close

EFlyStudy 任遊留遊學網首頁被植入惡意連結,又是 Lineage 的另一個變種。請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們,謝謝**



eflystudy_home.png

惡意連結放置在首頁中:

eflystudy_url.png

惡意程式碼的一部分為:

eflystudy_code.png

執行之後,有下面的行為:

[DLL injection]
C:\WINDOWS\Help\A0E44D8B.dll (注入某些執行程序如檔案總管等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gmsex[1].exe
C:\WINDOWS\Help\A0E44D8B.dll
C:\WINDOWS\Help\A0E44D8B.exe

[Added COM/BHO]
{FB9089F1-29B6-42E5-AA89-6FC9E0C1A80C}-C:\WINDOWS\Help\A0E44D8B.dll



到目前為止,下面的防毒軟體可以偵測到這些惡意檔案:

A0E44D8B.dll:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Nod32 ], "probably a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "HEUR/Malware"
A0E44D8B.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
gmsex[1].exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"

-----


arrow
arrow
    全站熱搜
    創作者介紹
    創作者 rogerspeaking 的頭像
    rogerspeaking

    大砲開講

    rogerspeaking 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