "Trojan-Downloader.VBS.Small.dq"
[ Ewido ], "Downloader.Agent.m"
system32.DLL:
[ Alpha_Gen ], "BKDR_HUP1GON.GEN"
[ Kaspersky ], "PAK:PE_Patch.MaskPE, Type_Win32"
[ Sophos ], "[FILE:0000]:Mal/GrayBird"
[ Alwil ], "Win32:Hupigon-JF [Trj]"
[ Nod32 ], "a variant of Win32/Hupigon trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "BDS/Hupigon.Gen"
SYSTEM32KEY.DLL:
[ Alpha_Gen ], "BKDR_HUP1GON.GEN"
[ Kaspersky ], "PAK:PE_Patch.MaskPE, Type_Win32"
[ Sophos ], "Mal/GrayBird"
[ Alwil ], "Win32:Hupigon-JF [Trj]"
[ Nod32 ], "probably a variant of Win32/Hupigon trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "BDS/Hupigon.Gen"

旅遊書籤網站被植入惡意連結，此惡意程式為 Lineage 變種。這是一個旅遊資訊網站，最近有瀏覽這個網頁的網友 (今日超過 600 人瀏覽)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(感謝 Jimau)

**請幫忙通知他們，謝謝**



惡意連結是放置在首頁中的：



惡意程式碼的一部份為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\1D4F6.dll (注入某些執行程序如檔案總管和 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh0703.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gh[1].htm
C:\WINDOWS\Debug\UserMode\1D4F6.dll
C:\WINDOWS\Debug\UserMode\1D4F6.exe

[Added COM/BHO]
{81549ADC-2F24-4784-8124-F1075D770539}-C:\WINDOWS\debug\userMode\1D4F6.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

1D4F6.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
gh0703.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
gh[1].htm:
[ Alpha_Gen ], "Heur_Infrm-2"
1D4F6.dll:
[ Alpha_Gen ], "Possible_Lineage"
[ Microsoft ], "PWS:Win32/Lineage.gen!A"
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Nod32 ], "a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "HEUR/Malware"
614.htm:
[ HBEDV ], "JS/Psyme.D"
[ Ewido ], "Downloader.Agent.m"-----

花蓮 e-go 網頁被植入惡意連結，此惡意程式為 Lineage 的變種。這是一個旅遊資訊網站，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦，另外，似乎此惡意程式會點擊另一個大陸網站 (hxxp://count14.51yes.com)，以增加其網站排名。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**



惡意連結是放置在 modules.php (mod=ticker) 中的：



惡意程式碼的一部份為：



執行之後，有下面的行為：

[DLL injection]
C:\Program Files\Common Files\Microsoft Shared\winmain.dll (注入某些執行程序如檔案總管和 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\System.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\tw[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\tw[1].exe
C:\Program Files\Common Files\Microsoft Shared\winmain.dll
C:\WINDOWS\winxp.exe

[Added COM/BHO]
{D3B94911-CB71-476A-8015-A15C0D40F3D8}-C:\Program Files\Common Files\Microsoft Shared\winmain.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

tw[1].exe:
[ Trend ], "Possible_Lineage"
winmain.dll:
[ Trend ], "Possible_Lineage"
winxp.exe:
[ Trend ], "Possible_Lineage"
System.exe:
[ Trend ], "Possible_Lineage"
tw[1].htm:
[ Sophos ], "Mal/Psyme-B"
[ Norman ], "Trojan JS/Exploit!ADODB.Stream.A"
[ Ewido ], "Not-A-Virus.Exploit.HTML.Mht"

林家厝民宿首頁被植入惡意連結。這是一個旅遊資訊網站，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**



惡意連結是放置在首頁中的：



惡意程式碼的一部份為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Help\D563BA79B410.dll (注入某些執行程序如檔案總管和 IE 等)

[Added file]
C:\autorun.inf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gmsex[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\selfs[1].htm
C:\Shell.exe
C:\WINDOWS\Help\D563BA79B410.dll
C:\WINDOWS\Help\D563BA79B410.exe

