大砲開講

更新資訊：已修復 (2007/4/10 @ 10:03) 司法院網站被植入惡意連結 (竟敢在太歲頭上動土，找死啊)，此惡意連結會嘗試連至其他的網站，但目前在我的測試環境中是無法連上那些網站 ，所以，無法順利執行惡意程式 (病毒作者應該很快就會發現，然後，修正其程式碼)，不過，能不能在各位的環境中執行成功，我就不知道了，請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。另外，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling)(此為零時差攻擊)(此惡意程式應該會偷帳號與密碼)。(Credit: Jimau) **請幫忙通知他們，謝謝** 惡意連結是放置在首頁及 left.asp 檔案中的： 然後，下載執行： 執行時，會產生應用程式錯誤： 執行之後，有下面的行為： [Added service] NAME: VGADown DISPLAY: Audio Adapter FILE: C:\WINDOWS\avp.exe NAME: WS2IFSL (這是正常的服務) DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment FILE: \SystemRoot\System32\drivers\ws2ifsl.sys [Added file] C:\WINDOWS\avp.exe C:\WINDOWS\system32\od2media.dll [Added LSP] ID: 1012 NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\od2media.dll) ID: 1013 NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\od2media.dll) 到目前為止 (2007/4/2 @ 16:25)，下面的防毒軟體可以偵測到這些惡意檔案： avp.exe: [ Trend ], “TSPY_MARAN.FD” od2media.dll: [ Trend ], “TSPY_MARAN.FD” update.exe: [ Trend ], “TSPY_MARAN.FD”