注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

苗得雨:网事争锋

我们在攻击邪恶和黑暗时要毫不留情,但是也要腾出时间来为善行鼓掌,为光明喝彩!

 
 
 

日志

 
 

安天监控到中国标准网挂马  

2009-11-16 17:50:08|  分类: 网络安全专栏 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

    2009年11月16日,安天实验室发现,中国标准网(http://www.standard.net.cn/),被黑客植入恶意代码,用户如果访问该网站,系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。

中国标准网挂马页面:

安天监控到中国标准网挂马 - 苗得雨 - 苗得雨:网事争锋

安天防线2009拦截图:

安天监控到中国标准网挂马 - 苗得雨 - 苗得雨:网事争锋

挂马层次结构:

[wide]http://www.standard.net.cn/ (被挂马页面)

    [script]http://612***.cn (恶意跳转链接)

    [script]http://sto***.cn (恶意跳转链接)

    [script]http://sportsin***.cn (恶意跳转链接)

    [script]http://al***.cn (恶意跳转链接)

    [script]http://byn***.cn (恶意跳转链接)

    [script]http://byn***.cn (恶意跳转链接)

    [script]http://tlfho***.cn (恶意跳转链接)

        [iframe]http://qzan2.8***.org/dszq/2.htm (恶意跳转链接)

            [iframe]http://34***.cn/x2/xx.html (集成网马页面)

                [iframe]http://34***.cn/x2/yt.htm (MS09-032漏洞)

                    [script]http://34***.cn/x2/ll.jpg

                    [script]http://34***.cn/x2/ll1.jpg

                    [script]http://34***.cn/x2/lll.jpg

                    [script]http://34***.cn/x2/llll1.jpg

                    [script]http://34***.cn/x2/llll.jpg

                    [script]http://34***.cn/x2/lllll.jpg

                [iframe]http://34***.cn/x2/t9.htm (MS09-002漏洞)

                    [script]http://34***.cn/x2/lll.jpg

                    [script]http://34***.cn/x2/t9.jpg

                [iframe]http://34***.cn/x2/yut.htm (子集成网马页面)

                    [iframe]http://34***.cn/x2/ytfl1.htm (Adobe Flash Player SWF文件漏洞)

                        [iframe]http://34***.cn/x2/x1.htm

                            [script]http://34***.cn/x2/swfobject.js

                            [flash]http://34***.cn/x2/./x1.swf

                            [flash]http://34***.cn/x2/./x3.swf

                            [flash]http://34***.cn/x2/./x4.swf

                            [flash]http://34***.cn/x2/./x2.swf

                        [iframe]http://34***.cn/x2/x2.htm

                            [script]http://34***.cn/x2/swfobject.js

                            [flash]http://34***.cn/x2/./x7.swf

                            [flash]http://34***.cn/x2/./x9.swf

                            [flash]http://34***.cn/x2/./x10.swf

                            [flash]http://34***.cn/x2/./x8.swf

                [iframe]http://34***.cn/x2/ytu.htm

                    [iframe]http://34***.cn/x2/of.htm (OWC10.Spreadsheet漏洞)

                        [script]http://34***.cn/x2/lll.jpg

                        [script]http://34***.cn/x2/of.jpg

该挂马网页利用以下漏洞进行传播:

MS06-014漏洞

MS09-032漏洞

MS09-002漏洞

Adobe Flash Player SWF文件漏洞

OWC10.Spreadsheet msDataSourceObject Method Stack Overflow Exploit

具体漏洞描述与解决方案请参见:

http://www.antiy.com/cn/security/2009/solution.htm

当用户访问挂马网站,系统会自动下载病毒文件:

    当用户访问中国标准网(http://www.standard.net.cn/)时,含有漏洞的系统会自动从恶意网站下载大量病毒文件,并在本机上运行,病毒文件主要以网络游戏盗号类木马为主,病毒的具体描述信息如下:

1、网页木马直接下载的病毒文件:

http://d.kh***.cn/xx/x2.css 病毒名:Trojan/Win32.Kyper.adq

病毒描述:

