捷克論壇 JKF

 找回密碼
 加入會員
搜尋
查看: 821 | 回覆: 1 | 跳轉到指定樓層
doudou10722
王子 | 2009-3-13 19:09:18

吉瑞科技最近發現,很多網頁中都被植入c.js腳本程式之惡意連結(hxxp://3b3.org/c.js)。 當受害者瀏覽這些網頁後,此惡意連結將會下載其它腳本程式,緊接著,電腦就非常忙碌地下載及執行大量惡意程式(小紅傘防毒軟體偵測此惡意程式為 TR/Crypt.Delf.C.24)。此案例中,比較特別的地方在於,其中有一腳本程式使用網頁編碼工具(HTMLShip XP)編譯過,企圖躲避防護軟體的偵測。
c.js腳本程式

網頁內容被HTMLShip XP編碼過

惡意腳本執行後,大量下載惡意程式

當使用Google搜尋引擎查詢,約有4萬筆資料符合hxxp://3b3.org/c.js,繁體中文網頁部份,大約有600筆資料,可見很多網站和網友受害。
Google查詢結果

另外,由我們所收集到的資訊得知,目前至少有一家台灣的銀行網站(使用HTTPS)被植入此惡意連結,以下是分析的結果:
新增執行程序:
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\Server.exe
新增檔案:
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\Server.exe
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\TMP4351$.TMP
C:\Program Files\Common Files\SafeSys.exe
新增註冊碼:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0=rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 「C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\」
VirusTotal掃瞄結果,請瀏覽 http://www.virustotal.com/zh-tw/analisis/5a0c9a455361c04d8570fe7e7ff832bd
最後,吉瑞科技提醒使用者及用戶,請盡速更新防毒軟體特徵碼,如果可以的話,請將此惡意連結網址加入黑名單中。
【有關吉瑞科技】
長期觀察與研究資訊安全威脅,以及專注於研發與代理資安軟硬體產品,並且提供專業資安服務給客戶,以降低客戶所承受的安全威脅風險。若欲瞭解更多相關資訊,歡迎瀏覽吉瑞科技公司網頁 http://www.g-ray.com.tw
回覆 使用道具
y903052001
大公爵 | 2009-4-4 15:57:20

瀏覽網頁也要多注意~
回覆 使用道具
您需要登入後才可以回覆 登入 | 加入會員

回頂部 下一篇文章 放大 正常倒序 快速回覆 回到列表