close
**高度危險網站:常常被植入惡意連結或遭駭**



手機王網頁又被植入惡意連結,這已經是第 N 次了,這是購物網站,真是不應該。在此要注意的是很可能在此網站購物的消費者的機密資料已經被竊走了。請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式會偷使用者帳號與密碼,很可能也會偷信用卡卡號)

**請幫忙通知他們,謝謝**


惡意連結是放置在首頁中,而且是指到華視網站:

sogi_url_20070303.png

惡意程式碼的一部份為 (使用 malformed ascii bypassing 的技術,看起來像是毫無意義,實際上,它是可以被執行的):

sogi_code_20070303.png

惡意連結執行流程為:

sogi_link_execution_flow_20070303.png

執行之後,有下面的行為:

[DLL injection]
C:\WINDOWS\Debug\UserMode\299E575.dll (注入某些執行程序如檔案總管等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\CiKE.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\taskmgr.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\cike[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\test[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\cike[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\cike2[1].htm
C:\logex.txt
C:\WINDOWS\Debug\UserMode\299E575.dll
C:\WINDOWS\Debug\UserMode\299E575.exe

[Added COM/BHO]
{77D9BC5E-7942-499F-9AA0-D1BA226D2788}-C:\WINDOWS\debug\userMode\299E575.dll

注意:此惡意程式在執行時,會產生一個錯誤,如下圖所示:

sogi_error_20070303.png

到目前為止,下面的防毒軟體可以偵測到這些惡意檔案:

299E575.exe:
[ Trend ], "TROJ_Generic"
CiKE.exe:
[ Trend ], "TROJ_Generic"
test[1].exe:
[ Trend ], "TROJ_Generic"
299E575.dll:
[ Trend ], "TSPY_LINEAGE.EGH"
2006692151148920.gif:
[ Trend ], "TROJ_KILLAV.GI"

另外,友站的 OpenBlue 已經分析過手機王網站有安全漏洞,各位可以參考「(案例分析)手機王與華視網站遭駭被植入惡意程式」。


arrow
arrow
    全站熱搜
    創作者介紹
    創作者 rogerspeaking 的頭像
    rogerspeaking

    大砲開講

    rogerspeaking 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