Roger at 4:27 pm on 星期三, 十一月 1, 2006
資策會首頁(
iiiedu.org.tw...)今天被植入木馬(Lineage),到現在為止,都還未被移除,請各位小心囉。
以下是這隻木馬的行為:
1. 首頁被植入iframe
“
http://w.... fxkfxk .com/333/us.asp” width=”0″ height=”0″ scrolling=”no” frameborder=”0″
2. 檔案 us.asp 是一個 VBScript,它會下載或執行 us.exe。
3. 執行之後,系統會產生:
[Added process]
C:\WINDOWS\svchost.exe
[DLL Injection]
C:\WINDOWS\svchost.exe 注入某些執行程序,例如, svchost.exe 等等。
C:\WINDOWS\system32\PDLL.dll 注入某些執行程序,例如, svchost.exe、explorer.exe 等等。
C:\WINDOWS\winnt.dll 注入某些執行程序,例如, 瀏覽器等等。
C:\WINDOWS\winntKey.DLL 注入某些執行程序,例如, svchost.exe 等等。
[Added service]
NAME=PigeonServer
DISPLAY=PigeonServer
FILE=C:\WINDOWS\winnt.exe
[Drop Files]
C:\Program Files\WindowsUpdate\1.exe
C:\Program Files\WindowsUpdate\2.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\PDLL.dll
C:\WINDOWS\winnt.dll
C:\WINDOWS\winnt.exe
C:\WINDOWS\winntKey.DLL
[Added Registries]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon||Value=Userinit||Data=C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\svchost.exe,