注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

苗得雨:网事争锋

我们在攻击邪恶和黑暗时要毫不留情,但是也要腾出时间来为善行鼓掌,为光明喝彩!

 
 
 

日志

 
 

安天监控到上海专业律师网挂马事件  

2009-09-24 10:40:50|  分类: 网络安全专栏 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

   2009年9月23日,安天实验室发现,上海专业律师网(http://www.51lawyerpro.com/),被黑客植入恶意代码,用户如果访问该网站,系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
上海专业律师网挂马页面:

安天监控到上海专业律师网挂马事件 - 苗得雨 - 苗得雨:网事争锋

安天防线2009拦截图:

安天监控到上海专业律师网挂马事件 - 苗得雨 - 苗得雨:网事争锋

挂马层次结构:
[wide]http://www.51lawyer***.com/ (被挂马页面)
    [script]http://ck**.cn (恶意链接)
    [script]http://w.si***.org.cn (恶意跳转链接)
        [iframe]http://bexx.22**.org/dszq/2.htm (恶意跳转链接)
            [iframe]http://28***.cn/x2/xx.html (集成网马页面)
                [iframe]http://28***.cn/x2/td14.htm (MS06-014漏洞)
                    [script]http://28***.cn/x2/14.js
                    [script]http://28***.cn/x2/15.js
                    [script]http://28***.cn/x2/17.js
                    [script]http://28***.cn/x2/16.js
                    [script]http://28***.cn/x2/18.js
                [iframe]http://28***.cn/x2/yt.htm (MS09-032漏洞)
                    [script]http://28***.cn/x2/x8.jpg
                    [script]http://28***.cn/x2/b.jpg
                    [script]http://28***.cn/x2/url.jpg
                    [script]http://28***.cn/x2/c.jpg
                    [script]http://28***.cn/x2/d.jpg
                    [script]http://28***.cn/x2/e.jpg
                    [script]http://28***.cn/x2/f.jpg
                [iframe]http://28***.cn/x2/td09.htm (MS09-002漏洞)
                    [script]http://28***.cn/x2/01.js
                    [script]http://28***.cn/x2/02.js
                [iframe]http://28***.cn/x2/yut.htm (子集成网马页面)
                    [iframe]http://28***.cn/x2/ytfl.htm (Adobe Reader PDF文件漏洞)
                        [iframe]http://28***.cn/x2/ff.html
                            [script]http://28***.cn/x2/ff.js
                        [iframe]http://28***.cn/x2/ie.html
                            [script]http://28***.cn/x2/ie.js
                        [iframe]http://28***.cn/x2/ff.html
                        [iframe]http://28***.cn/x2/ie.html
                        [iframe]http://28***.cn/x2/ff.html
                        [iframe]http://28***.cn/x2/ff.html
                    [iframe]http://28***.cn/x2/ytfl1.htm (Adobe Flash Player SWF文件漏洞)
                        [iframe]http://28***.cn/x2/x1.htm
                            [script]http://28***.cn/x2/swfobject.js
                            [flash]http://28***.cn/x2/./x1.swf
                            [flash]http://28***.cn/x2/./x2.swf
                            [flash]http://28***.cn/x2/./x3.swf
                            [flash]http://28***.cn/x2/./x4.swf
                        [iframe]http://28***.cn/x2/x2.htm
                            [script]http://28***.cn/x2/swfobject.js
                            [flash]http://28***.cn/x2/./x7.swf
                            [flash]http://28***.cn/x2/./x9.swf
                            [flash]http://28***.cn/x2/./x10.swf
                            [flash]http://28***.cn/x2/./x8.swf
                        [iframe]http://28***.cn/x2/x1.htm
                    [iframe]http://28***.cn/x2/of.htm (OWC10.Spreadsheet漏洞)
                        [script]http://28***.cn/x2/of.js
                        [script]http://28***.cn/x2/of3.jpg
                        [script]http://28***.cn/x2/of.jpg
                        [script]http://28***.cn/x2/of2.jpg

该挂马网页利用以下漏洞进行传播:
MS06-014漏洞
MS09-032漏洞
MS09-002漏洞
Adobe Reader PDF文件漏洞
Adobe Flash Player SWF文件漏洞
OWC10.Spreadsheet msDataSourceObject Method Stack Overflow Exploit

