wingering 2008-3-21 16:01
黑客发起大规模网络攻击,互联网数万个网页被挂马!
[font=宋体][size=9pt]出处:超级巡警[/size][/font][font=ˎ̥][size=9pt][font=Times New Roman] [/font][/size][/font][font=宋体][size=9pt]时间:[/size][/font][font=ˎ̥][size=9pt][font=Times New Roman]2008[/font][/size][/font][font=宋体][size=9pt]年[/size][/font][font=ˎ̥][size=9pt][font=Times New Roman]3[/font][/size][/font][font=宋体][size=9pt]月[/size][/font][font=ˎ̥][size=9pt][font=Times New Roman]21[/font][/size][/font][font=宋体][size=9pt]日[/size][/font][font=ˎ̥][size=9pt][/size][/font]
[size=3][font=Times New Roman][/font][font=Times New Roman]3[/font][font=宋体]月[/font][font=Times New Roman]14[/font][font=宋体]日[/font][font=宋体]左右,黑客发起大规模网络攻击,导致互联网上数万个网页被挂马,其中就包括著名安全厂商趋势科技的的网站。虽然大部分网站都已经移除了恶意代码,但是仍有部分网站上的恶意代码还没有被清除。恶意代码试图利用三个系统漏洞和两个应用程序漏洞在用户电脑上置入木马。超级巡警团队提醒大家注意网络安全,及时打补丁。[/font][/size]
[font=宋体][size=12pt]一、恶意网站2117966.net分析[/size][/font]
[size=3][font=Times New Roman]3[/font][font=宋体]月[/font][font=Times New Roman]14[/font][font=宋体]日[/font][font=宋体]的网络攻击中,大部分网址被插入了这个脚本:[/font][font=Times New Roman]http://www.2117966.net/******.js[/font][font=宋体]。该脚本中内嵌网页木马[/font][font=Times New Roman]http:\\count.lljy.org\*[/font][font=宋体],[/font][font=Times New Roman]http:\\count.lljy.org\*[/font][font=宋体]内置有[/font][font=Times New Roman]5[/font][font=宋体]个网页木马,一个统计脚本和另外一个恶意挂马网页。[/font][/size]
[font=Times New Roman][size=3]http:\\count.lljy.org\*[/size][/font][font=宋体][size=3]页面截图:[/size][/font]
[attach]6827[/attach]
[font=Times New Roman][size=3]5[/size][/font][size=3][font=宋体]个网页木马明分别利用[/font][font=Times New Roman]MS06014[/font][font=宋体]系统漏洞、[/font][font=Times New Roman]MS06067[/font][font=宋体]系统漏洞、[/font][font=Times New Roman]MS07004[/font][font=宋体]系统漏洞、[/font][font=Times New Roman]RealPlayer ierpplug.dll ActiveX[/font][font=宋体]控件播放列表名称栈溢出漏洞和[/font][font=Times New Roman]Yahoo! Music Jukebox AddImage[/font][font=宋体]函数[/font][font=Times New Roman]ActiveX[/font][font=宋体]远程栈溢出漏洞试图在用户机器上置入木马[/font][font=Times New Roman]Worm.Win32.AutoRun.das[/font][font=宋体],木马地址:[/font][font=Times New Roman]http://count.lljy.org/*/a.exe[/font][font=宋体]。另外一个恶意挂马网页利用了同样的五个漏洞试图在用户机器上置入木马[/font][font=Times New Roman]Trojan-PSW.Win32.OnLineGames.uzi[/font][font=宋体],木马地址:[/font][font=Times New Roman]http://biej8fanwo.a141.71one.com/***/wow.exe[/font][font=宋体]。值得一提的是,此次挂事件的网页木马中大量使用了[/font][font=Times New Roman]Cuteqq[/font][font=宋体]作为变量名,此变量名为暗黑网马常用的变量名。[/font][/size]
[font=宋体][size=3]暗黑网马生成器截图:[/size][/font]
[font=Times New Roman][size=3][attach]6828[/attach] [/size][/font]
[size=3][font=宋体]二、[/font][font=Times New Roman]Worm.Win32.AutoRun.das[/font][font=宋体]分析:[/font][/size]
[font=宋体][size=3]病毒标签:[/size][/font]
[font=宋体][size=3]病毒名称:[/size][/font][size=3][font=Times New Roman]Worm.Win32.AutoRun.das
