注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

苗得雨:网事争锋

我们在攻击邪恶和黑暗时要毫不留情,但是也要腾出时间来为善行鼓掌,为光明喝彩!

 
 
 

日志

 
 

安天监控到硅谷动力挂马  

2009-10-23 17:16:37|  分类: 网络安全专栏 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

2009年10月23日,安天实验室发现,硅谷动力—游戏玩家论坛(http://gamebbs.enet.com.cn/),被黑客植入恶意代码,用户如果访问该网站,系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。

硅谷动力—游戏玩家论坛挂马页面:

安天监控到硅谷动力挂马 - 苗得雨 - 苗得雨:网事争锋

安天防线2009拦截图:

安天监控到硅谷动力挂马 - 苗得雨 - 苗得雨:网事争锋

挂马层次结构:                           

[wide]http://gamebbs.enet.com.cn(被挂马页面)

    [script]http://60.190.236.**:8000/stat.js? (恶意跳转链接)

        [iframe]http://360sd.7***.org/xm/1.htm? (恶意跳转链接)

            [iframe]http://22***.cn/x96/xx.html (集成网马页面)

                [iframe]http://22***.cn/x96/td14.htm (MS06-014漏洞)

                    [script]http://22***.cn/x96/14.js

                    [script]http://22***.cn/x96/15.js

                    [script]http://22***.cn/x96/17.js

                    [script]http://22***.cn/x96/16.js

                    [script]http://22***.cn/x96/18.js

                [iframe]http://22***.cn/x96/yt.htm (MS09-032漏洞)

                    [script]http://22***.cn/x96/pps.jpg

                    [script]http://22***.cn/x96/url.jpg

                    [script]http://22***.cn/x96/c.jpg

                    [script]http://22***.cn/x96/d.jpg

                    [script]http://22***.cn/x96/e.jpg

                    [script]http://22***.cn/x96/f.jpg

                [iframe]http://22***.cn/x96/td09.htm (MS09-002漏洞)

                    [script]http://22***.cn/x96/01.js

                    [script]http://22***.cn/x96/02.js

                [iframe]http://22***.cn/x96/yut.htm (子集成网马页面)

                    [iframe]http://22***.cn/x96/ytfl1.htm (Adobe Flash Player SWF文件漏洞)

                        [iframe]http://22***.cn/x96/x1.htm

                            [script]http://22***.cn/x96/swfobject.js

                            [flash]http://22***.cn/x96/./x1.swf

                            [flash]http://22***.cn/x96/./x3.swf

                            [flash]http://22***.cn/x96/./x4.swf

                            [flash]http://22***.cn/x96/./x2.swf

                        [iframe]http://22***.cn/x96/x2.htm

                            [script]http://22***.cn/x96/swfobject.js

                            [flash]http://22***.cn/x96/./x7.swf

                            [flash]http://22***.cn/x96/./x9.swf

                            [flash]http://22***.cn/x96/./x10.swf

                            [flash]http://22***.cn/x96/./x8.swf

                    [iframe]http://22***.cn/x96/of.htm (OWC10.Spreadsheet漏洞)

                        [script]http://22***.cn/x96/of.js

                        [script]http://22***.cn/x96/of3.jpg

                        [script]http://22***.cn/x96/of.jpg

                        [script]http://22***.cn/x96/of2.jpg

                [iframe]http://22***.cn/x96/ytu.htm (Adobe Reader PDF文件漏洞)

                    [iframe]http://22***.cn/x96/ytfl.htm

                        [iframe]http://22***.cn/x96/ff.html

                            [script]http://22***.cn/x96/ff.js

                        [iframe]http://22***.cn/x96/ie.html

                            [script]http://22***.cn/x96/ie.js

                        [iframe]http://22***.cn/x96/ff.html

                        [iframe]http://22***.cn/x96/ie.html

                        [iframe]http://22***.cn/x96/ff.html

                        [iframe]http://22***.cn/x96/ff.html

该挂马网页利用以下漏洞进行传播:

MS06-014漏洞

MS09-032漏洞

MS09-002漏洞

Adobe Flash Player SWF文件漏洞

Adobe Reader PDF文件漏洞

OWC10.Spreadsheet msDataSourceObject Method Stack Overflow Exploit

具体漏洞描述与解决方案请参见:

http://www.antiy.com/cn/security/2009/solution.htm

当用户访问挂马网站,系统会自动下载病毒文件:

    当用户访问硅谷动力—游戏玩家论坛(http://gamebbs.enet.com.cn/)时,含有漏洞的系统会自动从恶意网站下载大量病毒文件,并在本机上运行,病毒文件主要以网络游戏盗号类木马为主,病毒的具体描述信息如下:

1.网页木马直接下载的病毒文件:

http://d.ln***.com/xx/x96.css    病毒名:Trojan/Win32.Servill.om[Downloader]

病毒描述:

连接网络,读取病毒下载列表进而下载病毒文件,并在本机运行

衍生文件:

c:\Documents and Settings\a\Local Settings\Temp\~33206.exe

c:\Documents and Settings\a\Local Settings\Temp\~51c3a.dat

c:\Documents and Settings\a\Local Settings\Temp\343985

2. 下载者木马读取下载列表地址:

http://txt.lo***.com/xx.txt

3、由下载者木马下载的其他病毒文件:

http://1.lx***.com/img/1.exe     病毒名:Trojan/Win32.OnLineGames.bmtc[GameThief]

病毒描述:DNF游戏盗号木马

衍生文件:

c:\WINDOWS\system32\dfc8ac3ed7da.dll

c:\WINDOWS\system32\comres.dll

c:\WINDOWS\Tasks\kZdWDEpQcNC2NwDe.ico

c:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf

http://1.lx***.com/img/2.exe     病毒名:Trojan/Win32.Scar.acgo

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\Fonts\Encionc_ch.dat

c:\WINDOWS\Fonts\AeioFs.dat

c:\WINDOWS\Fonts\kb02310171.dll

http://1.lx***.com/img/3.exe     病毒名:Trojan/Win32.Magania.bwsr[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\system32\AMNCZw74h8gwd6CpYGkrZDy8.inf

c:\WINDOWS\Downloaded Program Files\hyxqXj4ENYN8PTavg.Ttf

http://1.lx***.com/img/4.exe     病毒名:Trojan/Win32.Agent.ayqa[Dropper]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\Tasks\EkKXXTKa2TVmc6XM.ico

c:\WINDOWS\Tasks\SbrmpxjdCrgRAFhz4gHh.inf

http://1.lx***.com/img/5.exe     病毒名:Trojan/Win32.Agent.ayqa[Dropper]

病毒描述:大话西游 ii游戏盗号木马

衍生文件:

c:\WINDOWS\Tasks\ThGkkhVnR6Dhf3eN.ico

c:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf

http://1.lx***.com/img/6.exe     病毒名:Trojan/Win32.Magania.bwsr[GameThief]

病毒描述:封神榜网路版游戏盗号木马

衍生文件:

c:\WINDOWS\system32\pwd4Xpm8KYzkcbqcaKT.inf

c:\WINDOWS\Downloaded Program Files\uV3EJDxwpnAPwFyP.Ttf

http://1.lx***.com/img/7.exe     病毒名:Trojan/Win32.Agent.ayqa[Dropper]

病毒描述:QQ三国游戏盗号木马

衍生文件:

c:\WINDOWS\Tasks\vC6ykXbjUGCVeCJa.ico

c:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur

http://4.lx***.com/img/8.exe     病毒名:Trojan/Win32.Agent.ayqa[Dropper]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\Tasks\x7j7yet9WK9FdYSD.ico

c:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf

http://4.lx***.com/img/9.exe     病毒名:Trojan/Win32.Magania.bwyr[GameThief]

病毒描述:封神榜网络版游戏盗号木马

衍生文件:

c:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.inf

c:\WINDOWS\Downloaded Program Files\HXxfduw9KeQTCeP6Z.Ttf

http://4.lx***.com/img/10.exe    病毒名:Trojan/Win32.Magania.bwsi[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\Downloaded Program Files\SvS2DJAqqTvtTYEU.Ttf

c:\WINDOWS\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur

http://2.lx***.com/img/11.exe    病毒名:Trojan/Win32.Magania.bfrp[GameThief]

