2009-01-11

鐵胃我真的不想補刀,可是你把病毒放網站放半年太超過了啦~~

前情提要請參閱:資訊鐵胃消化不良???客戶訂單全都露!!

2009-01-11 22:50
剛剛在GOOGLE上又逛到一個跟資訊鐵胃相關非常有意思的網頁..
McAfee SiteAdvisor分析報告
http://www.siteadvisor.pl/sites/hotels.com.tw/downloads/9154311/

W32/Pate.a virus

  • 下載發行者的 URL: http://hotels.com.tw/0725ec.htm
  • 下載的 URL: http://hotels.com.tw/hosting.exe
  • 檔案名稱: hosting.exe
  • 檔案大小: 807676
  • 完整總和檢查 (MD5): 29dfa283dd244536d29b9fc2733c6382
  • SiteAdvisor 程式 ID: 9154311
  • SiteAdvisor 上次測試這個下載的日期: 2008 七月
  • SiteAdvisor 上次確認了此連結: 2008 七月
我還特別多事的跑去了 http://hotels.com.tw/0725ec.htm 去看了下..
(放心,這頁面沒毒,不過很有歷史了,這可是2007年當時挑起兩間主機商戰火的導火線..由瀏覽器看到的檔案最後修改時間是 2007年2月6日 上午 10:30:26 )

瀏覽畫面*其中有把滑鼠移到下載聯結上所顯示的位置特別標出 完整頁面備份
發現有問題的檔案是在該頁面的 免費下載虛擬主機選購手冊 那裡的連結
http://hotels.com.tw/hosting.exe !!!小心,此檔有毒!!!
手賤抓下來以後馬上防毒軟體就警告我了..
我把防毒軟體關掉後把檔案抓回來丟到virustotal檢查..我的媽媽啊...
Virustotal報告 http://www.virustotal.com/analisis/68064adae15be057dca3b6e508a754d3
圖檔備份
丟到ThreatExpert的分析結果 http://www.threatexpert.com/report.aspx?md5=29dfa283dd244536d29b9fc2733c6382
圖檔備份

由上傳檢測日期
VirusTotal File
hosting.exe received on 01.11.2009 15:30:59 (CET)
ThreadExpert
Submission received: 12 January 2009, 06:22:09
可以證明這是現抓下來丟上去的.
檔案大小 807676

及MD5值 29dfa283dd244536d29b9fc2733c6382
可以證明那個hosting.exe是完全一樣的檔案.

注:
1.W32/Parite 是個老病毒了,但是感染能力極強
注:2.用wget把那個病毒檔hosting.exe抓下來,他的檔案時間是 2007-02-06 10:28 還真是歷史悠久~

這也太扯了吧,病毒檔放在官網根目錄底下,而且在2008 七月 就被McAfee SiteAdvisor檢測出來,到今天距離被發現已經半年了那個毒檔還在那~還真是好個虛擬主機選購手冊啊~~
鐵胃哩碼幫幫忙好不好~~~~~

2009-01-12 12:10 update:
早上再去抓下那個 http://hotels.com.tw/hosting.exe ,看來有毒的檔案是換掉了.
目前的 http://hotels.com.tw/hosting.exe 已經無毒,大小為629470 bytes.
MD5SUM為 edf2850b834a3870d081e2de264259a8

2009-01-12 12:15 update:
目前該檔案已移除了.

2009-01-12 13:55 update:
昨天夜裡又有網友發現了這個 a.php 截圖放在http://www.badongo.com/pic/5054675?size=original ,看的懂得人就知道那是啥了, 囧rz..

3 則留言:

Roger Chiu 提到...

惡意檔案已經移除了。

[d:\wget]wget http://hotels.com.tw/hosting.exe
--10:52:40-- http://hotels.com.tw/hosting.exe
=> `hosting.exe'
Resolving hotels.com.tw... 218.32.192.30
Connecting to hotels.com.tw|218.32.192.30|:80... connected.
HTTP request sent, awaiting response... 404 Not Found
10:52:40 ERROR 404: Not Found.


RogerC
http://rogerspeaking.com

WiselySong 提到...

Roger Chiu.
感謝..http://www.badongo.com/file/12855935 這邊有病毒檔案的備份..

Kyle 提到...

說真的,這種東西還要外人講了才知道,真不知道他們鐵胃到底平常是在吃什麼...
難道平常只有吃稀飯嗎?