昨日,安天cert组发现一起典型的入侵挂马事件,恶意者利用政府网站散布含有木马的帖子链接,特此提醒广大用户:来源不明的地址勿访问!
被黑网站:
http://ecc****gov.cn/
病毒所在的详细地址为:
http://ecc****gov.cn/i****s/music.htm
http://221.***.***.99/****/music.htm
该恶意用户挂载病毒后,便将这连个地址贴到一些论坛中去,如:
http://post.baidu.com/f?kz=*******
当用户浏览这两个music页面的时候,该页面中嵌入使用RealPlayer播放的music.smi文件,使得用户机子上启动RealPlayer来播放,music.smi文件中内置一个ShellCode代码,溢出用户机器中存在漏洞的RealPlayer版本,执行里面的ShellCode代码,并从http://221.***.***.99/***/setup.exe下载一个灰鸽子变种到目标主机,该变种运行后,会注入到IExploer.exe进程中,而后尝试连接http://51****k.cn/ip.jpg,以便获取IP地址。
以下为该病毒的分析:
一、病毒标签:
病毒名称:Backdoor.Win32.Hupigon.f
中文名称:灰鸽子变种
病毒类型:木马后门
危害等级:高
文件长度:514,108字节
感染系统:Win9x以上所有版本
开发工具:Delphi
加壳类型:Nspack
二、行为分析:
1、该病毒运行后会释放如下文件:
%Windir%\winSe.DLL
%Windir%\winSe_Hook.DLL
%Windir%\winServer
文件属性:隐藏、只读、系统
文件属性:存档
文件属性:隐藏、只读、系统
2、尝试连接 http://51****k.cn/ip.jpg来获得IP地址,即木马控制者设定的IP地址:60.***.***.211,端口:8000
3、木马将自身添加为系统服务:
服务名称:winServer
文件路径:%Windir%\winServer
三、关于RealPlayer溢出漏洞:
1、该RealPlayer漏洞全名为:
RealNetworks RealPlayer .smil文件处理缓冲区溢出漏洞
2、该RealPlayer漏洞原因为:RealPlayer处理“.smil”文件的某些属性字段时,没有对拷贝操作中的一些字符串作严格的限制,因此存在缓冲区溢出漏洞。
攻击者可通过精心构造“.smil”文件可以使RealPlayer执行任意恶意指令,从而入侵并控制被溢出者的电脑。
注:“.smil”文件是RealPlayer的一种可播放的文件格式,在“.smil”文件中包含了真实的影片文件地址,以及一些相应的播放设置。当用RealPlayer打开这个文件时,会自动连接文件中真实的影片链接地址,播放相应的影片。
3、该漏洞存在于RealPlayer的各个版本中,其中受影响的版本包括:
Windows RealPlayer 10.5 (6.0.12.1040-1056)
Windows RealPlayer 10
Windows RealOne Player v2 (6.0.11.853 - 872)
Windows RealOne Player v2 (6.0.11.818 - 840)