【病毒轉貼】時報旅遊 (中國時報旅行社) 網站又被植入惡意連結

[B]**請幫忙通知他們，謝謝**[/B]

時報旅遊 (中國時報旅行社) 網站又被植入惡意連結。這是一個旅遊資訊網站，最近有瀏覽這個網頁的網友，應該要盡速檢查自己的電腦。對於一個旅遊網站常常被植入惡意連結，導致消費者權益受損，實在是不應該，他們的網管人員真的該檢討。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。

執行之後，有下面的行為：

[Added process]
C:\WINDOWS\avp.exe

[DLL injection]
C:\WINDOWS\system32\od2media.dll (注入 IE 的執行程序)

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\1111[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\3[1].htm
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\od2media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\od2media.dll)

詳細情形，請參考「[URL="http://malware-test.com/blog/archives/2007/03/18/815"]大砲開講部落格[/URL]」。

[B][COLOR="Red"]又是 CTS....枉顧消費者權益，應該要唾棄他們。[/COLOR][/B]:mad:

這隻病毒的作者很惡劣,為了避免查殺居然還把自己的檔名取為avp.exe企圖讓人誤以為是卡巴斯基的檔案

原體今天早上提取了1111.exe

附上病毒樣本

[QUOTE=yuping;956868]附上病毒樣本[/QUOTE]

這次 AntiVir PE Classic 偵測不到了。

用卡巴跟Dr.web掃不出來，已回報
上傳到Virustotal後出現的結果更慘...

[IMG]http://i176.photobucket.com/albums/w163/imdino/virus/3.jpg[/IMG]

[QUOTE=yuping;956868]附上病毒樣本[/QUOTE]

下載病毒
htp://520.gamaniatw.com/520.exe

[QUOTE=hwwgo;956912]下載病毒
htp://520.gamaniatw.com/520.exe[/QUOTE]

as attachment

[QUOTE=yuping;956920]as attachment[/QUOTE]

小紅傘掃到威脅
Begin scan in 'F:\test\520.zip'
F:\test\520.zip
[0] Archive type: ZIP
--> 520.exe
[DETECTION] Is the Trojan horse [COLOR="Red"]TR/Crypt.NSPM.Gen[/COLOR]
[WARNING] The file was ignored!

又被值入惡意連結，真是... :mad:

請參考「[URL="http://malware-test.com/blog/archives/2007/03/23/852"]時報旅遊 (中國時報旅行社) 網站又被植入惡意連結[/URL]」。