安天监控到网友世界官方社区挂马
本帖最后由 avengert 于 2010-1-8 11:53 编辑安天监控到网友世界官方社区挂马
出处:安天实验室 时间:2010年1月8日
2010年1月6日,Discuz!7.1与7.2版本中爆有远程执行代码漏洞,当晚,Discuz!官方便给出相应补丁;据安天实验室统计,还有众多网站并未及时更新,便给黑客以可乘之机,当黑客成功入侵到包含此漏洞的用户系统,便可以执行任意指令,甚至选择流量大的网站以挂马的方式大量传播病毒。下面的案例,就是典型的利用此漏洞入侵后再挂马的写照。
2010年1月7日,安天实验室发现,网友世界官方社区(http://bbs.netfriends.com.cn/),被黑客植入恶意代码,用户如果访问该网站,系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
网友世界官方社区被挂马页面:
http://www.antiy.com/cn/security/img/20100108a.jpg
安天防线2009拦截图:
http://www.antiy.com/cn/security/img/20100108b.jpg
挂马层次结构:
http://bbs.netfriends.com.cn/(被挂马页面)
http://www.114***.com/bbs/a.html(MS09-032漏洞)
http://www.114***.com/bbs/darkst.png
http://www.114***.com/bbs/b.htm(MS09-002漏洞)
http://www.114***.com/bbs/c.htm(MS09-043漏洞)
http://bbs.netfriends.com.cn/forumdata/cache/common.js?0t6(集成网马链接)
http://www.114***.com/bbs/a.html(MS09-032漏洞)
http://www.114***.com/bbs/darkst.png
http://www.114***.com/bbs/b.htm(MS09-002漏洞)
http://www.114***.com/bbs/c.htm(MS09-043漏洞)
该挂马网页利用以下漏洞进行传播:
MS09-032
MS09-002
MS09-043
具体漏洞描述与解决方案请参见:
http://www.antiy.com/cn/security/2009/solution.htm
当用户访问挂马网站,系统会自动下载病毒文件:
当用户访问网友世界官方社区(http://bbs.netfriends.com.cn/)时,含有漏洞的系统会自动从恶意网站下载病毒文件,并在本机上运行,病毒的具体描述信息如下:
网页木马直接下载的病毒文件:
http://www.114***.com/bbs/2010.exe 病毒名:Backdoor.Win32.Hupigon.drfb
病毒描述:
远程控制后门类木马,病毒运行后,创建病毒副本System64.exe到系统目录下;开启一个userinit.exe进程将病毒代码注入到该进程中;连接网络,读取http://www.114***.com/bbs/ip.txt,根据列表IP地址转向进行通信。
衍生文件:
c:\WINDOWS\system32\System64.exe
安天反病毒工程师建议:
1. 使用安天防线2009或锐甲可以有效防范此挂马网页。
2. 用安天防线2009可以查杀此挂马网页下载的病毒文件。
3. 请及时更新安天防线2009,以确保您的计算机安全,防止计算机病毒入侵。如未安装安天防线请点击此处(http://www.antiyfx.com),免费下载最新版安天防线2009。
页:
[1]