[Added COM/BHO]
{64281F9B-71AE-4C6B-9688-C3E820D99255}-C:\WINDOWS\help\D563BA79B410.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

selfs[1].htm:
[ Trend ], "HTML_DLOADER.ISC"
D563BA79B410.dll:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, Trojan-PSW.Win32.OnLineGames.dr"
[ Nod32 ], "a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "TR/PSW.OnLineGames.DR.41"
[ Grisoft ], "Trojan horse PSW.Generic3.NSL"
D563BA79B410.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, Trojan-PSW.Win32.OnLineGames.dr"
[ Fortinet ], "W32/OnLineGames.DR!tr.pws"
[ HBEDV ], "TR/PSW.OnLineGames.DR.39"
[ Norman ], "Trojan W32/Malware.LUM"
gmsex[1].exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, Trojan-PSW.Win32.OnLineGames.dr"
[ Fortinet ], "W32/OnLineGames.DR!tr.pws"
[ HBEDV ], "TR/PSW.OnLineGames.DR.39"
[ Norman ], "Trojan W32/Malware.LUM"
Shell.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, Trojan-PSW.Win32.OnLineGames.dr"
[ Fortinet ], "W32/OnLineGames.DR!tr.pws"
[ HBEDV ], "TR/PSW.OnLineGames.DR.39"
[ Norman ], "Trojan W32/Malware.LUM"

臺安醫院首頁又被植入惡意連結，此惡意程式為 Lineage 的變種。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**



惡意連結是放置在首頁中：



惡意程式的一部份為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\8501D.dll (注入某些執行程序如檔案總管和 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh0703.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gh0703[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\gh[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\614[1].htm
C:\WINDOWS\Debug\UserMode\8501D.dll
C:\WINDOWS\Debug\UserMode\8501D.exe

[Added COM/BHO]
{81549ADC-2F24-4784-8124-F1075D770539}-C:\WINDOWS\debug\userMode\8501D.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

8501D.exe:
[ Trend ], "TROJ_Generic"
gh0703.exe:
[ Trend ], "TROJ_Generic"
8501D.dll:
[ Alpha_Gen ], "Possible_Lineage"
[ Symantec ], "Infostealer.Lineage"
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact, Trojan-PSW.Win32.OnLineGames.dr"
[ Nod32 ], "probably a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "TR/PSW.OnLineGames.DR.38"
[ Grisoft ], "Trojan horse PSW.Generic3.NSN"
gh[1].htm:
[ Alpha_Gen ], "Heur_Infrm-2"
614[1].htm:
[ HBEDV ], "JS/Psyme.D"
[ Ewido ], "Downloader.Agent.m"-----

更新資訊：已修復 (請參考下面的回應部份)


EFlyStudy 任遊留遊學網首頁又被植入惡意連結，此惡意程式是 Lineage 的變種。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**



惡意連結放置在首頁中：



惡意程式碼的一部分為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Help\D563BA79B410.dll (注入某些執行程序如檔案總管等)

[Added file]
C:\autorun.inf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\gmsex[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\selfs[1].htm
C:\Shell.exe
C:\WINDOWS\Help\autorun.inf
C:\WINDOWS\Help\D563BA79B410.dll
C:\WINDOWS\Help\D563BA79B410.exe

[Added COM/BHO]
{64281F9B-71AE-4C6B-9688-C3E820D99255}-C:\WINDOWS\help\D563BA79B410.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

selfs[1].htm:
[ Trend ], "HTML_DLOADER.ISC"
D563BA79B410.dll:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Nod32 ], "a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "HEUR/Malware"
[ Grisoft ], "Trojan horse PSW.Generic3.NSL"
D563BA79B410.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
[ Norman ], "Trojan W32/Malware.LUM"
gmsex[1].exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
[ Norman ], "Trojan W32/Malware.LUM"
Shell.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
[ Norman ], "Trojan W32/Malware.LUM"

