司法院網站又被植入惡意連結,此惡意程式為 Maran 或 Lineage 的變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息。對於一個這麼高層級的政府單位,資安防護竟然做得這麼糟糕,難道,不害怕機密資料外洩嗎?還是早就被黑客們攻佔了嗎?不要再推卸責任了,趕快行動吧 (如果需要的話,可以找我幫忙,不收費)!另外,此惡意程式是利用微軟所公佈的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此為零時差攻擊)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: evans)
惡意連結是放置在 main.asp 和 left.asp (也許還有其他的頁面,他們可能要仔細檢查一下囉) 中的:
惡意程式碼的一部份為:
ANI 攻擊的部份為:
當執行此惡意程式後,會產生一個應用程式錯誤的訊息:
執行之後,有下面的行為:
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\qing.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\9197p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\7888p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\test[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\update[1].exe
到目前為止 (2007/4/18 @ 00:14),下面的防毒軟體可以偵測到這些惡意檔案:
qing.exe:
[ Trend ], “TROJ_NSANTI.CV”
[ Kaspersky, “Trojan-PSW.Win32.Maran.di”
[ McAfee ], “PWS-Lineage”
[ Sophos ], “Mal/Packer”
update[1].exe:
[ Trend ], “TROJ_NSANTI.CV”
[ Kaspersky, “Trojan-PSW.Win32.Maran.di”
[ McAfee ], “PWS-Lineage”
[ Sophos ], “Mal/Packer”
7888p[1].jpg:
[ Trend ], “TROJ_ANICMOO.AX”
[ Symantec ], “Trojan.Anicmoo”
[ Kaspersky ], “Exploit.Win32.IMG-ANI.k”
[ McAfee ], “Exploit-ANIfile.c”
[ Sophos ], “Troj/Animoo-L”
9197p[1].jpg:
[ Trend ], “TROJ_ANICMOO.AX”
[ Symantec ], “Trojan.Anicmoo”
[ Kaspersky ], “Exploit.Win32.IMG-ANI.k”
[ McAfee ], “Exploit-ANIfile.c”
[ Sophos ], “Troj/Animoo-L”
update[1].htm:
[ Kaspersky ], “Exploit.HTML.Ascii.f”
惡意連結是放置在 main.asp 和 left.asp (也許還有其他的頁面,他們可能要仔細檢查一下囉) 中的:
惡意程式碼的一部份為:
ANI 攻擊的部份為:
當執行此惡意程式後,會產生一個應用程式錯誤的訊息:
執行之後,有下面的行為:
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\qing.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\9197p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\456J8TAJ\update[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\7888p[1].jpg
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DEV01Y7\test[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\mystat[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OD2ZGLMN\update[1].exe
到目前為止 (2007/4/18 @ 00:14),下面的防毒軟體可以偵測到這些惡意檔案:
qing.exe:
[ Trend ], “TROJ_NSANTI.CV”
[ Kaspersky, “Trojan-PSW.Win32.Maran.di”
[ McAfee ], “PWS-Lineage”
[ Sophos ], “Mal/Packer”
update[1].exe:
[ Trend ], “TROJ_NSANTI.CV”
[ Kaspersky, “Trojan-PSW.Win32.Maran.di”
[ McAfee ], “PWS-Lineage”
[ Sophos ], “Mal/Packer”
7888p[1].jpg:
[ Trend ], “TROJ_ANICMOO.AX”
[ Symantec ], “Trojan.Anicmoo”
[ Kaspersky ], “Exploit.Win32.IMG-ANI.k”
[ McAfee ], “Exploit-ANIfile.c”
[ Sophos ], “Troj/Animoo-L”
9197p[1].jpg:
[ Trend ], “TROJ_ANICMOO.AX”
[ Symantec ], “Trojan.Anicmoo”
[ Kaspersky ], “Exploit.Win32.IMG-ANI.k”
[ McAfee ], “Exploit-ANIfile.c”
[ Sophos ], “Troj/Animoo-L”
update[1].htm:
[ Kaspersky ], “Exploit.HTML.Ascii.f”
文章標籤
全站熱搜
COMMENT: 文化總會也中了(請大家小心) 相關資訊如下: 管理者 您好 WEB受到SQL Injection 攻擊通告!! 攻擊時間:2007/04/17 21:54:18 攻擊IP:61.30.43.92 攻擊帳號: 駭客環境:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MAXTHON 2.0) 網址:Index_Detail.aspx?opt=4&id=007';ALTER%20TABLE%20blog_vote%20ALTER%20COLUMN%20vote_title%20NVARCHAR%20(3000)%20NULL;-- 內容:SELECT * FROM BLOG_TYPE where blog_type_id='007';ALTER TABLE blog_vote ALTER COLUMN vote_title NVARCHAR (3000) NULL;--' 該駭客入侵失敗!您可使用本次Log紀錄,向主辦單位提出檢舉. 系統自動防護回報系統 敬上 -----
COMMENT: 請問你是如何得知此訊息呢?謝謝。
COMMENT: 已通知該單位之聯絡人
COMMENT: 唉..通知單位聯絡人....沒啥用吧 這種事情 小弟我本身就是在"那個"地方工作....資管處....不知道該說啥啊 鬧到上新聞比較有用吧 鴕鳥心態 是政府機關普遍的問題 在想詐騙集團的資料 很多應該都是由公家機關裡流出吧 公家機關網路安全印象中都.......(無言啊) 想起了之前教育部 回信髒話事件 偉大的杜老爺 不就馬上說是駭客入侵嗎(我是不相信啦)
COMMENT: Animated Cursor Handling的修補程式己經出了半個月了 不能再算零時差攻擊了吧
COMMENT: 剛有再連上司法院首頁過,卡巴沒有再發出警訊了 看來似乎是暫時移除連結了,不過不知道漏洞有沒有補起來 不然應該還有再遭駭的可能