**高度危險網站:常常被植入惡意連結,列入網站黑名單,不建議瀏覽此網站**
ESPNSTAR 體育台網站、東風電視台、手機王網站 (已修復)、台灣電子地圖服務網網站又被植入惡意連結,已經通知他們,但到現在都尚未移除 (2007/4/7 @21:20),最近有瀏覽這些網頁的網友 (受害者應該很多吧),應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息。另外,此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)。之前已經聯絡他們很多次,希望他們好好檢查系統或軟體有沒有安全漏洞,但廠商真是鴕鳥心態,根本就懶得處理,枉顧消費者權益,建議各位打電話去抗議 (團結力量大囉)。
**請幫忙通知他們,謝謝**
ESPNSTAR 體育台網站:
東風電視台:
手機王網站:
台灣電子地圖服務網網站:
惡意連結是放置在首頁中的:
惡意程式碼的一部分為 (使用 malformed ascii bypassing 的技術,看起來像是毫無意義,實際上,它是可以被執行的):
當執行此惡意程式時,會產生一個應用程式錯誤訊息:
執行之後,有下面的行為:
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\qing.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\test[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\update[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\7888p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\9197p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\update[1].htm
到目前為止 (2007/4/7 @ 15:55),下面的防毒軟體可以偵測到這些惡意檔案:
qing.exe:
[ Alpha_Gen ], "NSPM_Protected"
[ Beta_Gen ], "Possible_MLWR-1"
[ Microsoft ], "Virus:Win32/Detnat.F"
[ McAfee ], "New Malware.bc !!"
[ Sophos ], "Mal/Packer"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSAnti.Gen"
[ Norman ], "Trojan Suspicious_N.gen"
[ Ahnlab ], "infected by Win32/NSAnti.suspicious"
update[1].exe:
[ Alpha_Gen ], "NSPM_Protected"
[ Beta_Gen ], "Possible_MLWR-1"
[ Microsoft ], "Virus:Win32/Detnat.F"
[ McAfee ], "New Malware.bc !!"
[ Sophos ], "Mal/Packer"
[ Fortinet ], "suspicious"
[ HBEDV ], "TR/Crypt.NSAnti.Gen"
[ Norman ], "Trojan Suspicious_N.gen"
[ Ahnlab ], "infected by Win32/NSAnti.suspicious"
文章標籤
全站熱搜

COMMENT: 蘋果日報有報導, 就在我給的網址.
COMMENT: 我看了也不禁啞然失笑, 很多網站的業主以為有防火牆就好, 吾人倒覺得拔掉網路連線甚至關server不是"防"得更徹底嗎? (笑)
COMMENT: 你可以根據執行後的行為 (還要參考之前幾篇相關的文章),檢查系統是否有此行為,如果沒有,可能沒有中毒 (不能 100% 保證)。 我看了也很想笑,倒底是用哪個廠牌的防火牆,這麼厲害,可以攔截病毒,他們應該要公佈資訊喔。
COMMENT: 謝謝Roger!我會試著確定看看,但是可能得先問幾個問題. 像是[Added process][DLL injection][Added file] 是不是就根據你給的路徑去找有沒有那個檔案就可以知道? 可以從安全模式開啟,然後刪除解決嗎? 然後[Added service][Added LSP]我就完全不懂要去哪裡找了? 不好意思!實在不是很懂這些,又突然看到新聞,很擔心電腦已經中毒. 或是有什麼基礎的參考文章,介紹給我自己去查看. 非常感謝!
COMMENT: Added service 可以從電腦服務 [電腦->按滑鼠右鍵->管理] 或 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 中看見。 Added LSP可以利用 Sysinternals' Autoruns 中看見 (在 Winsock Provides),修復工具,可參考「如何修復被惡意程式破壞的Winsock?」
COMMENT: 請問一下,瀏覽到這類的網站,應該是在特定的條件下才會中獎吧,例如使用的手法為零時差弱點.如果使用的手法為已知弱點,但patch已更新到最新,且瀏覽器的安全等級調至中或中高等級,是否仍會中獎呢?
COMMENT: 如果病毒是利用安全漏洞入侵系統,基本上,只要修補此安全漏洞的程式沒問題,就不會中獎。另外,此種網頁病毒常常更新,所以,即使已更新所有安全漏洞修補程式 (未知趨近無限大) 或瀏覽器的安全等級調至中或中高等級,不能保證完全沒問題。如果可以的話,可以設定系統不允許執行 Script 或改用 Firefox (至少 IE 比較常被攻擊),或是利用VMWare上網,比較保險。
COMMENT: 大砲開講上報了 ^O^ http://apple.1-apple.com.tw/index.cfm?Fuseaction=Article&Sec_ID=5&ShowDate=20070409&NewsType=twapple&Loc=TP&Art_ID=3381451 -----
COMMENT: 『司法院資訊管理處長郭瑞蘭表示,程式病毒被司法院網站防火牆擋下,資料未外洩。』 好厲害的防火牆啊!
COMMENT: 那裡有報導呢?真想問問看他們使用哪個牌子的防火牆呢?(第一次聽到防火牆可以攔截病毒的訊息)
COMMENT: 天啊!我最近常上ESPN跟台灣電子地圖服務網耶! 請問我要如何確定我有沒有中毒啊? 我上這些網站時Norton2003都沒有任何反應(已經liveupdate最新病毒碼4/4) 今天早上看到消息後進行全系統掃瞄也沒任何發現 可是我沒出現過qing.exe執行錯誤的訊息 我的電腦也沒有C:\Documents and Settings\Administrator資料夾 是不是逃過一劫了啊?
COMMENT: 請問一下, 有些業者到現在還不認為自己被入侵, 還在一直?拉拉, 請問版主該如何"規勸"這些業者, 以維護小老百姓安全上網的權利
COMMENT: sogi.com.tw & map.com.tw 似乎已經修正了吧..我看原始碼沒有iframe.
COMMENT: 哇~~連警察局的警用電腦也遭入侵.是用P2P和FOXY分享軟體入侵的. 我想一定是有警員去下載FOXY才會這樣.
COMMENT: 我知道有很多人都用FOXY.因為免費.但我絕得最好不要用FOXY下載音樂.因為他是違法的和真的很容易中毒.
COMMENT: http://w w w.tayata.com.tw/ 這個也中了 =.=誰去通知一下
COMMENT: 已通報
COMMENT: 用VMWare之類的虛擬機器上網真是個好主意。 可是機器較慢的人可能就跑不動了…XD。 不知道有沒有什麼AP可以把木馬、病毒"關"到虛擬環境,不讓它寫入到user的真實環境中…