注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

苗得雨:网事争锋

我们在攻击邪恶和黑暗时要毫不留情,但是也要腾出时间来为善行鼓掌,为光明喝彩!

 
 
 

日志

 
 

安天监控到搜捕论坛挂马  

2010-01-20 16:51:17|  分类: 网络安全专栏 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

    2010年1月20日上午9时,安天实验室发现,搜捕论坛(http://bbs.51sobu.com/),被黑客植入恶意代码,用户如果访问该网站,系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
搜捕挂马页面:

安天监控到搜捕论坛挂马 - 苗得雨 - 苗得雨:网事争锋

安天防线2009拦截图:

安天监控到搜捕论坛挂马 - 苗得雨 - 苗得雨:网事争锋

挂马层次结构:
[wide]http://bbs.51sobu.com/ (被挂马页面)
    [script]http://www.c***.org.cn/logo.gif?sobu (跳转链接)
        [iframe]http://201003.8***.org:2988/log/mid.html?l (跳转链接)
            [iframe]http://201003.8***.org:2988/log/ie.html (Internet Explorer “Aurora” 0Day漏洞)
                [script]http://201003.8***.org:2988/log/what.jpg

该挂马网页利用以下漏洞进行传播:
Internet Explorer “Aurora” 0Day漏洞

具体漏洞描述与解决方案请参见:
http://www.antiy.com/cn/security/2009/solution.htm

当用户访问挂马网站,系统会自动下载病毒文件:
    当用户访问搜捕论坛(http://bbs.51sobu.com/)时,含有漏洞的系统会自动从恶意网站下载大量病毒文件,并在本机上运行,病毒文件主要以网络游戏盗号类木马为主,病毒的具体描述信息如下:
1、网页木马直接下载的病毒文件:
http://tempxxp.3***.org:8277/log.css 病毒名:Worm/Win32.AutoRun.bcfc
病毒描述:
蠕虫病毒,在各个磁盘根目录下创建AutoRun.inf和病毒副本,试图通过移动设备进行传播;连接网络,读取下载列表进而下载并运行病毒文件,向指定地址发送安装统计信息
衍生文件:
c:\AutoRun.inf
c:\stesm.exe
2、下载者木马读取下载列表地址
http://txt.dengya****.com:8238/log.txt
3、由下载者木马下载的其他病毒文件:
http://gg.admin****.com.cn:2777/222/01.exe 病毒名:Trojan/Win32.OnLineGames.vyew[GameThief]
病毒描述:QQ华夏、DNF游戏盗号木马
衍生文件:
c:\WINDOWS\system32\Pancerun.dat
c:\WINDOWS\system32\NativeProc.dll
c:\WINDOWS\system32\SysIncDll.dll
c:\WINDOWS\system32\lpk.dll

http://gg.admin****.com.cn:2777/222/02.exe 病毒名:Trojan.Win32.Invader
病毒描述:后门类木马
衍生文件:
c:\WINDOWS\system32\winldr.atd
c:\WINDOWS\system32\sysdrvd.cio
c:\WINDOWS\system32\apphelp32.dll
c:\WINDOWS\system32\winoer.dat

http://gg.admin****.com.cn:2777/222/03.exe 病毒名:Trojan/Win32.OnLineGames.vfww[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\Documents and Settings\a\Local Settings\Temp\wfsjowfdsaw.dll
c:\Documents and Settings\a\Local Settings\Temp\TW9454.tmp

http://gg.admin****.com.cn:2777/222/04.exe 病毒名:Trojan/Win32.VB.ailv[Dropper]
病毒描述:Dropper类木马,试图结束阻止360部分安全软件的正常运行
衍生文件:

http://gg.admin****.com.cn:2777/222/05.exe 病毒名:Trojan/Win32.WOW.vys[GameThief]
病毒描述:大话西游游戏盗号木马
衍生文件:
c:\WINDOWS\system32\t3rpcss.dll
c:\WINDOWS\system32\t322035.ini
c:\WINDOWS\system32\t322035.dll

http://gg.admin****.com.cn:2777/222/06.exe 病毒名:Trojan/Win32.OnLineGames.vyij[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\dsound.dllRrGwY
c:\WINDOWS\system32\dsound.dllRrGwY
c:\WINDOWS\system\RG1.tmp

http://gg.admin****.com.cn:2777/222/07.exe 病毒名:Trojan/Win32.OnLineGames.bndm[GameThief]
病毒描述:完美世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\111.txt
c:\WINDOWS\system32\thunder.exe
c:\Documents and Settings\a\Local Settings\Temp\ELEMENTGJ.DLL
c:\Documents and Settings\a\Local Settings\Temp\GameUpdate.txt

http://gg.admin****.com.cn:2777/222/08.exe 病毒名:Trojan/Win32.Delf.xnh[Downloader]
病毒描述:下载者木马,链接www.66bv.com/ie.txt下载木马,该链接地址失效!
衍生文件:

http://gg.admin****.com.cn:2777/222/09.exe 病毒名:Trojan/Win32.Magania.gen[GameThief]
病毒描述:诛仙游戏盗号木马
衍生文件:
c:\Documents and Settings\a\Local Settings\Temp\elementzx.dll

http://gg.admin****.com.cn:2777/222/10.exe 病毒名:Trojan/Win32.WOW.inc[GameThief]
病毒描述:梦幻西游游戏盗号木马
衍生文件:
c:\WINDOWS\system32\t3rpcss.dll
c:\WINDOWS\system32\t320059.ini
c:\WINDOWS\system32\t320059.dll

http://gg.admin****.com.cn:2777/222/11.exe 病毒名:Trojan/Win32.OnLineGames.vyik[GameThief]
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\dsound.dllBSkMI
c:\WINDOWS\system32\dsound.dllBSkMI
c:\WINDOWS\system\RG1.tmp

http://gg.admin****.com.cn:2777/222/12.exe 病毒名:Trojan/Win32.WOW.vyg[GameThief]
病毒描述:问道游戏盗号木马
衍生文件:
c:\WINDOWS\system32\t3rpcss.dll
c:\WINDOWS\system32\t311014.ini
c:\WINDOWS\system32\t311014.dll

安天反病毒工程师建议:
1. 使用安天防线2009或锐甲可以有效防范此挂马网页。
2. 用安天防线2009可以查杀此挂马网页下载的病毒文件。
3. 请及时更新安天防线2009,以确保您的计算机安全,防止计算机病毒入侵。如未安装安天防线请点击此处(http://www.antiyfx.com),免费下载最新版安天防线2009。

  评论这张
 
阅读(529)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017