技术资讯

当前位置：首页 > 技术资讯

安天监控到天涯社区挂马

发布时间：2021-01-22 04:53:38 阅读：次来源：高温氧化铝厂家

2009年8月11日下午15时，安天实验室发现，天涯社区页面(，被黑客植入恶意代码，用户如果访问访问该页面，系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制，盗取用户敏感信息。甚至导致死机。

天涯社区挂马页面：

***.com/songf/m问题框架代码：

两条恶意链接最终的挂马页面内容相同，这里只跟踪其中一条链接

http://badf3***.cn>问题框架代码：

http://zyfx605***.cn/dszq/m问题框架代码：

http://f3jiy***.cn/x3/ml问题框架代码：

该挂马网页利用以下漏洞进行传播：

MS06-014漏洞

MS09-032漏洞

MS09-002漏洞

Adobe Flash Player SWF文件漏洞

readsheet msDataSourceObject Method Stack Overflow Exploit

漏洞信息与描述：

Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码(MS06-014)

受影响系统：

Microsoft Windows XP Service Pack 1

Microsoft Windows XP Service Pack 2

Microsoft Windows Server 2003

Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows 98

Microsoft Windows 98 Second Edition (SE)、

Microsoft Windows Millennium Edition (ME)

Microsoft Windows 2000 Service Pack 4

描述和解决方案：

Microsoft已经发布了安全公告和相应补丁：

链接：

Microsoft Internet Explorer未初始化的内存损坏漏洞(MS09-002)

受影响版本：

Microsoft Internet Explorer 7.0

解决方案：

Microsoft已经发布了安全公告和相应补丁：

链接：

MS09-002 IE7 漏洞原理分析：

链接：

Microsoft DirectShow MPEG2溢出漏洞(MS09-032)

受影响系统：

Windows XP Service Pack 2 和 Windows XP Service Pack 3

Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 SP2(用于基于 Itanium 的系统)

解决方案：

Microsoft已经发布了安全公告和相应补丁：

链接：

Adobe Flash Player SWF文件漏洞

受影响版本：

Adobe Flash Player 9.0.115.0以及以前的版本

解决方案：

Adobe已经发布了安全公告和相应补丁：

链接：

readsheet msDataSourceObject Method Stack Overflow Exploit

受影响版本：

Microsoft Office Web Components 10

临时解决方法：

为clsid： 0002E551-0000-0000-C000-000000000046设置kill-bit。

解决方案：

目前微软官方还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本

当用户访问挂马网站，系统会自动下载病毒文件：

1、网页木马直接下载的病毒文件：

***.com/xx/s 病毒名：Trojan/f[Dropper]

病毒描述：下载者木马

衍生文件：

c:Documents and SettingsaLocal SettingsTemp~53635.t

c:Documents and SettingsaLocal SettingsTemp~p

c:Documents and k

2、下载者木马读取下载列表地址：

***.com/t

3、由下载者木马下载的其他病毒文件：

***.com/img/e 病毒名：Trojan/ht[GameThief]

病毒描述：梦幻西游online盗号木马

衍生文件：

c:f

c:n

***.com/img/e 病毒名：Trojan/wn[GameThief]

病毒描述：游戏盗号木马

衍生文件：

c:l

c:f

***.com/img/e 病毒名：Trojan/rp[GameThief]

病毒描述：魔兽世界游戏盗号木马

衍生文件：

c:l

c:f

***.com/img/e 病毒名：Trojan/ht[GameThief]

病毒描述：游戏盗号木马

衍生文件：

c:l

c:f

***.com/img/e 病毒名：Trojan/qa[Dropper]

病毒描述：游戏盗号木马

衍生文件：

c:l

c:f

***.com/img/e 病毒名：Trojan/wc[GameThief]

病毒描述：游戏盗号木马

衍生文件：

c:l

c:f

***.com/img/e 病毒名：Trojan/ii[GameThief]

病毒描述：游戏盗号木马

衍生文件：

c:l

c:f

***.com/img/e 病毒名：Trojan/wc[GameThief]

病毒描述：游戏盗号木马

衍生文件：

c:l

c:f

***.com/img/e 病毒名：Trojan/rp[GameThief]

病毒描述：封神榜网络版游戏盗号木马

衍生文件：

c:l

c:f

***.com/img/e 病毒名：Trojan/wc[GameThief]

病毒描述：梦幻西游online盗号木马

衍生文件：

c:l

c:f

***.com/img/e 病毒名：Trojan/rp[GameThief]

病毒描述：完美世界游戏盗号木马

衍生文件：

c:l

c:f

***.com/img/e 病毒名：Trojan/t

病毒描述：后门类木马

衍生文件：

c:e

***.com/img/e 病毒名：Trojan/q

病毒描述：后门类木马

衍生文件：

c:e

***.com/img/e 病毒名：Trojan/ht[GameThief]

病毒描述：游戏盗号木马

衍生文件：

c:f

c:n

***.com/img/e 病毒名：Trojan/rp[GameThief]

病毒描述：游戏盗号木马

衍生文件：

c:l

c:f

***.com/img/e 病毒名：Trojan/b

病毒描述：木马下载器

衍生文件：

c:WINDOWSTasks1

***.com/img/e 病毒名：Trojan/ii[GameThief]

病毒描述：游戏盗号木马

衍生文件：

c:WINDOWSsystem32l

c:f

***.com/img/e 病毒名：Trojan/rp[GameThief]

病毒描述：游戏盗号木马

衍生文件：

c:l

c:f

***.com/img/e 病毒名：Trojan/ul[GameThief]

病毒描述：游戏盗号木马

衍生文件：

c:f

c:n

***.com/img/e 病毒名：Trojan/rp[GameThief]

病毒描述：诛仙游戏盗号木马

衍生文件：

c:l

c:f

***.com/img/e 病毒名：Trojan/xr[Dropper]

病毒描述：IPC$共享传播木马，溢出成功后连接ttp://下载木马

衍生文件：

c:Documents and SettingsaLocal SettingsTemp11231237

***.com/img/e 病毒名：Trojan/nc[GameThief]

病毒描述：QQ盗号木马

衍生文件：

c:Program FilesInternet l

c:Program FilesInternet p

c:Program FilesInternet k

安天反病毒工程师建议：

1. 使用安天防线2009或锐甲可以有效防范此挂马网页。

2. 用安天防线2009可以查杀此挂马网页下载的病毒文件。

3、请及时更新安天防线2009，以确保您的计算机安全，防止计算机病毒入侵。

戮仙战纪(原名灵域戮仙)

弑之神腾讯版

联众大厅下载