大砲開講

**高度危險網站：常常被植入惡意連結**

社團法人台北市野鳥學會首頁又被植入惡意連結 (太多次了吧)，又是 Lineage 的另一個變種。他們的網管人員應該沒有找出會發生問題的關鍵，所以，系統常常被攻擊者植入惡意連結，只能說沒事不要瀏覽他們的網站或利用其他系統 (如 VMWare) 瀏覽。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。

**請幫忙通知他們，謝謝**




惡意程式碼的一部分為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Help\BE924C2C.DLL (注入某些執行程序如檔案總管等)

[Added file]
C:\autorun.inf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gmsex[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\self[1].htm
C:\Shell.exe
C:\WINDOWS\Help\BE924C2C.DLL
C:\WINDOWS\Help\BE924C2C.EXE

[Added COM/BHO]
{975C92BE-0CF9-4D23-BFE4-0E58073CDC0C}-C:\WINDOWS\Help\BE924C2C.DLL

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

BE924C2C.EXE:
[ Trend ], "TROJ_AGENT.MEI"
gmsex[1].exe:
[ Trend ], "TROJ_AGENT.MEI"
self[1].htm:
[ Trend ], "HTML_DLOADER.ISC"
Shell.exe:
[ Trend ], "TROJ_AGENT.MEI"
BE924C2C.DLL:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Nod32 ], "a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "HEUR/Malware"