昨日,安天cert组发现一起典型的入侵挂马事件,恶意者利用政府网站散布含有木马的帖子链接,特此提醒广大用户:来源不明的地址勿访问!
被黑网站:
http://ecc****gov.cn/
病毒所在的详细地址为:
http://ecc****gov.cn/i****s/music.htm
http://221.***.***.99/****/music.htm
该恶意用户挂载病毒后,便将这连个地址贴到一些论坛中去,如:
http://post.baidu.com/f?kz=*******
当用户浏览这两个music页面的时候,该页面中嵌入使用RealPlayer播放的music.smi文件,使得用户机子上启动RealPlayer来播放,music.smi文件中内置一个ShellCode代码,溢出用户机器中存在漏洞的RealPlayer版本,执行里面的ShellCode代码,并从http://221.***.***.99/***/setup.exe下载一个灰鸽子变种到目标主机,该变种运行后,会注入到IExploer.exe进程中,而后尝试连接http://cimg2.163.com/catchpic/0/07/075CDC5FEEF3B081018DE20D1D01BEE7.jpg,以便获取IP地址。