大砲開講

文化總會網站被植入惡意連結，此惡意程式為 Maran 或 Lineage 的變種，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦，請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。另外，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)。對此有興趣的網友，可以在 VMWare 上測試一下，然後，回報修復的情形，而且，幫忙通知他們，謝謝。(Credit: Chiu)





惡意連結是放置在首頁 (其他頁面也有，可能要仔細檢查一下囉) 中的：



惡意程式碼的一部份為：



ANI 攻擊的部份為：



當執行此惡意程式後，會產生一個應用程式錯誤的訊息：



執行之後，有下面的行為：

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\qing.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\9197p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\7888p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\test[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\update[1].exe

到目前為止 (2007/4/18 @ 03:30)，下面的防毒軟體可以偵測到這些惡意檔案：

qing.exe:
[ Trend ], “TROJ_NSANTI.CV”
[ Kaspersky, “Trojan-PSW.Win32.Maran.di”
[ McAfee ], “PWS-Lineage”
[ Sophos ], “Mal/Packer”
update[1].exe:
[ Trend ], “TROJ_NSANTI.CV”
[ Kaspersky, “Trojan-PSW.Win32.Maran.di”
[ McAfee ], “PWS-Lineage”
[ Sophos ], “Mal/Packer”
7888p[1].jpg:
[ Trend ], “TROJ_ANICMOO.AX”
[ Symantec ], “Trojan.Anicmoo”
[ Kaspersky ], “Exploit.Win32.IMG-ANI.k”
[ McAfee ], “Exploit-ANIfile.c”
[ Sophos ], “Troj/Animoo-L”
9197p[1].jpg:
[ Trend ], “TROJ_ANICMOO.AX”
[ Symantec ], “Trojan.Anicmoo”
[ Kaspersky ], “Exploit.Win32.IMG-ANI.k”
[ McAfee ], “Exploit-ANIfile.c”
[ Sophos ], “Troj/Animoo-L”
update[1].htm:
[ Kaspersky ], “Exploit.HTML.Ascii.f”