Maxell 網站被植入惡意連結,此惡意程式為 Lineage 的變種,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。。另外,此惡意程式是利用微軟所公佈ANI 的安全漏洞 (Vulnerability in Windows Animated Cursor Handling) (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。(Credit: 匿名網友和~魂)
惡意連結是放置在首頁 (可能要仔細檢查一下囉) 中的:
惡意程式碼的一部份為:
執行之後,有下面的行為:
[DLL injection]
C:\WINDOWS\Debug\UserMode\2A8967.dll (注入某些執行程序如檔案總管、IE 等)
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\714[1].gif
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\help[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\laog[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\m[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\index614[1].htm
C:\WINDOWS\Debug\UserMode\2A8967.dll
C:\WINDOWS\Debug\UserMode\2A8967.exe
[Added COM/BHO]
{BEE22F69-4E86-487E-A02E-19AF9AE6014F}-C:\WINDOWS\debug\userMode\2A8967.dll
到目前為止 (2007/5/4 @ 18:04),下面的防毒軟體可以偵測到這些惡意檔案 (除了 ANI 檔案外):
2A8967.exe:
[ Trend ], "Possible_Infostl"
m[1].exe:
[ Trend ], "Possible_Infostl"
2A8967.dll:
[ Trend ], "Possible_Infostl"
index614[1].htm:
[ McAfee ], "VBS/Psyme"
[ Sophos ], "Mal/Psyme-A"
[ Fortinet ], "VBS/Psyme.CH!tr.dldr"
[ Rising ], "Trojan.DL.VBS.Agent.cgk"
惡意連結是放置在首頁 (可能要仔細檢查一下囉) 中的:
惡意程式碼的一部份為:
執行之後,有下面的行為:
[DLL injection]
C:\WINDOWS\Debug\UserMode\2A8967.dll (注入某些執行程序如檔案總管、IE 等)
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\714[1].gif
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\help[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\laog[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\m[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\index614[1].htm
C:\WINDOWS\Debug\UserMode\2A8967.dll
C:\WINDOWS\Debug\UserMode\2A8967.exe
[Added COM/BHO]
{BEE22F69-4E86-487E-A02E-19AF9AE6014F}-C:\WINDOWS\debug\userMode\2A8967.dll
到目前為止 (2007/5/4 @ 18:04),下面的防毒軟體可以偵測到這些惡意檔案 (除了 ANI 檔案外):
2A8967.exe:
[ Trend ], "Possible_Infostl"
m[1].exe:
[ Trend ], "Possible_Infostl"
2A8967.dll:
[ Trend ], "Possible_Infostl"
index614[1].htm:
[ McAfee ], "VBS/Psyme"
[ Sophos ], "Mal/Psyme-A"
[ Fortinet ], "VBS/Psyme.CH!tr.dldr"
[ Rising ], "Trojan.DL.VBS.Agent.cgk"
文章標籤
全站熱搜
請問在laog.htm惡意網站,還有兩個惡意網址help.html與index614.htm.他們所在網址來源是www.acttw.com安晟科技,不過安晟科技網頁中我並沒找到問題,不知道是否成為跳板或是其他狀況呢?!
那個網站只是被當成跳板,我已經通知他們,不曉得他們會不會處理呢?