更新資訊:已修復 (2007/4/9 @ 11:09)
中華民國交通部觀光局網站又被植入惡意連結,此惡意程式為 Maran 變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。
**請幫忙通知他們,謝謝**
惡意連結是放置在首頁中的:
惡意程式碼的一部分為:
執行之後,有下面的行為:
[Added process]
C:\WINDOWS\avp.exe
[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe
NAME: WS2IFSL
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\svch2321[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\ajcount[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\hsvwer2.dll
[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\hsvwer2.dll)
ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\hsvwer2.dll)
到目前為止 (2007/4/4 @ 09:52),下面的防毒軟體可以偵測到這些惡意檔案:
hsvwer2.dll:
[ Trend ], "TSPY_MARAN.FZ"
[ Kaspersky ], “Trojan-PSW.Win32.Maran.dj”
[ Alwil ], “Win32:Maran-D [Trj]”
[ Nod32 ], “a variant of Win32/PSW.Maran trojan”
[ HBEDV ], “TR/Drop.Maran.C.3〃
[ Rising ], “Trojan.PSW.OnlineGames.yh”
[ Ewido ], “Trojan.Maran.cx”
[ Grisoft ], “Trojan horse PSW.Generic3.TDN”
svch2321[1].exe:
[ Trend ], "TROJ_MARAN.FT"
[ McAfee ], “New Malware.bj !!”
[ Nod32 ], “a variant of Win32/PSW.Maran trojan”
[ HBEDV ], “HEUR/Crypted”
[ Ewido ], “Trojan.Maran.e”
avp.exe:
[ Trend ], "TSPY_MARAN.GA"
[ Kaspersky ], “Trojan-PSW.Win32.Maran.dj”
[ Sophos ], “Troj/Maran-Gen”
[ Nod32 ], “a variant of Win32/PSW.Maran trojan”
[ HBEDV ], “TR/PSW.Maran.A.1〃
[ Norman ], “Trojan W32/Smalltroj.XXX”
[ Rising ], “Trojan.Delf.njo”
[ Ewido ], “Trojan.Maran.ag”
[ Grisoft ], “Trojan horse PSW.Generic3.TDO”
loginform.htm:
[ Trend ], "VBS_PSYME.EZ"
[ HBEDV ], “VBS/Dldr.Agent.6171〃
[ Grisoft ], “Virus identified VBS/Psyme.N”
文章標籤
全站熱搜

COMMENT: 跟VirusTotal差不多,Panda在測試的列表中,不過不是用ClientShield就是了,不過,基本上,不會有差別,如果有差別的話,應該要找防毒軟體廠商。
COMMENT: 了解....感謝.... 不過蠻慘的... 常常看不到 Panda 的字眼.... 那就是說這些惡意程式都擋不住囉.... :( 另外...請問一下... HBEDV 是不是俗稱的小紅傘 (Avira AntiVir)? 難道它有另一個產品名稱叫 HBEDV 嗎? 還是根本是另一家公司的產品?... :P
COMMENT: 沒錯,AntiVir是有用HBEDV的Engine。另外,HBEDV自己也有出防毒軟體。 修正:從2006/3/01開始,H+BEDV名稱改為Avira,所以,是同一家公司。
COMMENT: 您好,請問F-Secure Anti-Virus可以嗎?謝謝。 -----
COMMENT: 目前應該不行。
COMMENT: 請問一下... 您所測試的防毒程式有那些呢? 不知道我們用的防毒程式(Panda ClientShield有沒有在您測試的清單中?
COMMENT: 已經修復了,謝謝
COMMENT: 請問Roger,這個網站現在ok了嗎?
COMMENT: 請問 要怎麼把他刪除.我的防毒軟体是OFFICESCAN.即時掃描時能掃到.不過用手動掃又找不到病毒.能夠教我嗎
COMMENT: 這個網站現在沒問題了。 手動掃描無法偵測到,應該是設定上的問題。至於如何清除,比較麻煩,可以使用 HijackThis、IceSword、LSP-Fix等工具協助清除 (要自己動手清除,對一般來說,比較困難)。
COMMENT: To Roger 您好,我看到您有提到這個網站目前沒問題了,目前這個網站中毒資訊可以更正或直接移除嗎?謝謝。
COMMENT: to Rogre 終於被我搞好了.你上述軟体我剛好都沒有.所以用了笨方法. 先把系統還原關掉後.Documents and Settings 裡的Templates 及Temporary Internet Files 還有Cookies刪掉,就完全不會在偵測到中毒資訊了.