[/font][font=宋体]病毒别名:无[/font][/size]
[font=Times New Roman][size=3] [/size][/font][font=宋体][size=3]病毒类型:蠕虫[/size][/font]
[font=Times New Roman][size=3] [/size][/font][font=宋体][size=3]危害级别:[/size][/font][size=3][font=Times New Roman]3
[/font][font=宋体]感染平台:[/font][/size][size=3][font=Times New Roman]Windows
[/font][font=宋体]病毒大小:[/font][font=Times New Roman]25,485([/font][font=宋体]字节[/font][/size][size=3][font=Times New Roman])
MD5[/font][font=宋体] :[/font][/size][size=3][font=Times New Roman]B7A14F272EA455E969125CA7B01B2E83
[/font][font=宋体]加壳类型:[/font][/size][size=3][font=Times New Roman]FSG v2.0 -> bart/xt
[/font][font=宋体]开发工具:[/font][font=Times New Roman]Delphi[/font][/size]
[font=宋体][size=3]病毒行为:[/size][/font]
[size=3][font=Times New Roman]1[/font][font=宋体]、复制[/font][font=Times New Roman]%System%\urlmon.dll[/font][font=宋体]为[/font][font=Times New Roman]%System%\XFlower.dll[/font][font=宋体]。[/font][/size]
[font=Times New Roman][size=3] 2[/size][/font][font=宋体][size=3]、拷贝自身到以下路径:[/size][/font]
[font=Times New Roman][size=3] %System%\drivers\disdn\Flower.exe
%System%\Flower.exe
3[/size][/font][size=3][font=宋体]、添加[/font][font=Times New Roman]IFEO[/font][font=宋体]映像劫持项,被劫持的软件有瑞星,金山,[/font][font=Times New Roman]nod32[/font][font=宋体]等。[/font][/size]
[font=Times New Roman][size=3] 4[/size][/font][font=宋体][size=3]、下载木马并运行。木马地址:[/size][/font]
[font=Times New Roman][size=3] [url=http://count.lljy.org/]http://count.lljy.org/[/url]*/myself.exe
[url=http://count.lljy.org/]http://count.lljy.org/[/url]*/servstr.exe
[/size][/font][url=http://count.lljy.org/*/8.exe][font=Times New Roman][size=3][color=#0000ff]http://count.lljy.org/*/8.exe[/color][/size][/font][/url]
[font=宋体][size=12pt]三、解决方案[/size][/font]
[font=宋体][size=3]推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。[/size][/font]
[size=3][font=宋体] [/font][font=Times New Roman] [/font][font=宋体] [/font][font=Times New Roman] [/font][font=宋体] [/font][font=Times New Roman] [/font][font=宋体]超级巡警下载地址:[/font][url=http://www.dswlab.com/d1.html][font=Times New Roman][color=#0000ff]http://www.dswlab.com/d1.html[/color][/font][/url][/size]
[size=3][font=Times New Roman][/font][font=宋体]手工清除方法:[/font][/size]
[size=3][font=Times New Roman]1[/font][font=宋体],使用超级巡警暴力删除工具直接杀死该病毒。[/font][/size][size=3][font=Times New Roman]
[/font][font=宋体] [/font][font=Times New Roman] 2[/font][font=宋体]、修复文件映象劫持。打开超级巡警,点工具,选择系统修复,选中修复映象劫持,修复即可。[/font][/size]
[size=3][font=宋体] [/font][font=Times New Roman] 3[/font][font=宋体]、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽[/font][font=Times New Roman]count.lljy.org[/font][font=宋体]、[/font][font=Times New Roman]www.2117966.net[/font][font=宋体]和[/font][/size]
