[ 安全通報 ] 27 十月, 2010 14:35

 

最新更新: 經過持續的追蹤, 我們發現其下載點於26日23點時修改,不過仍是下載同一個病毒檔,詳細 分析如下:  

[root]hxxp://www.hopegenbio.com/upload/wenda.asp?h=/aooaozmv.html (PageRank: 2)
 [exp]hxxp://1027aa3.3322.org:225/yy2/index.htm(Exploit.Ie0dayCVE0806.a)
  [virus]hxxp://231ad.3322.org:225/yy2/no.exe

§ Anti-Virus
  * 該病毒於 VirusTotal 的偵測率為: 33/43 (76.7%)

(http://www.virustotal.com/file-scan/report.html?id=7e3f9ba29a3448dd7d3c1ac61d8339690b7d97893d112ff245e371b9511d2579-1287718655)

§ URL filter
  * 惡意網址在URLvoid的偵測率分為別: 1/18(6 %),2/18(11 %)
  ( http://www.urlvoid.com/scan/1027aa3.3322.org , http://www.urlvoid.com/scan/231ad.3322.org )
  * WebGuard 自2010-10-27起阻擋上述惡意網址。 
 

---- 以下為 2010-10-22 的原文 -----

根據AegisLab查找惡意網頁的機制, 我們今天發現禾鑫生技遭掛馬,詳細分析如下:

§ 感染途徑:
[root]hxxp://www.hopegenbio.com/upload/wenda.asp?h=/aooaozmv.html (PageRank: 2)
 [exp]hxxp://1022a4.3322.org:224/yy2/index.htm(Exploit.Ie0dayCVE0806.a)
  [virus]hxxp://99otg.3322.org:224/yy2/link.exe

§ Anti-Virus
  * 該病毒於 VirusTotal 的偵測率為: 33/43 (76.7%)

§ URL filter
  * 惡意網址在URLvoid的偵測率分為別:1/17(6 %),2/17(12 %)
  ( http://www.urlvoid.com/scan/1022a4.3322.org , http://www.urlvoid.com/scan/99otg.3322.org

AegisLab WebGuard 惡意網頁資料庫自2010-10-14起已經阻擋該1022a4.3322.org 和 99otg.3322.org之IP 位址(119.147.114.99)。

By AegisLab

 

[ 安全通報 ] 26 十月, 2010 13:47
   我們之前在"Security Alert 2010-10-11: Drive-by-download Using PDF Exploit to Download Malicious File" 這篇文章中有揭露一個使用 PDF 漏洞掛馬的案例. 現在我們發現越來越多網站遭受到同類型的掛馬植入.

  這裡有兩個最新發現的案例:

[root]hxxp://www.professor.com.tw/ (PageRank:2)
 [script]hxxp://jabbawockeez.us/talk/indexu.php
  [pdf] hxxp://jabbawockeez.us/talk/indexu.php?s=QiVZTWyu&id=2 (CVE-2008-2992, CVE-2009-0927)
   [binary] hxxp://jabbawockeez.us/talk/indexu.php?id=10

[root]hxxp://arriesmould.com.tw/libraries/
 [script]hxxp://agalp.ro/modules/pathway.php
   [pdf] hxxp://agalp.ro/modules/pathway.php?s=XI0BaAdL&id=2
    [binary] hxxp://agalp.ro/modules/pathway.php?id=10

   對中間網址的偵測率, 第一個案例是 4/17 (24 %) (http://www.urlvoid.com/scan/jabbawockeez.us), 相對來說第二個案例就低很多 1/17 (6 %) (http://www.urlvoid.com/scan/agalp.ro)

   AegisLab 的 WebGuard Database 從 2010-10-25 開始阻擋這兩個 URL.

By AegisLab

[ 安全通報 ] 12 十月, 2010 13:39

 

濤石文化網站遭掛馬,執行殖入的script檔會載入一個pdf檔案攻擊 CVE- 2008-2992漏洞,成功後會下載一個不明檔案。

§ 感染途徑:
[root]http://www.waterstone.url.tw/ (PageRank:4)
 [script]http://aquatec.nl/nieuwsbrief/24.php
   [pdf] http://aquatec.nl/nieuwsbrief/24.php?s=T8rEBjlkT&id=2 (CVE-2008-2992)
     [binary] http://aquatec.nl/nieuwsbrief/24.php?id=10

§ URL filter
  * 該網址在URLvoid的偵測率並不高: 2 / 17 (12 %)  ( http://www.urlvoid.com/scan/aquatec.nl )

[ 新聞 ] 04 十月, 2010 16:22

    在九月三十日, 歐洲議會通過了幾項決議, 授權歐洲網路和資訊安全局(Enisa)更多彈性和權力以應付日與劇增的網路威脅. Enisa將建立電腦緊急事件反應組(CERT), 以加強對緊急事件的反應速度和協助發展汎歐的警報系統. Enisa也可以推廣風險管理或資安標準, 並且當做執法機關和資訊安全專業人士之間的介面.

    原始新聞: http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1239

    Enisa: http://www.enisa.europa.eu/

 

AegisLab

[ 新聞 ] 01 十月, 2010 10:05
智慧手機Q4大爆炸 資安市場戰火才點燃
  • 2010-10-01 05:17
  • 中廣新聞
  • 彭清仁

據新華社和外電報導,一種超強的蠕蟲電腦病毒,已經攻擊了大陸六百萬台個人電腦,與近一千家企業電腦。而這種超強電腦病毒,之前也攻擊德國西門子工業控制電腦和伊朗核電廠電腦系統。最近高階智慧手機也傳出新款的病毒攻擊,多家防毒公司大聲呼籲企業,務必加強資訊安全的控管,以免造成更大的損失。(彭清仁報導)

本週包括趨勢科技和竹科鴻璟科技,都呼籲高階智慧型手機已出現病毒,尤其以往的病毒是讓使用的電腦或是手機停擺,只是造成使用者手機或是平板電腦掛點,但如果病毒是竊取個人資料,再以複製方式自動寄發郵件,等使用收到帳單之後,才發現損失更為嚴重。

包括外電和中共新華社報導,都指稱超強的蠕虫電腦病毒,已攻擊大陸六百萬台個人電腦,以及近千家的企業電腦,先前德國西門子工業控制電腦也遭攻擊,損失慘重。甚至伊朗的核電廠電腦系統也被攻擊,這些案例都突顯資安控管的重要。竹科鴻璟科技花了六年的時間,才將資安切入消費端,董事長呂炳標指出,資安市場主流在非電腦,特別是行動安全,尤其要整合軟體、硬體及病毒、駭客的特徵資料庫,再轉換成低價的晶片,目前全球的資安公司都在努力。尤其今年第四季開始,將是智慧型手機爆發時代,谷歌的智慧電視也即將推出,對靠電腦病毒賺錢的資安公司來說,真正的戰火現在才要點燃。