※ 引述《Xyrho ()》之銘言： : http://www.zdnet.com.tw/news/software/0,2000085678,20136852,00.htm : ZDNET新聞專區 2009/03/13 19:14:02 : 小紅傘在台總代理商─吉瑞科技發現，很多網頁都被植入c.js腳本程式的惡意連結 : （hxxp://3b3.org/c.js）。 : 當網友瀏覽這些網頁後，此惡意連結將會下載其它腳本程式，緊接著，電腦就非常忙碌 : 地下載及執行大量惡意程式（小紅傘防毒軟體偵測此惡意程式為 TR/Crypt.Delf.C.24 : ）。吉瑞科技表示，在此案例中，比較特別的地方是，其中有一腳本程式使用網頁編碼 : 工具（HTMLShip XP）編譯過，企圖躲避防護軟體的偵測。 : 吉瑞科技指出，當使用Google搜尋引擎查詢，約有4萬筆資料符合hxxp://3b3.org/c.js : ，繁體中文網頁部份，大約有600筆資料，可見很多網站和網友受害。另外也發現，目 : 前至少有一家台灣銀行網站（使用HTTPS）被植入此惡意連結。 : 為閉免受害使用者及用戶，吉瑞科技建議使用者，儘速更新防毒軟體特徵碼，並將此惡 : 意連結網址加入黑名單。 原文續...(以下摘自大砲開講) 以下是分析的結果： 新增執行程序： C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\Server.exe 新增檔案： C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\Server.exe C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\TMP4351$.TMP C:\Program Files\Common Files\SafeSys.exe 新增註冊碼： HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0= rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\" VirusTotal掃描結果，請瀏覽 http://www.virustotal.com/zh-tw/analisis/5a0c9a455361c04d8570fe7e7ff832bd 話說該連結裡顯示 小紅傘沒掃到毒耶 囧rz... 大砲開講有包含此ZDNET新聞的詳細全文^^ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 編輯: xiaoyao 來自: 220.129.164.173 (03/13 22:31)