文魁資訊網站被植入惡意連結
2008 年 06 月 26 日 – 00:08:24文魁資訊網站被植入惡意連結,此惡意程式為 Possible_Asprox,最近有瀏覽這個網頁的網友,請要盡速檢查自己的電腦是否有中毒的情形 (Credit: Jimau)。
對此網站或惡意連結,Google Search、McAfee SiteAdvisor 查詢結果,都顯示正常。
惡意連結/程式碼是放置在上述網址 (其他頁面,可能要仔細檢查一下囉) 中的:
Google Search 查詢結果(未發現異狀),如下圖所示:
McAfee SiteAdvisor 查詢結果(未發現異狀),如下圖所示:
趨勢科技網頁信譽評等查詢結果(發現異狀),如下圖所示:
執行之後,有下面的行為:
[Added hidden process]
C:\WINDOWS\system32\aspimgr.exe
[Added service]
NAME: aspimgr
DISPLAY: Microsoft ASPI Manager
FILE: C:\WINDOWS\system32\aspimgr.exe
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\_check32.bat
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\b[1].js
C:\WINDOWS\s32.txt
C:\WINDOWS\system32\aspimgr.exe
C:\WINDOWS\ws386.ini
[Added registry]
太多…省略
到目前為止 (2008/6/19 @ 1:25),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):
aspimgr.exe:
[ Trend ], "Possible_Asprox"
b[1].js:
[ Microsoft ], "Trojan:JS/Redirector.N"
[ Kaspersky ], "Trojan-Downloader.JS.Agent.ccu, Trojan-Downloader.JS.Agent.ccu, Trojan-Downloader.JS.Agent.ccu, Trojan-Downloader.JS.Agent.ccu"
[ Sophos ], "Troj/Iframe-AG"
[ Norman ], "Trojan HTML/Exploit!IFrame.G"
[ Authentium ], "JS/Agent.GI"
[ bitdefender ], "Trojan.IFrame.DR"
沒有留言:
張貼留言