安天监控到赛迪网数码频道挂马
出处:安天实验室 时间:2009年12月31日
2009年12月31日,安天实验室发现,赛迪网数码频道(http://ezit.ccidnet.com/html/youxi/danji/200407/19-39564.html),被黑客植入恶意代码,用户如果访问该网站,系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
赛迪网数码频道被挂马页面:
安天防线2009拦截图:
挂马层次结构:
[wide]http://ezit.ccidnet.com/html/youxi/danji/200407/19-39564.html (被挂马页面)
[script]http://www.xc****.gov.cn/images/ubb.js (恶意跳转链接)
[iframe]http://bbs.xcd****.net/forumdata/inc/hi.htm?晕44 (集成网马页面)
[iframe]http://bbs.xcd****.net/forumdata/inc/ho.htm (MS09-032)
[script]http://bbs.xcd****.net/forumdata/inc/xa.jpg
[script]http://bbs.xcd****.net/forumdata/inc/xb.jpg
[script]http://bbs.xcd****.net/forumdata/inc/xc.jpg
[script]http://bbs.xcd****.net/forumdata/inc/xd.jpg
[iframe]http://bbs.xcd****.net/forumdata/inc/hb.htm (MS09-043)
[iframe]http://bbs.xcd****.net/forumdata/inc/fx.htm
[script]http://bbs.xcd****.net/forumdata/inc/xc.jpg
[script]http://bbs.xcd****.net/forumdata/inc/xa.jpg
[script]http://bbs.xcd****.net/forumdata/inc/xe.jpg
该挂马网页利用以下漏洞进行传播:
MS09-032
MS09-043
具体漏洞描述与解决方案请参见:
http://www.antiy.com/cn/security/2009/solution.htm
当用户访问挂马网站,系统会自动下载病毒文件:
当用户访问赛迪网数码频道(http://ezit.ccidnet.com/html/youxi/danji/200407/19-39564.html)时,含有漏洞的系统会自动从恶意网站下载大量病毒文件,并在本机上运行,病毒文件主要以网络游戏盗号类木马为主,病毒的具体描述信息如下:
1、网页木马直接下载的病毒文件:
http://bbs.xcd****.net/forumdata/log/x.css 病毒名:Trojan/Win32.Agent.bkao[Dropper]
病毒描述:
新增注册表项,创建服务,映像劫持多种安全相关产品;连接网络,通过读取衍生在%System32%\appmgmts.dll文件里的下载信息,进而下载到本机并运行这些病毒文件
衍生文件:
c:\WINDOWS\system32\appmgmts.dll
2、由下载者木马下载的其他病毒文件:
http://67.159.29.***/ko/01.exe 病毒名:Trojan/Win32.WOW.vrg[GameThief]
描述:大话西游2游戏盗号木马
衍生文件:
c:\WINDOWS\system32\t3rpcss.dll
c:\WINDOWS\system32\t322028.ini
c:\WINDOWS\system32\t322028.dll
http://67.159.29.***/ko/02.exe 病毒名:Trojan/Win32.OnLineGames.bnbi[GameThief]
描述:传奇私服游戏盗号木马
衍生文件:
c:\WINDOWS\system32\t331004.ini
c:\WINDOWS\system32\t331004.dll
http://67.159.29.***/ko/03.exe 病毒名:Trojan/Win32.WOW.vqd[GameThief]
描述:梦幻西游游戏盗号木马
衍生文件:
c:\WINDOWS\system32\t320046.ini
c:\WINDOWS\system32\t320046.dll
http://67.159.29.***/ko/04.exe 病毒名:Trojan/Win32.WOW.vrg[GameThief]
描述:问道游戏盗号木马
衍生文件:
c:\WINDOWS\system32\t311010.ini
c:\WINDOWS\system32\t311010.dll
http://67.159.29.***/ko/05.exe 病毒名:Trojan/Win32.OnLineGames.bnda[GameThief]
描述:诛仙游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\dsound.dllsflkR
c:\WINDOWS\system\AV1.tmp
c:\Documents and Settings\a\Local Settings\Temp\AV1.tmp
http://67.159.29.***/ko/06.exe 病毒名:Trojan/Win32.OnLineGames.vxfm[GameThief]
描述:天龙八部游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\dsound.dllBuGeG
c:\WINDOWS\system\AV2.tmp
c:\Documents and Settings\a\Local Settings\Temp\AV2.tmp
http://67.159.29.***/ko/07.exe 病毒名:Trojan/Win32.OnLineGames.vxfm[GameThief]
描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\dsound.dllOuHOB
c:\WINDOWS\system\AV1.tmp
c:\Documents and Settings\a\Local Settings\Temp\AV1.tmp
http://67.159.29.***/ko/08.exe 病毒名:Trojan/Win32.WOW.vrg[GameThief]
描述:诛仙游戏盗号木马
衍生文件:
c:\WINDOWS\system32\t3rpcss.dll
c:\WINDOWS\system32\t306019.ini