歐吉尚趴趴走網站被值入惡意連結。最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。(感謝 Jimau)

**請幫忙通知他們，謝謝**



惡意連結是放置在首頁中：



惡意程式碼的一部份為：



執行之後，有下面的行為：

[Added process]
C:\WINDOWS\System32\WScript.exe (這是正常檔案)
C:\WINDOWS\system32\cmd.exe (這是正常檔案)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh0703.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\614[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gh0703[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gh[1].htm
C:\WINDOWS\Temp\ser.bat
C:\WINDOWS\Temp\ser.vbs
C:\WINDOWS\Temp\z.exe

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

gh0703.exe:
[ Kaspersky ], "ARC:RarSFX, ARC:[data.rar]:RAR, [data.rar/ser.bat]:Trojan.BAT.KillAV.ec, PAK:[data.rar/z.exe]:PE_Patch.PECompact, PAK:[data.rar/z.exe]:PecBundle, PAK:[data.rar/z.exe]:PECompact"
[ Fortinet ], "suspicious"
[ Norman ], "[Heuristic Sandbox detection]:Virus W32/Malware"
gh[1].htm:
[ Alpha_Gen ], "Heur_Infrm-2"
ser.bat:
[ Kaspersky ], "Trojan.BAT.KillAV.ec"
z.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
614[1].htm:
[ HBEDV ], "JS/Psyme.D"
[ Ewido ], "Downloader.Agent.m"-----

表演藝術聯盟網站被值入惡意連結。最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**



惡意連結是放置在首頁中的：



惡意程式的一部份為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\8501D4.dll (注入某些執行程序如檔案總管等)

[Added file]

C:\Documents and Settings\Administrator\Local Settings\Temp\gh070227.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\614[1].htm
C:\WINDOWS\Debug\UserMode\8501D4.dll
C:\WINDOWS\Debug\UserMode\8501D4.exe

[Added COM/BHO]
{FB62C72B-F6A0-44DE-8332-4C18AEB26CF7}-C:\WINDOWS\debug\userMode\8501D4.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

614[1].htm:
[ Trend ], "VBS_AGENT.JIT"
8501D4.dll:
[ Alpha_Gen ], "Possible_Infostl"
[ Beta_Gen ], "Possible_Infostl"
[ Symantec ], "Infostealer.Lineage"
[ Microsoft ], "[->(NSPack)]:PWS:Win32/Wowsteal.gen!A"
[ Kaspersky ], "PAK:NSPack"
[ Sophos ], "Mal/Packer"
[ Nod32 ], "probably a variant of Win32/PSW.Lineage.DN trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "HEUR/Malware"
gh070227.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact"
[ HBEDV ], "HEUR/Malware"
8501D4.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact"
[ HBEDV ], "HEUR/Malware"-----

翠湖水草網站出現釣魚網站且有惡意連結。有這方面需求且最近有瀏覽這個網頁的網友，應該要注意所輸入的網址。(Credit: PC-Zone 網友 DarkSkyline)

**請幫忙通知他們，謝謝**

真的翠湖水草網站首頁：



假的翠湖水草網站首頁 (釣魚網站)：



翠湖水草網站發布的新聞：



此假的網站包含惡意連結：



惡意程式碼的一部份為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\system32\mscc.dll (注入 Winlogon.exe 的執行程序)

[Added service]
NAME: Event Logger
DISPLAY: Event Logger
FILE: C:\WINDOWS\system32\ieum.exe

NAME: vsdat
DISPLAY: vsdat
FILE: \??\C:\WINDOWS\system32\vsdat.sys

[Added file]

C:\boot.bsr
C:\ccb.hta
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\click[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\alxea[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\o[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\ps[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\cjb[1].hta
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\click[1].htm
C:\WINDOWS\system32\ctfman.exe
C:\WINDOWS\system32\ieum.exe
C:\WINDOWS\system32\mscc.dll
C:\WINDOWS\system32\msdb.dll
C:\WINDOWS\system32\vsdat.sys