病毒描述:口袋西游游戏盗号木马

衍生文件:

c:\WINDOWS\system32\122B901E.dll

c:\WINDOWS\Fonts\cFDPmh3MDPjcHMPd.Ttf

http://2.lx***.com/img/12.exe    病毒名:Trojan/Win32.Magania.bwsr[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf

c:\WINDOWS\Downloaded Program Files\WD2B9pAnWGBjB2sz.Ttf

http://2.lx***.com/img/13.exe    病毒名:Trojan/Win32.Magania.biht[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\system32\SCEVFJRCmaB7.dll

c:\WINDOWS\Fonts\G8qZ5hBX7H.Ttf

http://2.lx***.com/img/14.exe    病毒名:Trojan/Win32.Magania.bfrp[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\system32\CDuAUVkGy9.dll

c:\WINDOWS\Fonts\2knxWtVjbWXmUdGG.Ttf

http://2.lx***.com/img/15.exe    病毒名:Trojan/Win32.Magania.bwsr[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf

c:\WINDOWS\Downloaded Program Files\BcHCMJEEXFxaCm3q.Ttf

http://2.lx***.com/img/16.exe    病毒名:Trojan/Win32.Agent.ayqa[Dropper]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf

c:\WINDOWS\Downloaded Program Files\BcHCMJEEXFxaCm3q.Ttf

http://2.lx***.com/img/17.exe    病毒名:Trojan/Win32.Magania.bwyr[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf

c:\WINDOWS\Downloaded Program Files\uMub3WCE6aZ3nFgrYRX.Ttf

http://2.lx***.com/img/18.exe    病毒名:Trojan/Win32.Magania.bwsr[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\system32\WQVBYhAJ6ADw5qzCY8gv84KTH.inf

c:\WINDOWS\Downloaded Program Files\kAva4a5fpFR2ySmpM.Ttf

http://2.lx***.com/img/19.exe    病毒名:Trojan/Win32.Magania.bful[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\Fonts\RCZbVbjCY6wYszD3.Ttf

c:\WINDOWS\Fonts\A97CRaCB.fon

http://2.lx***.com/img/20.exe    病毒名:Trojan/Win32.Magania.bwsr[GameThief]

病毒描述:诛仙、口袋西游游戏盗号木马

衍生文件:

c:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf

c:\WINDOWS\Downloaded Program Files\WQKrDGnXQQb3Mgjk.Ttf

http://3.lx***.com/img/21.exe    病毒名:Trojan/Win32.Agent.ayqa[Dropper]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\Tasks\kTS4JJGUYtVagxPs.ico

c:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf

http://3.lx***.com/img/22.exe    病毒名:Trojan/Win32.Scar.aeuc

病毒描述:木马

衍生文件:

c:\WINDOWS\system32\msinet32d.dll

http://3.lx***.com/img/23.exe    病毒名:Trojan/Win32.Magania.bwsi[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\Downloaded Program Files\w23uRSuevxt2VP.Ttf

c:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur

http://3.lx***.com/img/24.exe    病毒名:Trojan/Win32.OnLineGames.bxq[GameThief]

病毒描述:Dropper类木马连接admma.cn:7777/cas.exe下载木马

衍生文件:

c:\WINDOWS\system32\svchos.exe

http://3.lx***.com/img/25.exe    病毒名:Trojan/Win32.Magania.bwsr[GameThief]

病毒描述:剑网3游戏盗号木马

衍生文件:

c:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf

c:\WINDOWS\Downloaded Program Files\cmE94RUgxBnd2ZWR.Ttf

http://3.lx***.com/img/26.exe    病毒名:Trojan/Win32.Magania.bkii[GameThief]

病毒描述:DNF游戏盗号木马

衍生文件:

c:\WINDOWS\system32\qzp3jTZCSfSh.dll

c:\WINDOWS\Fonts\qWskzsQA6.Ttf

http://3.lx***.com/img/27.exe    病毒名:Trojan/Win32.Magania.bwxz[GameThief]

