大砲開講

旅遊書籤網站被植入惡意連結，此惡意程式為 Lineage 變種。這是一個旅遊資訊網站，最近有瀏覽這個網頁的網友 (今日超過 600 人瀏覽)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。(感謝 Jimau)

**請幫忙通知他們，謝謝**



惡意連結是放置在首頁中的：



惡意程式碼的一部份為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\1D4F6.dll (注入某些執行程序如檔案總管和 IE 等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gh0703.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\gh[1].htm
C:\WINDOWS\Debug\UserMode\1D4F6.dll
C:\WINDOWS\Debug\UserMode\1D4F6.exe

[Added COM/BHO]
{81549ADC-2F24-4784-8124-F1075D770539}-C:\WINDOWS\debug\userMode\1D4F6.dll

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

1D4F6.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
gh0703.exe:
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ HBEDV ], "HEUR/Malware"
gh[1].htm:
[ Alpha_Gen ], "Heur_Infrm-2"
1D4F6.dll:
[ Alpha_Gen ], "Possible_Lineage"
[ Microsoft ], "PWS:Win32/Lineage.gen!A"
[ Kaspersky ], "PAK:PE_Patch.PECompact, PAK:PecBundle, PAK:PECompact"
[ Nod32 ], "a variant of Win32/PSW.Lineage.DN trojan"
[ HBEDV ], "HEUR/Malware"
614.htm:
[ HBEDV ], "JS/Psyme.D"
[ Ewido ], "Downloader.Agent.m"-----