作者xiaoyao (改變)
看板AntiVirus
標題Re: [情報] c.js網頁掛馬 威脅升高
時間Fri Mar 13 22:26:58 2009
※ 引述《Xyrho ()》之銘言:
: http://www.zdnet.com.tw/news/software/0,2000085678,20136852,00.htm
: ZDNET新聞專區 2009/03/13 19:14:02
: 小紅傘在台總代理商─吉瑞科技發現,很多網頁都被植入c.js腳本程式的惡意連結
: (hxxp://3b3.org/c.js)。
: 當網友瀏覽這些網頁後,此惡意連結將會下載其它腳本程式,緊接著,電腦就非常忙碌
: 地下載及執行大量惡意程式(小紅傘防毒軟體偵測此惡意程式為 TR/Crypt.Delf.C.24
: )。吉瑞科技表示,在此案例中,比較特別的地方是,其中有一腳本程式使用網頁編碼
: 工具(HTMLShip XP)編譯過,企圖躲避防護軟體的偵測。
: 吉瑞科技指出,當使用Google搜尋引擎查詢,約有4萬筆資料符合hxxp://3b3.org/c.js
: ,繁體中文網頁部份,大約有600筆資料,可見很多網站和網友受害。另外也發現,目
: 前至少有一家台灣銀行網站(使用HTTPS)被植入此惡意連結。
: 為閉免受害使用者及用戶,吉瑞科技建議使用者,儘速更新防毒軟體特徵碼,並將此惡
: 意連結網址加入黑名單。
原文續...(以下摘自大砲開講)
以下是分析的結果:
新增執行程序:
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\Server.exe
新增檔案:
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\Server.exe
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\TMP4351$.TMP
C:\Program Files\Common Files\SafeSys.exe
新增註冊碼:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0=
rundll32.exe
C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32
"C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\"
VirusTotal掃描結果,請瀏覽
http://www.virustotal.com/zh-tw/analisis/5a0c9a455361c04d8570fe7e7ff832bd
話說該連結裡顯示 小紅傘沒掃到毒耶 囧rz...
大砲開講有包含此ZDNET新聞的詳細全文^^
--
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 編輯: xiaoyao 來自: 220.129.164.173 (03/13 22:31)
→ junorn:死牛....難怪最近看到不少人中。 03/14 00:00
推 cancers753:卡巴也沒有 囧 03/14 00:52