【病毒轉貼】時報旅遊 (中國時報旅行社) 網站又被植入惡意連結



贊助商連結


sai7sai
2007-03-18, 11:23 AM
**請幫忙通知他們,謝謝**

時報旅遊 (中國時報旅行社) 網站又被植入惡意連結。這是一個旅遊資訊網站,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦。對於一個旅遊網站常常被植入惡意連結,導致消費者權益受損,實在是不應該,他們的網管人員真的該檢討。請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\avp.exe

[DLL injection]
C:\WINDOWS\system32\od2media.dll (注入 IE 的執行程序)

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\1111[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\3[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

詳細情形,請參考「大砲開講部落格 (http://malware-test.com/blog/archives/2007/03/18/815)」。

又是 CTS....枉顧消費者權益,應該要唾棄他們。:mad:

贊助商連結


hn1271n
2007-03-18, 04:58 PM
這隻病毒的作者很惡劣,為了避免查殺居然還把自己的檔名取為avp.exe企圖讓人誤以為是卡巴斯基的檔案

proll
2007-03-18, 10:39 PM
原體今天早上提取了1111.exe

yuping
2007-03-18, 10:43 PM
附上病毒樣本

大灰芒果
2007-03-19, 01:10 AM
附上病毒樣本

這次 AntiVir PE Classic 偵測不到了。

yycm
2007-03-19, 01:50 AM
用卡巴跟Dr.web掃不出來,已回報
上傳到Virustotal後出現的結果更慘...

http://i176.photobucket.com/albums/w163/imdino/virus/3.jpg

hwwgo
2007-03-19, 04:15 AM
附上病毒樣本

下載病毒
htp://520.gamaniatw.com/520.exe

yuping
2007-03-19, 07:30 AM
下載病毒
htp://520.gamaniatw.com/520.exe

as attachment

520pk
2007-03-19, 08:10 AM
as attachment

小紅傘掃到威脅
Begin scan in 'F:\test\520.zip'
F:\test\520.zip
[0] Archive type: ZIP
--> 520.exe
[DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen
[WARNING] The file was ignored!

sai7sai
2007-03-23, 10:29 AM
又被值入惡意連結,真是... :mad:

請參考「時報旅遊 (中國時報旅行社) 網站又被植入惡意連結 (http://malware-test.com/blog/archives/2007/03/23/852)」。