连接网络,读取病毒下载列表进而下载病毒文件,并在本机运行

衍生文件:

c:\Documents and Settings\Administrator\Local Settings\Temp\~186712.exe

c:\WINDOWS\system32\bG94c.exe

2、下载者木马读取下载列表地址:

http://txt.hfytd.cn/xx.txt

3、由下载者木马下载的其他病毒文件:

http://r1.jg***.cn/boss/1.exe 病毒名:Trojan/Win32.Vilsel.mry

病毒描述:DNF游戏盗号木马

衍生文件:

c:\WINDOWS\system32\wsconfig.db

c:\WINDOWS\system32\imm32.dll.bak

c:\WINDOWS\system32\imm32.dll

c:\WINDOWS\system32\kb11793810.dll

http://r1.jg***.cn/boss/2.exe 病毒名:Trojan/Win32.Vilsel.mgo

病毒描述:魔兽世界游戏盗号木马

衍生文件:

c:\WINDOWS\system32\wsconfig.db

c:\WINDOWS\system32\kb21793919.dll

c:\Documents and Settings\a\Local Settings\Temp\~t13.tmp

http://r1.jg***.cn/boss/3.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\Fonts\RCZbVbjCY6wYszD3.Ttf

c:\WINDOWS\Fonts\A97CRaCB.fon

http://r1.jg***.cn/boss/4.exe 病毒名:Trojan/Win32.Vilsel.mjj

病毒描述:真三国无双游戏盗号木马

衍生文件:

c:\WINDOWS\system32\wsconfig.db

c:\WINDOWS\system32\imm32.dll.bak

c:\WINDOWS\system32\imm32.dll

c:\WINDOWS\system32\kb01794545.dll

c:\Documents and Settings\a\Local Settings\Temp\~t22.tmp

http://r1.jg***.cn/boss/5.exe 病毒名:Trojan/Win32.Vilsel.lzs

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\system32\wsconfig.db

c:\WINDOWS\system32\imm32.dll.bak

c:\WINDOWS\system32\imm32.dll

c:\WINDOWS\system32\kb51794755.dll

c:\Documents and Settings\a\Local Settings\Temp\~t22.tmp

http://r1.jg***.cn/boss/7.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\Tasks\vC6ykXbjUGCVeCJa.ico

c:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur

http://r1.jg***.cn/boss/8.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\system32\A2CbFrBy28J6zdXNZgqCtJ6Ae.inf

c:\WINDOWS\Downloaded Program Files\yyb75q6TYvwTE86gJ.Ttf

http://r1.jg***.cn/boss/9.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf

c:\WINDOWS\Downloaded Program Files\zU2bVwKpTwHD84n.Ttf

http://r1.jg***.cn/boss/10.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]

病毒描述:魔兽世界游戏盗号木马

衍生文件:

c:\WINDOWS\system32\?N5xYYC8FXprkCdzyMewN.inf

c:\WINDOWS\Downloaded Program Files\RBKptn7pQADdaYVFW.Ttf

http://r2.jg***.cn/boss/11.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]

病毒描述:诛仙游戏盗号木马

衍生文件:

c:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf

c:\WINDOWS\Downloaded Program Files\WQKrDGnXQQb3Mgjk.Ttf

http://r2.jg***.cn/boss/12.exe 病毒名:Trojan/Win32.QQPass.muj[PSW]

病毒描述:QQ钓鱼类木马伪装QQ信息中心发布假冒中奖信息

衍生文件:

c:\WINDOWS\system32\drivers\etc\hosts

http://r2.jg***.cn/boss/13.exe 病毒名:Trojan/Win32.Agent.ctpc[Downloader]

病毒描述:木马

衍生文件:

c:\WINDOWS\system32\msinet32d.dll

c:\Documents and Settings\a\Local Settings\Temp\~ti2.tmp

http://r2.jg***.cn/boss/14.exe 病毒名:Trojan/Win32.OnLineGames.bmvq[GameThief]

病毒描述:QQ盗号木马

衍生文件:

c:\WINDOWS\system32\drivers\dHook.sys

c:\Program Files\Internet Explorer\sdk2.dll

c:\Program Files\Internet Explorer\sdk2.tmp

c:\Program Files\Internet Explorer\sdk2.bak

http://r2.jg***.cn/boss/15.exe 病毒名:Trojan/Win32.Agent.dcdv[Dropper]

病毒描述:恶意广告件木马

衍生文件:

c:\WINDOWS\system32\CatRoot2\edbtmp.log

c:\WINDOWS\inf\oem5.inf

c:\WINDOWS\inf\oem5.PNF

c:\WINDOWS\inf\INFCACHE.1

c:\WINDOWS\smss.exe

c:\WINDOWS\LastGood\INF\oem5.inf

c:\WINDOWS\LastGood\INF\oem5.PNF

c:\WINDOWS\winsccoo.exe

c:\WINDOWS\SMSS.bat

安天反病毒工程师建议:

1. 使用安天防线2009或锐甲可以有效防范此挂马网页。

2. 用安天防线2009可以查杀此挂马网页下载的病毒文件。

3. 请及时更新安天防线2009,以确保您的计算机安全,防止计算机病毒入侵。如未安装安天防线请点击此处(http://www.antiyfx.com/download.htm),免费下载最新版安天防线2009。

  评论这张
 
阅读(274)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017