[Added COM/BHO]
{4860E4F8-BE58-4f73-96E4-98B2FCB21583}-C:\WINDOWS\system32\msdb.dll
{A529C586-6D68-4681-9107-AFE144A23755}
{267B1ED2-2C9E-4A3F-BE15-7AFC79403073}
{46A219CD-45C7-4E10-B408-216BE827DC01}
{80CC88FE-2567-42ED-A3AE-E397D2A12C52}
{21932AFA-3AD3-4C28-8D93-2AAE2BD043CB}
{5AB0D266-DD2B-4006-B9D6-A9145291BDD6}
{90143179-611B-4016-818E-676EAC6B3E2F}

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

mscc.dll:
[ HBEDV ], "HEUR/Malware"
ieum.exe:
[ HBEDV ], "HEUR/Malware"
[ Fprot ], "Infection: Possibly a new variant of W32/Downloader-WebExe-based!Maximus"
ctfman.exe:
[ Kaspersky ], "PAK:PE_Patch, PAK:UPX"
o[1].exe:
[ Kaspersky ], "PAK:PE_Patch, PAK:UPX"
[ Sophos ], "[FILE:0000]:Mal/Packer"
[ HBEDV ], "TR/HideRun.A.7"
[ Norman ], "[Heuristic Sandbox detection]:Virus W32/Startpage.EGF.dropper"
click[1].htm:
[ Sophos ], "Mal/Psyme-A"
[ Norman ], "Trojan VBS/Psyme.AK"
ps[1].exe:
[ Kaspersky ], "PAK:PE_Patch, PAK:UPX, Trojan-Downloader.Win32.Agent.bes"
[ HBEDV ], "HEUR/Malware"
[ Grisoft ], "Trojan horse Downloader.Agent.IQH"
[ Fprot ], "[->(UPX)]:Infection: Possibly a new variant of W32/Downloader-WebExe-based!Maximus"
alxea[1].htm:
[ Alpha_Gen ], "Heur_Infrm-1"
msdb.dll:
[ Kaspersky ], "PAK:NSPack, PAK:UPX"
[ Sophos ], "Mal/Packer"
[ Fortinet ], "suspicious"-----

東京海渡日本生活館網站被值入惡意連結。喜愛名牌精品且最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。(感謝 Jimau)

**請幫忙通知他們，謝謝**



公司簡介：日商東京海渡成立西元於2001年，母公司在日本已有30年以上歷史，專業經營世界各品牌之百貨。本公司秉持著專業進口經營模式，自日本進口歐洲名牌授權日本生產百貨精品、皮件、服飾、寢具、個性商品、玩偶等。如目前當紅品牌BURBERRY之日本全系列商品--披肩、帽子、香水、領巾、毛浴巾、休閒服、衣服、皮包、皮夾、筆、帳冊、皮帶、鞋子、鞋子、襪子、內著、蓋毯被寢具類、禮盒等。 銷售品牌：BURBERRY、KENZO、BALLY、CK、CD、CELLNE、TRUSSARDI、MCM、GIVENCHY、GUCCI、COACH、CHANEL、VIVIENNE、TY COLLECTION、MAKOTO、DAKS、LV。

惡意連結是放置在首頁中的：



惡意程式的一部份為：



此惡意程式執行時，會產生一個錯誤：



執行之後，有下面的行為：

[Added process]
C:\WINDOWS\avp.exe

[DLL injection]
C:\WINDOWS\system32\hs8viewer.dll (注入某些執行程序如檔案總管等)

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\hot[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\svch1[1].exe
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\hs8viewer.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP]

ID: 1013
NAME: MSAFD Tcpip [TCP/IP]

