資策會首頁(www.iiiedu.org.tw)今天被植入木馬(Lineage)

Home Home
登入註冊發表列印 載入圖片
引用 | 編輯 upside
2006-11-03 04:28		 樓主
推文 x0
Roger at 4:27 pm on 星期三, 十一月 1, 2006
資策會首頁(www.iiiedu.org.tw)今天被植入木馬(Lineage),到現在為止,都還未被移除,請各位小心囉。

以下是這隻木馬的行為:

1. 首頁被植入iframe
http://www. fxkfxk .com/333/us.asp” width=”0″ height=”0″ scrolling=”no” frameborder=”0″

2. 檔案 us.asp 是一個 VBScript,它會下載或執行 us.exe。

3. 執行之後,系統會產生:
[Added process]
C:\WINDOWS\svchost.exe

[DLL Injection]
C:\WINDOWS\svchost.exe 注入某些執行程序,例如, svchost.exe 等等。
C:\WINDOWS\system32\PDLL.dll 注入某些執行程序,例如, svchost.exe、explorer.exe 等等。
C:\WINDOWS\winnt.dll 注入某些執行程序,例如, 瀏覽器等等。
C:\WINDOWS\winntKey.DLL 注入某些執行程序,例如, svchost.exe 等等。

[Added service]
NAME=PigeonServer
DISPLAY=PigeonServer
FILE=C:\WINDOWS\winnt.exe

[Drop Files]
C:\Program Files\WindowsUpdate\1.exe
C:\Program Files\WindowsUpdate\2.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\PDLL.dll
C:\WINDOWS\winnt.dll
C:\WINDOWS\winnt.exe
C:\WINDOWS\winntKey.DLL

[Added Registries]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon||Value=Userinit||Data=C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\svchost.exe,

獻花 x0
引用 | 編輯 upside
2006-11-03 13:02		 1樓
  
http://www.iii.org.tw/index1.htm

呵呵 真的有問題 竟然還無法解決 只是暫時先將首頁名稱改變原首頁換下

獻花 x0