吉瑞科技：c.js網頁掛馬 威脅升高

吉瑞科技：c.js網頁掛馬 威脅升高

2009 年 03 月 12 日 – 18:49:59

【2009年3月12日台北訊】吉瑞科技最近發現，很多網頁中都被植入c.js腳本程 式之惡意連結（hxxp://3b3.org/c.js）。 當受害者瀏覽這些網頁後，此惡意連結將會下載其它腳本程式，緊接著，電腦就非常忙碌地下載及執行大量惡意程式（小紅傘防毒軟體偵測此惡意程式為 TR/Crypt.Delf.C.24）。此案例中，比較特別的地方在於，其中有一腳本程式使用網頁編碼工具（HTMLShip XP）編譯過，企圖躲避防護軟體的偵測。

c.js腳本程式

網頁內容被 HTMLShip XP編碼過

惡意腳本執行後， 大量下載惡意程式

當使用Google搜尋引擎查詢，約有4萬筆資料符合hxxp://3b3.org/c.js，繁體中文網頁部 份，大約有600筆資料，可見很多網站和網友受害。

Google查詢 結果

另外，由我們所收集到的資訊得知，目前至少有一家台灣的銀行網站（使用HTTPS）被植入此惡意連結，以下是分析的結果：

新增執行程序：
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\Server.exe

新增檔案：
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\Server.exe
C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\TMP4351$.TMP
C:\Program Files\Common Files\SafeSys.exe

新增註冊碼：
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0=rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 “C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\”

VirusTotal掃描結果，請瀏覽 http://www.virustotal.com/zh-tw/analisis/5a0c9a455361c04d8570fe7e7ff832bd。

最後，吉瑞科技提醒使用者及用戶，請盡速更新防毒軟體特徵碼，如果可以的話，請將此惡意連結網址加入黑名單中。

【有關吉瑞科技】
長期觀察與研究資訊安全威脅，以及專注於研發與代理資安軟硬體產品，並且提供專業資安服務給客戶，以降低客戶所承受的安全威脅風險。若欲瞭解更多相關資 訊，歡迎瀏覽吉瑞科技公司網頁 http://www.g-ray.com.tw。