具体漏洞描述与解决方案请参见:
http://www.antiy.com/cn/security/2009/solution.htm

当用户访问挂马网站,系统会自动下载病毒文件:
    当用户访问上海专业律师网(http://www.51lawyerpro.com/)时,含有漏洞的系统会自动从恶意网站下载大量病毒文件,并在本机上运行,病毒文件主要以网络游戏盗号类木马为主,病毒的具体描述信息如下:
1、网页木马直接下载的病毒文件:
http://d.edd**.com/xx/x2.css 病毒名:Trojan/Win32.Agent.bcss[Dropper]
病毒描述:
连接网络,读取病毒下载列表进而下载病毒文件,并在本机运行
衍生文件:
c:\Documents and Settings\a\Local Settings\Temp\~567296.ext
2、下载者木马读取下载列表地址:
http://txt.ef***.com/xx.txt
3、由下载者木马下载的其他病毒文件:
http://1.ex***.com/img/1.exe 病毒名:Trojan/Win32.OnLineGames.bmtc[GameThief]
病毒描述:DNF游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dfc8ac3ed7da.dll
c:\WINDOWS\system32\comres.dll
c:\WINDOWS\Tasks\mDshVKDh38QVNmKW.ico
c:\WINDOWS\Tasks\7xa6vJPUxshvgQhTZH.inf

http://1.ex***.com/img/2.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]
病毒描述:梦话西游online游戏盗号木马
衍生文件:
c:\WINDOWS\Tasks\vS3zNmJDKgxvVJCt.ico
c:\WINDOWS\Tasks\FkTQEF2gVvZ9fR7v5HE.inf

http://1.ex***.com/img/3.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\SrNRKs5F7Rkv9hp.inf
c:\WINDOWS\Downloaded Program Files\JjedvMTDtPyqp9ZTrgw.Ttf

http://1.ex***.com/img/5.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]
病毒描述:大话西游 ii游戏盗号木马
衍生文件:
c:\WINDOWS\Tasks\ThGkkhVnR6Dhf3eN.ico
c:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf

http://1.ex***.com/img/6.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]
病毒描述:封神榜?网络版游戏盗号木马
衍生文件:
c:\WINDOWS\system32\R8ZdwYqnBwz3JS4TseHvTJ.inf
c:\WINDOWS\Downloaded Program Files\r4pTTxFmV8jWPUqFmyR.Ttf

http://1.ex***.com/img/7.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Tasks\vC6ykXbjUGCVeCJa.ico
c:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur

http://1.ex***.com/img/8.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]
病毒描述:神鬼传奇游戏盗号木马
衍生文件:
c:\WINDOWS\Tasks\x7j7yet9WK9FdYSD.ico
c:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf

http://1.ex***.com/img/9.exe 病毒名:Trojan/Win32.Magania.bwyr[GameThief]
病毒描述:封神榜?网络版游戏盗号木马
衍生文件:
c:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll
c:\WINDOWS\Fonts\HXxfduw9KeQTCeP6Z.Ttf

http://1.ex***.com/img/10.exe 病毒名:Trojan/Win32.Magania.bwsi[GameThief]
病毒描述:天龙八部游戏盗号木马
衍生文件:
c:\WINDOWS\Downloaded Program Files\v2FhcJ32apapSmSX.Ttf
c:\WINDOWS\Downloaded Program Files\6YYnDBbzHzrrmenHmv.cur

http://2.ex***.com/img/11.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:完美世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\122B901E.dll
c:\WINDOWS\Fonts\cFDPmh3MDPjcHMPd.Ttf

http://2.ex***.com/img/12.exe 病毒名:Trojan/Win32.Slefdel.eeq
病毒描述:后门类木马
衍生文件:
C:\WINDOWS\71M.exe

http://2.ex***.com/img/13.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\SCEVFJRCmaB7.dll
c:\WINDOWS\Fonts\G8qZ5hBX7H.Ttf

http://2.ex***.com/img/14.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\CDuAUVkGy9.dll
c:\WINDOWS\Fonts\2knxWtVjbWXmUdGG.Ttf

http://2.ex***.com/img/15.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\704C3595.dll
c:\WINDOWS\Fonts\S8a8cnEuaydPJGg8.Ttf

http://2.ex***.com/img/16.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll
c:\WINDOWS\Fonts\eSEWZRdrSK3NeEJVy4.Ttf

http://2.ex***.com/img/17.exe 病毒名:Trojan/Win32.Magania.bwyr[GameThief]
病毒描述:封神榜网络版游戏盗号木马
衍生文件:
c:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf
c:\WINDOWS\Downloaded Program Files\uMub3WCE6aZ3nFgrYRX.Ttf

http://2.ex***.com/img/18.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:剑侠世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\skcfujQ5EDN.dll
c:\WINDOWS\Fonts\YywxhF7TSnkktrJw.Ttf

http://2.ex***.com/img/19.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\RCZbVbjCY6wYszD3.Ttf
c:\WINDOWS\Fonts\A97CRaCB.fon

http://2.ex***.com/img/20.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf
c:\WINDOWS\Downloaded Program Files\WQKrDGnXQQb3Mgjk.Ttf

http://3.ex***.com/img/21.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Tasks\kTS4JJGUYtVagxPs.ico
c:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf

http://3.ex***.com/img/23.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]
病毒描述:游游戏盗号木马
衍生文件:
c:\WINDOWS\system32\FXNEE8UE86dAU4wwQSW.inf
c:\WINDOWS\Downloaded Program Files\w23uRSuevxt2VP.Ttf

http://3.ex***.com/img/24.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]
病毒描述:仙剑游游戏盗号木马
衍生文件:
c:\WINDOWS\system32\P6VyQtQJUYa3rFan7J.inf
c:\WINDOWS\Downloaded Program Files\eVaMpZ3AmmmbCPjX.Ttf

http://3.ex***.com/img/25.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]
病毒描述:封神榜网络版游游戏盗号木马
衍生文件:
c:\WINDOWS\system32\B4yNKrEEhEerKFeeA4.inf
c:\WINDOWS\Downloaded Program Files\PRKUkXR8NQ8ydQmw.Ttf

http://3.ex***.com/img/26.exe 病毒名:Trojan/Win32.Magania.bkii[GameThief]
病毒描述:游游戏盗号木马
衍生文件:
c:\WINDOWS\system32\qzp3jTZCSfSh.dll
c:\WINDOWS\Fonts\qWskzsQA6.Ttf

http://3.ex***.com/img/27.exe 病毒名:Trojan/Win32.Magania.bwxz[GameThief]
病毒描述:大话西游3游戏盗号木马
衍生文件:
c:\WINDOWS\system32\ndxq9awMc.dll
c:\WINDOWS\Fonts\CRp3uYCmcxMp3qQn9.Ttf

http://3.ex***.com/img/28.exe 病毒名:Trojan/Win32.Slefdel.efj
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\71C.exe

http://3.ex***.com/img/29.exe 病毒名:Trojan/Win32.Magania.bwxz[GameThief]
病毒描述:武林2、诛仙、口袋西游游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dhDhwS7fFW.dll
c:\WINDOWS\Fonts\cD9KArZZUHxCqnyM.Ttf

http://3.ex***.com/img/30.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]
病毒描述:华夏2游戏盗号木马
衍生文件:
c:\WINDOWS\system32\2EF0D734.dll
c:\WINDOWS\Fonts\Qq3qg7RGSp9raxWW.Ttf

http://4.ex***.com/img/31.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Fonts\S8a8cnEuaydPJGg8.Ttf
c:\WINDOWS\Fonts\CtZ8uc499k.fon

http://4.ex***.com/img/32.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\Tasks\Dt6FwrybnVxrqWCJ.ico
c:\WINDOWS\Tasks\eHcEcHCEmwjD8CyZDd.inf

http://4.ex***.com/img/34.exe 病毒名:Trojan/Win32.Small.kdk[Downloader]
病毒描述:木马下载器连接http://dd.eddxx.com/d.exe下载病毒文件
衍生文件:
c:\Documents and Settings\a\Local Settings\Temp\912544

http://4.ex***.com/img/35.exe 病毒名:Trojan/Win32.Agent.cpzj[Downloader]
病毒描述:Dropper类木马辅助,遍历进程查找结束QQ.EXE、监视QQ安全中心窗口如发现则将其窗口隐藏
衍生文件:

http://4.ex***.com/img/36.exe 病毒名:Trojan/Win32.Agent.bcvr[Dropper]
病毒描述:QQ盗号木马
衍生文件:
c:\Program Files\Internet Explorer\Top.dll
c:\Program Files\Internet Explorer\Top.tmp
c:\Program Files\Internet Explorer\Top.bak

http://4.ex***.com/img/37.exe 病毒名:Trojan/Win32.Agent.bdlr[Dropper]
病毒描述:QQ广告插件类木马,关闭杀毒软件
衍生文件:
c:\WINDOWS\AntiVirus.sys
c:\Program Files\Common Files\Tencent\QQPlug\img\ad.png
c:\Program Files\Common Files\Tencent\QQPlug\ClickLoadDrv.dll
c:\Program Files\Common Files\Tencent\QQPlug\kiss.sys
c:\Program Files\Common Files\Tencent\QQPlug\QQPet.dll
c:\Program Files\Common Files\Tencent\QQPlug\QQPlugUpdate.exe
c:\Program Files\Common Files\Tencent\QQPlug\domain.dll
c:\Program Files\Common Files\Tencent\QQPlug\QQdoctor.exe
c:\Program Files\Common Files\Tencent\QQPlug\QQPlugIn.ini

安天反病毒工程师建议:
1. 使用安天防线2009或锐甲可以有效防范此挂马网页。
2. 用安天防线2009可以查杀此挂马网页下载的病毒文件。
3. 请及时更新安天防线2009,以确保您的计算机安全,防止计算机病毒入侵。如未安装安天防线请点击此处(http://www.antiyfx.com/download.htm),免费下载最新版安天防线2009。

  评论这张
 
阅读(364)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017