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

svch1[1].exe:
[ Trend ], "TSPY_MARAN.EW"
hot[1].htm:
[ Norman ], "Trojan VBS/Psyme.AK"
[ Ewido ], "Downloader.Agent.h"
hs8viewer.dll:
[ Alwil ], "Win32:Maran-D [Trj]"
[ Nod32 ], "a variant of Win32/PSW.Maran trojan"
[ HBEDV ], "TR/Drop.Maran.C.3"
[ Grisoft ], "Trojan horse PSW.Generic3.JPH"
avp.exe:
[ Sophos ], "Troj/Maran-Gen"
[ Nod32 ], "a variant of Win32/PSW.Maran trojan"
[ Fortinet ], "Maran!tr"
[ HBEDV ], "TR/PSW.Maran.E"
[ Norman ], "Trojan W32/Smalltroj.ZYF"
[ Rising ], "Trojan.Delf.njo"
[ Ewido ], "Trojan.Maran.bo"
[ Grisoft ], "Trojan horse PSW.Generic3.JCE"

世興旅行社網站被值入惡意連結。有這方面需求且最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。(Credit: PC-Zone 網友 DarkSkyline)

**請幫忙通知他們，謝謝**

這個旅行社有兩個一模一樣的網站 (如下圖所示) 都被值入相同的惡意連結。





惡意連結是放置在首頁中：



惡意程式碼的一部份為：



此惡意程式於執行時，會產生一個錯誤，如下圖所示：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\9E5556.dll (注入某些執行程序如檔案總管等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh070227.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\gz0701x.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gh070227[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\614[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\a[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gh[1].htm
C:\WINDOWS\Debug\UserMode\9E5556.dll
C:\WINDOWS\Debug\UserMode\9E5556.exe

[Added COM/BHO]
{942ECDFF-5227-4C58-8B96-CA2666213DBB}-C:\WINDOWS\debug\userMode\9E5556.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

a[2].htm:
[ Trend ], “VBS_AGENT.JIU”
614[2].htm:
[ Trend ], “VBS_AGENT.JIT”
9E5556.exe:
[ Trend ], “TROJ_QQPASS.BCQ”
9E5556.dll:
[ Trend ], “TSPY_LINEAGE.FBY”
gh070227.exe:
[ Trend ], “TROJ_QQPASS.BCQ”
gh070227[1].exe:
[ Trend ], “TROJ_QQPASS.BCQ”
gh[1].htm:
[ Alpha_Gen ], “Heur_Infrm-2〃

HomeSweet 居家生活服務網站被值入惡意連結。有這方面需求且最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。(感謝 Jimau)

**請幫忙通知他們，謝謝**



惡意連結是放置在首頁中：



惡意程式碼的一部份為：



此惡意程式於執行時，會產生一個錯誤，如下圖所示：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\9E5556.dll (注入某些執行程序如檔案總管等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh070227.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\gz0701x.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\gh070227[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\614[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\a[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gh[1].htm
C:\WINDOWS\Debug\UserMode\9E5556.dll
C:\WINDOWS\Debug\UserMode\9E5556.exe

[Added COM/BHO]
{942ECDFF-5227-4C58-8B96-CA2666213DBB}-C:\WINDOWS\debug\userMode\9E5556.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

a[2].htm:
[ Trend ], “VBS_AGENT.JIU”
614[2].htm:
[ Trend ], “VBS_AGENT.JIT”
9E5556.exe:
[ Trend ], “TROJ_QQPASS.BCQ”
9E5556.dll:
[ Trend ], “TSPY_LINEAGE.FBY”
gh070227.exe:
[ Trend ], “TROJ_QQPASS.BCQ”
gh070227[1].exe:
[ Trend ], "TROJ_QQPASS.BCQ"
gh[1].htm:
[ Alpha_Gen ], "Heur_Infrm-2"-----

必富網首頁被植入惡意連結。這是一個未上市股票盤價、未上市資訊、未上市新聞的網站，應該蠻多股票投資人會瀏覽此網站，這些人最好檢查一下自己的電腦吧！請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息(此惡意程式會偷帳號與密碼，也有可能會偷信用卡卡號，而且，會監控網路情形)。(感謝 Jimau)

**請幫忙通知他們，謝謝**



惡意連結是放置在首頁中：



惡意程式碼的一部份為：



執行之後，有下面的行為：

[Added process]
C:\WINDOWS\avp.exe (名字與卡巴斯基防毒軟體的執行程序相同)

