新浪网宠物频道(http://pet.sina.com.cn)被黑客植入病毒,用户如果访问该网站,系统就会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
该网站问题代码:
http://www.petkoo***.com/index/vane.shtml问题框架代码:
http://google.08***.cn/js/O8.js?sohu问题框架代码:
document.write("");}
http://9xddw2***.cn/08/0008.htm?22问题框架代码:
http://9xddw2***.cn/08/index.html集成网马页面代码:
该挂马网页利用以下漏洞进行传播:
MS06-014漏洞
Adobe Flash Player SWF文件漏洞
中国游戏中心游戏大厅 (CGAgent.dll)ActiveX远程栈溢出漏洞
Qvod Player漏洞
MS09-002漏洞
ActiveX控件漏洞
暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞
Real Networks RealPlayer 'rmoc3260.dll' ActiveX控件内存破坏漏洞
RealPlayer播放器IERPCtl.IERPCtl.1漏洞
漏洞信息与描述:
Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码(MS06-014)
受影响系统:
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows 98
Microsoft Windows 98 Second Edition (SE)、
Microsoft Windows Millennium Edition (ME)
Microsoft Windows 2000 Service Pack 4
描述和解决方案:
Microsoft已经发布了安全公告和相应补丁:
链接:http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx
Adobe Flash Player SWF文件漏洞
受影响版本:
Adobe Flash Player 9.0.115.0以及以前的版本
描述和解决方案:
Adobe已经发布了安全公告和相应补丁:
链接:http://www.adobe.com/support/security/bulletins/apsb08-11.html
中国游戏中心游戏大厅ActiveX远程栈溢出漏洞
受影响版本:
中国游戏中心游戏大厅2009
描述和解决方案:
请参看安天实验室提供的具体解决方案:
链接:http://www.antiy.com/cn/security/2009/s090504_003.htm
Qvod Player QvodInsert.dll ActiveX控件远程代码执行漏洞
受影响版本:
Qvod Player 2.x
描述和解决方案:
升级到最新版本:
链接:http://update.qvod.com/QvodSetup.exe
Microsoft Internet Explorer未初始化的内存损坏漏洞(MS09-002)
受影响版本:
Microsoft Internet Explorer 7.0
描述和解决方案:
Microsoft已经发布了安全公告和相应补丁:
链接:http://www.microsoft.com/china/technet/security/bulletin/MS09-002.mspx
MS09-002 IE7 漏洞原理分析:
链接:http://www.antiy.com/cn/security/2009/s090220_002.htm
暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞
受影响版本:
暴风影音2009 <=[3.09.04.17]
描述和解决方案:
请参看安天实验室提供的具体解决方案:
http://www.antiy.com/cn/security/2009/s090504_003.htm
Real Networks RealPlayer 'rmoc3260.dll' ActiveX控件内存破坏漏洞
受影响版本:
Real Networks rmoc3260.dll 6.0.10 45
Real Networks RealPlayer 11
描述:
Real Networks RealPlayer是一款流行的媒体播放程序。Real Networks RealPlayer包含的'rmoc3260.dll' ActiveX控件存在内存破坏问题,远程攻击者可以利用漏洞以应用程序进程权限执行任意指令。问题存在于'rmoc3260.dll' ActiveX控件,版本为6.0.10.4。可能导致在释放后修改堆块,并覆盖部分寄存器,允许任意代码执行。
目前没有官方解决方案提供:
http://www.real.com/
当用户访问挂马网站,系统会自动下载病毒文件:
1、网页木马直接下载的病毒文件:
http://4534rr232323***.cn/z8.exe 病毒名:Trojan/Win32.Geral.adf[Downloader]
2、病毒读取网络下载列表地址:
http://9mckde3.cn/xx8/ttnew.txt
3、由下载者木马下载的其他病毒文件:
http://5yttrre***.cn/xx1.exe 病毒名:Trojan/Win32.Magania.bfuc[Stealer]
http://5yttrre***.cn/xx2.exe 病毒名:Trojan/Win32.Magania.bfwc[Stealer]
http://5yttrre***.cn/xx3.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx4.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx5.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx6.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx7.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx8.exe 病毒名:Trojan/Win32.OnLineGames.bmfk[Stealer]
http://5yttrre***.cn/xx9.exe 病毒名:Trojan/Win32.LdPinch.agma[Stealer]
http://5yttrre***.cn/xx10.exe 病毒名:Trojan/Win32.Magania.bful[Stealer]
http://5yttrre***.cn/xx11.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx12.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx13.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx14.exe 病毒名:Trojan/Win32.Magania.bfdq[Stealer]
http://5yttrre***.cn/xx15.exe 病毒名:Trojan/Win32.Magania.bful[Stealer]
http://5yttrre***.cn/xx16.exe 病毒名:Trojan/Win32.Magania.bfwc[Stealer]
http://5yttrre***.cn/xx17.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx18.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx19.exe 病毒名:Trojan/Win32.Agent.aruu[Dropper]
http://5yttrre***.cn/xx20.exe 病毒名:Trojan/Win32.Agent.aruu[Dropper]
http://5yttrre***.cn/xx21.exe 病毒名:Trojan/Win32.Magania.beaa[Stealer]
http://5yttrre***.cn/xx22.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx23.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx24.exe 病毒名:Trojan/Win32.Magania.bfws[Stealer]
http://5yttrre***.cn/xx25.exe 病毒名:Trojan/Win32.Magania.bffe[Stealer]
http://5yttrre***.cn/xx26.exe 病毒名:Trojan/Win32.Magania.bfsy[Stealer]
http://5yttrre***.cn/xx27.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx28.exe 病毒名:Trojan/Win32.Magania.bfrp[Stealer]
http://5yttrre***.cn/xx29.exe 病毒名:Trojan/Win32.LdPinch.guz[Stealer]
http://5yttrre***.cn/xx30.exe 病毒名:Trojan/Win32.Magania.bful[Stealer]
http://5yttrre***.cn/xx31.exe 病毒名:Trojan/Win32.Magania.bful[Stealer]
http://5yttrre***.cn/xx32.exe 病毒名:Trojan/Win32.Magania.bful[Stealer]
http://5yttrre***.cn/xx39.exe 病毒名:Trojan/Win32.Magania.bfun[Stealer]
http://5yttrre***.cn/xx40.exe 病毒名:Trojan/Win32.Magania.bfun[Stealer]
http://5yttrre***.cn/xx42.exe 链接失效
以上病毒文件为下载者木马和游戏盗号木马,自动运行后将会,盗取用户敏感信息,甚至导致死机。由于下载数量太多,这里不一一分析。