ESPNSTAR 體育台網站被植入惡意連結

更新資訊：剛剛打電話給他們，竟然說是下班時間，所以，目前無人處理 ESPNSTAR 體育台網站被植入惡意連結，此惡意程式為 Maran 的變種，最近有瀏覽這個網頁的網友 (應該很多人會瀏覽此網站，受害者又一堆了)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式會偷帳號與密碼)。(Credit: Jimau) **請幫忙通知他們，謝謝** 惡意連結是放置在 AVList.asp 檔案中的：惡意程式碼的一部份為： 執行之後，有下面的行為： [Added process] C:\WINDOWS\avp.exe (偽裝卡巴司基防毒軟體的執行程序) [DLL injecti] C:\WINDOWS\lsass.exe (注入 lsass.exe 的執行程序) C:\WINDOWS\system32\md5media.dll (注入某些執行程序如檔案總管、IE 等) [Added service] NAME: VGADown DISPLAY: Audio Adapter FILE: C:\WINDOWS\avp.exe NAME: WS2IFSL (這是正常的服務) DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment FILE: \SystemRoot\System32\drivers\ws2ifsl.sys [Added file] C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\getflashplayer[1].htm C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\AVList[1].htm C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\flash[1].exe C:\WINDOWS\avp.exe C:\WINDOWS\lsass.exe C:\WINDOWS\system32\ldmedia3.dll C:\WINDOWS\system32\md5media.dll C:\WINDOWS\system32\wnvdsf.ax [Added LSP] ID: 1014 NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\ldmedia3.dll) ID: 1015 NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\ldmedia3.dll) 到目前為止，下面的防毒軟體可以偵測到這些惡意檔案 (等一下會再更新一次)： flash[1].exe: [ Trend ], "TSPY_MARAN.DL" getflashplayer[1].htm: [ Trend ], "VBS_PSYME.VZ" lsass.exe: [ Trend ], "TROJ_MARAN.DJ" md5media.dll: [ Trend ], "TSPY_MARAN.FF" avp.exe: [ Trend ], "Possible_Virus" ldmedia3.dll: [ Alwil ], "Win32:Maran-D [Trj]" [ Nod32 ], "a variant of Win32/PSW.Maran trojan" [ Fortinet ], "suspicious" [ HBEDV ], "TR/Drop.Maran.C.3" [ Ewido ], "Trojan.Maran.cs" [ Grisoft ], "Trojan horse PSW.Generic3.PUP"