安天监控到网友世界官方社区挂马

安天监控到网友世界官方社区挂马
出处：安天实验室 时间：2010年1月8日
  
    2010年1月6日，Discuz！7.1与7.2版本中爆有远程执行代码漏洞，当晚，Discuz！官方便给出相应补丁；据安天实验室统计，还有众多网站并未及时更新，便给黑客以可乘之机，当黑客成功入侵到包含此漏洞的用户系统，便可以执行任意指令，甚至选择流量大的网站以挂马的方式大量传播病毒。下面的案例，就是典型的利用此漏洞入侵后再挂马的写照。

    2010年1月7日，安天实验室发现，网友世界官方社区(http://bbs.netfriends.com.cn/)，被黑客植入恶意代码，用户如果访问该网站，系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制，盗取用户敏感信息。甚至导致死机。
网友世界官方社区被挂马页面：
http://www.antiy.com/cn/security/img/20100108a.jpg



安天防线2009拦截图：

http://www.antiy.com/cn/security/img/20100108b.jpg


挂马层次结构：
[wide]http://bbs.netfriends.com.cn/（被挂马页面）
    [iframe]http://www.114***.com/bbs/a.html（MS09-032漏洞）
        [script]http://www.114***.com/bbs/darkst.png
    [iframe]http://www.114***.com/bbs/b.htm（MS09-002漏洞）
    [iframe]http://www.114***.com/bbs/c.htm（MS09-043漏洞）
    [script]http://bbs.netfriends.com.cn/forumdata/cache/common.js?0t6（集成网马链接）
        [iframe]http://www.114***.com/bbs/a.html（MS09-032漏洞）
            [script]http://www.114***.com/bbs/darkst.png
        [iframe]http://www.114***.com/bbs/b.htm（MS09-002漏洞）
        [iframe]http://www.114***.com/bbs/c.htm（MS09-043漏洞）
该挂马网页利用以下漏洞进行传播：
MS09-032
MS09-002
MS09-043

具体漏洞描述与解决方案请参见：
http://www.antiy.com/cn/security/2009/solution.htm

当用户访问挂马网站，系统会自动下载病毒文件：
    当用户访问网友世界官方社区(http://bbs.netfriends.com.cn/)时，含有漏洞的系统会自动从恶意网站下载病毒文件，并在本机上运行，病毒的具体描述信息如下：
网页木马直接下载的病毒文件：
http://www.114***.com/bbs/2010.exe 病毒名：Backdoor.Win32.Hupigon.drfb
病毒描述：
远程控制后门类木马，病毒运行后，创建病毒副本System64.exe到系统目录下；开启一个userinit.exe进程将病毒代码注入到该进程中；连接网络，读取http://www.114***.com/bbs/ip.txt，根据列表IP地址转向进行通信。
衍生文件：
c:\WINDOWS\system32\System64.exe


安天反病毒工程师建议：
1. 使用安天防线2009或锐甲可以有效防范此挂马网页。
2. 用安天防线2009可以查杀此挂马网页下载的病毒文件。
3. 请及时更新安天防线2009，以确保您的计算机安全，防止计算机病毒入侵。如未安装安天防线请点击此处（http://www.antiyfx.com），免费下载最新版安天防线2009。