PCZONE 討論區 - 木馬樣本 hixga.exe

PCZONE 討論區 (https://www.pczone.com.tw/vbb3/)

- -- 防駭 / 防毒版 (https://www.pczone.com.tw/vbb3/forum/28/)

- - 木馬樣本 hixga.exe (https://www.pczone.com.tw/vbb3/thread/28/149977/)

木馬樣本 hixga.exe

附件: 木馬樣本 hixga.rar, 請解開並重新命名

[URL="http://www.virustotal.com/zh-tw/analisis/8afc29dddbf28aa88a0f6d580ffb999335b0d03b495d823e30edcc05b54e1fe8-1263723614"]VirusTotal - 免費線上病毒和惡意軟體掃瞄 - 結果[/URL]

該木馬會在以下:[INDENT]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit[/INDENT]建立一個鍵值, 木馬本身存放於%SystemRoot%\system32 資料夾, 由於Userinit 和使用者登入有關, 因此安全模式之下仍會載入木馬, 所以最好以其他方式啟動系統, 再將之移除

若不知如何手動移除, 請參考 "[URL="http://www.pczone.com.tw/vbb3/thread/28/149959/"]請問有何簡單的方法砍掉藏於 Userinit 之下的病毒? - PCZONE 討論區[/URL]"

雖然知道是木馬, 但小弟不知道其行為為何, 例如遊戲盜號或鍵盤側錄, 敬請高手指點一二

回覆: 木馬樣本 hixga.exe

hi~ 剛剛看了掃瞄結果，因為我是用趨勢officescan，偵測的病毒名稱是

TSPY_MAGANIA.KJ，去查詢趨勢的病毒百科，趨勢將此惡意程式歸類為木馬間諜

程式，其病毒百科裡的說明描述間諜程式因為使用者不小心同意安裝間諜程式，

且間諜程式通常都在作業系統背景執行，除了會竊取個人資訊之外也會導致網路及

作業系統的效能下降。因此建議避免中此種病毒，就是不要安裝來路不明的程式，

連結如下，參考看看～

[url]http://threatinfo.trendmicro.com/vinfo/zh-tw/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FMAGANIA%2EKJ[/url]

回覆: 木馬樣本 hixga.exe

我火狐首頁設GOOGLE
今天中午2點多後開PCZONE的討論串卡巴都會跳出警示

2010/1/25 下午 02:13:22 已偵測: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:13:22 拒絕: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:13:22 已偵測: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:13:22 拒絕: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:13:51 已偵測: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:13:52 已偵測: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:13:52 拒絕: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:14:04 已偵測: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:14:04 拒絕: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:14:05 已偵測: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:14:05 拒絕: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:14:44 已偵測: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:14:44 拒絕: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:14:45 已偵測: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:14:45 拒絕: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:16:30 已偵測: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:16:30 拒絕: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]
2010/1/25 下午 02:16:31 已偵測: Trojan.JS.Redirector.ar Firefox [url]http://pagead2.googlesyndication.com/pagead/show_ads.js//show_ads[/url]

GOOGLE又被攻擊了嗎?