病毒描述:大话西游3游戏盗号木马

衍生文件:

c:\WINDOWS\system32\ndxq9awMc.dll

c:\WINDOWS\Fonts\CRp3uYCmcxMp3qQn9.Ttf

http://3.lx***.com/img/28.exe    病毒名:Trojan/Win32.Magania.cbws[GameThief]

病毒描述:传奇外传游戏盗号木马

衍生文件:

c:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf

c:\WINDOWS\Downloaded Program Files\jEDR2jykhSujaMqF.Ttf

http://3.lx***.com/img/29.exe    病毒名:Trojan/Win32.Magania.bwsr[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\system32\t9hdtMrwMeQcvYV3CMvhtNZpC.inf

c:\WINDOWS\Downloaded Program Files\Unt9DSsEC4mzsuy6GV.Ttf

http://3.lx***.com/img/30.exe    病毒名:Trojan/Win32.Magania.biht[GameThief]

病毒描述:赤壁游戏盗号木马

衍生文件:

c:\WINDOWS\system32\jY8sGUnWqbZb3x2BPhY.dll

c:\WINDOWS\Fonts\tBeuadwPppCBnDUPgJH7P6.Ttf

http://4.lx***.com/img/31.exe    病毒名:Trojan/Win32.Magania.bwsi[GameThief]

病毒描述:游戏盗号木马

衍生文件:

c:\WINDOWS\Downloaded Program Files\BcHCMJEEXFxaCm3q.Ttf

c:\WINDOWS\Downloaded Program Files\TFKN5UmfMKAXpQvqR3Vg.cu

http://4.lx***.com/img/32.exe    病毒名:Trojan/Win32.Agent.ayqa[Dropper]

病毒描述:大话西游外传游戏盗号木马

衍生文件:

c:\WINDOWS\Tasks\xbkp74yhxPwfnz6Qc.ico

c:\WINDOWS\Tasks\TQupe3tz9FGwu56yjWvyY4t.inf

http://4.lx***.com/img/33.exe    病毒名:Trojan/Win32.Magania.bwsr[GameThief]

病毒描述:风云之武魂传说游戏盗号木马

衍生文件:

c:\WINDOWS\system32\t5SNSsxGp75apRFtS5Pkuajx.inf

c:\WINDOWS\Downloaded Program Files\cEGxTxaAP4N5ufpry8.Ttf

http://4.lx***.com/img/34.exe    病毒名:Trojan/Win32.Pasta.drb

病毒描述:木马连接http://d.eddxx.com/d.exe下载病毒文件

衍生文件:

http://4.lx***.com/img/35.exe    病毒名:Trojan/Win32.Small.anro[Downloader]

病毒描述:QQ类木马,删除QQ安全中心、结束QQ进程

衍生文件:

http://4.lx***.com/img/36.exe    病毒名:Trojan/Win32.Magania.bfrp[GameThief]

病毒描述:华夏2游戏盗号木马

衍生文件:

c:\WINDOWS\system32\2EF0D734.dll

c:\WINDOWS\Fonts\Qq3qg7RGSp9raxWW.Ttf

http://4.lx***.com/img/37.exe    病毒名:Trojan/Win32.QQPass.muj[PSW]

病毒描述:QQ钓鱼木马伪装QQ中心发布虚拟中奖信息

衍生文件:

c:\WINDOWS\system32\drivers\etc\hosts

http://4.lx***.com/img/38.exe    病毒名:Trojan/Win32.OnLineGames.vqhl[GameThief]

病毒描述:QQ盗号木马

衍生文件:

c:\WINDOWS\system32\drivers\dHook.sys

c:\Program Files\Internet Explorer\sdk2.dll

c:\Program Files\Internet Explorer\sdk2.tmp

c:\Program Files\Internet Explorer\sdk2.bak

安天反病毒工程师建议:

1. 使用安天防线2009或锐甲可以有效防范此挂马网页。

2. 用安天防线2009可以查杀此挂马网页下载的病毒文件。

3. 请及时更新安天防线2009,以确保您的计算机安全,防止计算机病毒入侵。如未安装安天防线请点击此处(http://www.antiyfx.com/download.htm),免费下载最新版安天防线2009。

  评论这张
 
阅读(351)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017