知名人力資源公司Career部落格網站遭到入侵,網頁被植入惡意連結,到現在為止(2009/2/24@12:50),惡意連結尚未被移除。如果最近有瀏覽該網站的網頁們,最好趕緊檢查自己的電腦,因為可以偵測此惡意程式的防毒軟體幾乎很少,小紅傘防毒軟體偵測名稱為「BDS/Hupigon.Gen」。另外,此事件隱含另一個議題──資料外洩,至於這個部份,必須等待檢調單位的調查(此事件首先由網駭科技的WebAlert所發現)。
以下是此惡意程式的分析結果:
1. 當您連上Career部落格網站首頁,網頁原始碼出現一惡意連結,如下圖所示:
2. 上圖中的「evil.htm」包含一段JavaScript程式碼,如下圖所示:
3. 經過分析後,此惡意程式碼使用三個安全漏洞,分別是CVE-2008-2463(MS08-041), CVE-2007-4816, CVE-2007-5807。
4. 此惡意程式執行後,系統會產生一些變化,如下所示:
[增加服務]
服務名稱:NVIDIA Display Driver Server
檔案位置:C:\Program Files\Common Files\Microsoft Shared\MSINFO\rav2009.exe
[增加檔案]
C:\Program Files\Common Files\Microsoft Shared\MSInfo\rav2009.exe
5. VirusTotal掃描結果,如下所示:
a-squared 4.0.0.93 2009.02.23 Virus.Win32.Hupigon.AMD!IK
AhnLab-V3 2009.2.23.2 2009.02.23 -
AntiVir 7.9.0.87 2009.02.23 BDS/Hupigon.Gen
Authentium 5.1.0.4 2009.02.23 W32/Downloader.C.gen!Eldorado
Avast 4.8.1335.0 2009.02.23 -
AVG 8.0.0.237 2009.02.23 -
BitDefender 7.2 2009.02.23 Trojan.AgentMB.Delf.ALECB8718276
CAT-QuickHeal 10.00 2009.02.22 -
ClamAV 0.94.1 2009.02.23 -
Comodo 984 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.23 BackDoor.Beizhu.2360
eSafe 7.0.17.0 2009.02.19 Suspicious File
eTrust-Vet 31.6.6369 2009.02.23 Win32/Dowque!generic
F-Prot 4.4.4.56 2009.02.23 W32/Downloader.C.gen!Eldorado
F-Secure 8.0.14470.0 2009.02.23 -
Fortinet 3.117.0.0 2009.02.23 -
GData 19 2009.02.23 Trojan.AgentMB.Delf.ALECB8718276
Ikarus T3.1.1.45.0 2009.02.23 Virus.Win32.Hupigon.AMD
K7AntiVirus 7.10.639 2009.02.21 -
Kaspersky 7.0.0.125 2009.02.23 Heur.Trojan.Generic
McAfee 5533 2009.02.22 New Malware.ix
McAfee+Artemis 5533 2009.02.22 New Malware.ix
Microsoft 1.4306 2009.02.23 VirTool:Win32/DelfInject.gen!L
NOD32 3881 2009.02.23 probably a variant of Win32/Hupigon
Norman 6.00.06 2009.02.23 -
nProtect 2009.1.8.0 2009.02.23 -
Panda 10.0.0.10 2009.02.22 Bck/Hupigon.LIT
PCTools 4.4.2.0 2009.02.23 -
Prevx1 V2 2009.02.23 -
Rising 21.18.02.00 2009.02.23 Backdoor.Win32.Undef.ceu
SecureWeb-Gateway 6.7.6 2009.02.23 Trojan.Backdoor.Hupigon.Gen
Sophos 4.39.0 2009.02.23 Mal/Behav-058
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.23 -
TheHacker 6.3.2.5.263 2009.02.23 -
TrendMicro 8.700.0.1004 2009.02.23 -
VBA32 3.12.10.0 2009.02.22 MalwareScope.Trojan-PSW.Game.16
ViRobot 2009.2.23.1618 2009.02.23 -
VirusBuster 4.5.11.0 2009.02.22 -
謝謝分享!!
話說...我..昨天第一次上Career部落格...= ="
回去趕快檢查我的電腦....>___<...
我剛剛進去看過了~~~就是那個Career職涯部落格...
但是好像他們IT已經處理過了..因為看不見病毒了...
終於可以放心了!!
使用Chrome上網會是一個比較安全的選擇!
很多惡意連結,Chrome會先提醒我!
問我是否要繼續?
按下否,就會自動離開那個連結!
Roger
iThome鐵人賽
看影片追技術