[DLL injection]
C:\WINDOWS\system32\ldmedia2.dll (注入瀏覽器的執行程序)

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\elven[1].exe
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\ldmedia2.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結到 C:\WINDOWS\system32\ldmedia2.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結到 C:\WINDOWS\system32\ldmedia2.dll)

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

avp.exe:
[ Trend ], "Possible_Virus"
3.htm:
[ Trend ], "JS_PSYME.TR"
elven[1].exe:
[ Kaspersky ], "PAK:UPack"
[ Sophos ], "Troj/Maran-Gen"
[ Nod32 ], "probably a variant of Win32/PSW.Maran trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/PSW.Maran.AU"
[ Norman ], "Virus W32/Viking.EQ"
ldmedia2.dll:
[ Alwil ], "Win32:Maran-D [Trj]"
[ Nod32 ], "a variant of Win32/PSW.Maran trojan"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Drop.Maran.C.3"-----

臺安醫院首頁被植入惡意程式。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。(感謝 Jimau)

**請幫忙通知他們，謝謝**



惡意連結是放置在首頁中：



惡意程式的一部份為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\9E5556.dll (注入某些執行程序如檔案總管等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh070227.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\gz0701x.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\614[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gh[1].htm
C:\WINDOWS\Debug\UserMode\9E5556.dll
C:\WINDOWS\Debug\UserMode\9E5556.exe

[Added COM/BHO]
{942ECDFF-5227-4C58-8B96-CA2666213DBB}-C:\WINDOWS\debug\userMode\9E5556.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

gh070227.exe:
[ Trend ], "TROJ_QQPASS.BCQ"
9E5556.exe:
[ Trend ], "TROJ_QQPASS.BCQ"
9E5556.dll:
[ Trend ], "TSPY_LINEAGE.FBY"
614[1].htm:
[ Trend ], "VBS_AGENT.JIT"
a.htm:
[ Trend ], "VBS_AGENT.JIU"
gh[1].htm:
[ Alpha_Gen ], "Heur_Infrm-2"-----

寰亞綜藝集團網頁遭駭和被植入惡意檔案，而且，首頁也被值入一個奇怪連結。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出問題的關鍵，而不是只是移除這些遭駭的內容。(感謝 Jimau)

**請幫忙通知他們，謝謝**

公司簡介：寰亞綜藝娛樂集團有限公司(「寰亞」)是亞洲最大及最成功的華語電影製作公司之一，其總部設於香港。本集團於二零零四年十一月在新加坡交易所自動報價股市上市，是唯一在該交易所上市的國際娛樂公司。自一九九四年成立以來，本集團已製作或融資製作超過50部華語電影，包括賣座電影《頭文字D》(2005)、《童夢奇緣》(2005)、《天下無賊》 (2004)、《魔幻廚房》(2004)及《無間道》三部曲(2002-2003)。本集團在柏林國際電影節、康城電影節、威尼斯影展、東京國際電影節、台北金馬影展及香港電影金像獎等國際電影頒獎禮及電影節中更先後贏得合共111個獎項，並獲得超過250次提名。現時，本集團代理的電影庫共有269部華語電影，在超過30個主要國際市場發行。本集團和香港有線電視(香港)、中央電視電影頻道(中國)、東森電視(台灣)、新傳媒電視(新加坡)及天映頻道(新加坡/馬來西亞/印度尼西亞/汶萊)等亞洲主要電視頻道已訂立一系列播映權預購協議，並且與中國電影集團(中國)成立合營公司在中國從事發行業務。寰亞綜藝娛樂集團有限公司的目標是製作高質素華語電影，加上電影庫的豐富藏量，本集團致力保持在亞洲製作及發行華語電影的領導地位。

公司中文首頁：



惡意檔案是放置在：



惡意程式的一部份為：



此奇怪連結是放置在首頁中 (應無惡意行為)：



此奇怪連結的首頁為：

-----