大砲開講

更新資訊：已修復 (2007/4/10 @ 15:12) **高度危險網站：常常被植入惡意連結，列入網站黑名單，不建議瀏覽此網站**ESPNSTAR 體育台網站又被植入惡意連結 (今天上了蘋果日報後，才移除惡意連結，現在又有問題，我看各位自求多福吧)，最近有瀏覽這些網頁的網友 (受害者應該很多吧)，應該要盡速檢查自己的電腦。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。另外，此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)。希望他們好好檢查系統或軟體有沒有安全漏洞，但廠商真是鴕鳥心態，根本就懶得處理，枉顧消費者權益，建議各位打電話去抗議 (團結力量大囉)。(感謝 Edward 告知) **請幫忙通知他們，謝謝** 惡意連結是放置在 AVList.asp 中的： 惡意程式碼的一部分為： 執行之後，有下面的行為： [Added process] C:\WINDOWS\avp.exe [DLL injection] C:\WINDOWS\system32\ldmedia5.dll (注入某個執行程序) [Added service] NAME: VGADown DISPLAY: Audio Adapter FILE: C:\WINDOWS\avp.exe NAME: WS2IFSL (這是正常的服務) DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment FILE: \SystemRoot\System32\drivers\ws2ifsl.sys [Added file] C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\flash[1].jpg C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\getflashplayer[1].htm C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\ani[1].htm C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\xskj[1].jpg C:\WINDOWS\avp.exe C:\WINDOWS\system32\ldmedia5.dll [Added LSP] ID: 1012 NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\ldmedia5.dll) ID: 1013 NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\ldmedia5.dll) 到目前為止 (2007/4/10 @ 01:14)，下面的防毒軟體可以偵測到這些惡意檔案： avp.exe: [ Trend ], "Possible_Virus" flash[1].jpg: [ Trend ], "TROJ_MARAN.GU" xskj[1].jpg: [ AhnLab-V3 ], “Win-Trojan/Exploit-ANI.B” [ AntiVir ], “EXP/MS05-002.Ani.A” [ BitDefender ], “Exploit.Win32.MS05-002.Gen” [ CAT-QuickHeal ], “Exploit.MS05-002〃 [ ClamAV ], “Exploit.W32.MS05-002〃 [ eTrust-Vet ], “Win32/MSA-935423!exploit” [ Ewido ], “Not-A-Virus.Exploit.Win32.IMGANI.h” [ F-Secure ], “Exploit.Win32.IMG-ANI.h” [ Kaspersky ], “Exploit.Win32.IMG-ANI.h” [ McAfee ], “Exploit-ANIfile.c” [ Microsoft ], “TrojanDownloader:Win32/Anicmoo.gen!D” [ NOD32v2 ], “a variant of Win32/TrojanDownloader.Ani.Gen” [ Norman ], “RIFF/Ani_exploit.gen” [ Sophos ], “Troj/Animoo-U” [ Symantec ], “Trojan.Anicmoo” [ Trend ], “EXPL_ANICMOO.GEN” [ VirusBuster ], “Exploit.ANIFile.G” [ Webwasher-Gateway ], “Exploit.MS05-002.Ani.A” ldmedia5.dll: [ Fortinet ], "suspicious" [ HBEDV ], "TR/Drop.Maran.C.3"