c:\WINDOWS\system32\t306019.dll
http://67.159.29.***/ko/09.exe 病毒名:Trojan/Win32.OnLineGames.bnda[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\dsound.dllwIdys
c:\WINDOWS\system\AV2.tmp
c:\Documents and Settings\a\Local Settings\Temp\AV2.tmp
http://67.159.29.***/ko/10.exe 病毒名:Trojan/Win32.OnLineGames.bnas[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\dsound.dlloSynS
c:\WINDOWS\system\AV3.tmp
c:\Documents and Settings\a\Local Settings\Temp\AV3.tmp
http://67.159.29.***/ko/11.exe 病毒名:Trojan/Win32.OnLineGames.bncy[GameThief]
描述:成吉思汗游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\d3d9.dllykvUd
c:\WINDOWS\system\AV4.tmp
c:\Documents and Settings\a\Local Settings\Temp\AV4.tmp
http://67.159.29.***/ko/12.exe 病毒名:Trojan/Win32.OnLineGames.bndc[GameThief]
描述:永恒之塔游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\ddraw.dllckfwl
c:\WINDOWS\system\AV5.tmp
c:\Documents and Settings\a\Local Settings\Temp\AV5.tmp
http://67.159.29.***/ko/13.exe 病毒名:Trojan/Win32.OnLineGames.bncx[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\dsound.dlleBQyf
c:\WINDOWS\system\AV1.tmp
c:\Documents and Settings\a\Local Settings\Temp\AV1.tmp
http://67.159.29.***/ko/14.exe 病毒名:Trojan/Win32.OnLineGames.bncx[GameThief]
描述:剑侠3游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\dsound.dlljLoRg
c:\WINDOWS\system\AV2.tmp
c:\Documents and Settings\a\Local Settings\Temp\AV2.tmp
http://67.159.29.***/ko/15.exe 病毒名:Trojan/Win32.OnLineGames.bncu[GameThief]
描述:DNF游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dnfdbg.dll
c:\WINDOWS\system32\Unamsmqnws.dat
c:\WINDOWS\system32\dnfwg.dll
c:\WINDOWS\system32\myInsDll.exe
c:\WINDOWS\system32\sfc32.dll
c:\WINDOWS\system32\comres.dll
http://67.159.29.***/ko/16.exe 病毒名:Trojan/Win32.Agent.bihl[Dropper]
描述:QQ盗号木马
衍生文件:
c:\WINDOWS\system32\wmitpfs.dll
c:\Documents and Settings\a\Local Settings\Temp\317484.bat
http://67.159.29.***/ko/17.exe 病毒名:Trojan/Win32.OnLineGames.bndb[GameThief]
描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\mhzx.bat
c:\WINDOWS\system32\mhzx.reg
c:\WINDOWS\system32\mhzxin.bat
c:\WINDOWS\system32\sougou.ime
c:\Program Files\WLmhzx\gameclien.exe
http://67.159.29.***/ko/18.exe 病毒名:Trojan/Win32.OnLineGames.vafd[GameThief]
描述:qq华夏游戏盗号木马
衍生文件:
c:\WINDOWS\system32\ss12B60094dll.dll
c:\WINDOWS\system32\ss12B60094exe.gho
http://67.159.29.***/ko/19.exe 病毒名:Trojan/Win32.OnLineGames.vxfm[GameThief]
描述:剑侠世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\dsound.dllOtlce
c:\WINDOWS\system\AV1.tmp
c:\Documents and Settings\a\Local Settings\Temp\AV1.tmp
http://67.159.29.***/ooo/0.exe 病毒名:Worm/Win32.Piloyd.bg[Net]
描述:木马下载者,连接http://61.164.108.213/ko/01.exe-22.exe下载大量病毒文件
衍生文件:
c:\WINDOWS\system32\dllcache\lsasvc.dll
http://67.159.29.***/ooo/74.exe 病毒名:Worm/Win32.AutoRun.afcb
描述:木马,添加注册表劫持大量安全软件,连接网络发送安装统计信息
衍生文件:
c:\WINDOWS\system32\drivers\etc\hosts
c:\WINDOWS\system\ming9b090423.exe
c:\WINDOWS\system\nb9ming32c090423.dll
c:\Documents and Settings\All Users\ming9df16.ini |
|
发表于 2009-12-31 14:27