[size=3][font=宋体] [/font][font=Times New Roman] [/font][font=宋体] [/font][font=Times New Roman] biej8fanwo.a141.71one.com[/font][font=宋体]。[/font][/size]
[align=left][font=宋体][size=12pt]四、安全建议[/size][/font][/align]
[size=3][font=Times New Roman]1[/font][font=宋体]、立即安装或更新防病毒软件并对内存和硬盘全面扫描[/font][font=Times New Roman]([/font][font=宋体]推荐安装超级巡警[/font][font=Times New Roman])[/font][font=宋体]。[/font][/size]
[size=3][font=宋体] [/font][font=Times New Roman] 2[/font][font=宋体]、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。[/font][/size]
[size=3][font=宋体] [/font][font=Times New Roman] 3[/font][font=宋体]、使用超级巡警的补丁检查功能,及时安装系统补丁及第三方应用程序补丁。[/font][/size][size=3][font=Times New Roman]
[/font][font=宋体] [/font][font=Times New Roman] 4[/font][font=宋体]、及时更新常用软件,尤其是聊天工具。[/font][/size]
[size=3][font=宋体] [/font][font=Times New Roman] 5[/font][font=宋体]、不要使用[/font][font=Times New Roman]IE[/font][font=宋体]内核的浏览器。[/font][/size]
[size=3][font=宋体] [/font][font=Times New Roman] 6[/font][font=宋体]、不要随便打开不明来历的电子邮件,尤其是邮件附件。[/font][/size][size=3][font=Times New Roman]
[/font][font=宋体] [/font][font=Times New Roman] 7[/font][font=宋体]、不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。建议使用超[/font][/size]
[size=3][font=宋体] [/font][font=Times New Roman] [/font][font=宋体] 级巡警屏蔽恶意网站。[/font][/size][size=3][font=Times New Roman]
[/font][font=宋体] [/font][font=Times New Roman] 8[/font][font=宋体]、不要轻易打开即时通讯工具中发来的链接或可执行文件。[/font][/size]
[font=宋体][size=3]注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变[/size][/font]
[font=宋体][size=3] 量指%Windir%\System32。其它:[/size][/font]
[font=宋体][size=3] %SystemDrive%
系统安装的磁盘分区[/size][/font]
[font=宋体][size=3] %SystemRoot% = %Windir% WINDODWS系统目录[/size][/font]
[font=宋体][size=3] %ProgramFiles% 应用程序默认安装目录[/size][/font]
[font=宋体][size=3] %AppData%
应用程序数据目录[/size][/font]
[font=宋体][size=3] %CommonProgramFiles%
公用文件目录[/size][/font]
[font=宋体][size=3] %HomePath%
当前活动用户目录[/size][/font]
[font=宋体][size=3] %Temp% =%Tmp%
当前活动用户临时目录[/size][/font]
[font=宋体][size=3] %DriveLetter%
逻辑驱动器分区[/size][/font]
[font=宋体][size=3] %HomeDrive%
当前用户系统所在分区 [/size][/font]
[font=宋体][size=3]超级巡警:彻底查杀各种木马,全面保护系统安全。[/size][/font]
[font=宋体][size=3] [/size][/font][font=宋体][size=3]更多免费工具下载:[/size][/font][url=http://www.dswlab.com/][font=宋体][size=3][color=#0000ff]http://www.dswlab.com[/color][/size][/font][/url]
[font=宋体][size=3] [/size][/font][size=3][font=宋体]专业的桌面与内容安全产品:[url=http://www.unnoo.com][color=#0000ff]http://www.unnoo.com[/color][/url][/font][/size]
[font=宋体][size=3]Copyright(c) DSW Lab All rights reserved[/size][/font]
[font=ˎ̥][size=9pt][font=Times New Roman][/font][/size][/font]
[font=Times New Roman][size=3][/size][/font]
[font=ˎ̥][size=9pt][font=Times New Roman][/font][/size][/font]
[[i] 本帖最后由 wingering 于 2008-3-21 16:03 编辑 [/i]]
