新浪网宠物频道挂马事件

新浪网宠物频道(http://pet.sina.com.cn)被黑客植入病毒，用户如果访问该网站，系统就会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制，盗取用户敏感信息。甚至导致死机。

该网站问题代码：

http://www.petkoo***.com/index/vane.shtml问题框架代码：

http://google.08***.cn/js/O8.js?sohu问题框架代码：

document.write("");}

http://9xddw2***.cn/08/0008.htm?22问题框架代码：

http://9xddw2***.cn/08/index.html集成网马页面代码：

该挂马网页利用以下漏洞进行传播：

MS06-014漏洞

Adobe Flash Player SWF文件漏洞

中国游戏中心游戏大厅 (CGAgent.dll)ActiveX远程栈溢出漏洞

Qvod Player漏洞

MS09-002漏洞

ActiveX控件漏洞

暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞

Real Networks RealPlayer 'rmoc3260.dll' ActiveX控件内存破坏漏洞

RealPlayer播放器IERPCtl.IERPCtl.1漏洞

漏洞信息与描述：

Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码(MS06-014)

受影响系统：

Microsoft Windows XP Service Pack 1

Microsoft Windows XP Service Pack 2

Microsoft Windows Server 2003

Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows 98

Microsoft Windows 98 Second Edition (SE)、

Microsoft Windows Millennium Edition (ME)

Microsoft Windows 2000 Service Pack 4

描述和解决方案：

Microsoft已经发布了安全公告和相应补丁：

链接：http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx

Adobe Flash Player SWF文件漏洞

受影响版本：

Adobe Flash Player 9.0.115.0以及以前的版本

描述和解决方案：

Adobe已经发布了安全公告和相应补丁：

链接：http://www.adobe.com/support/security/bulletins/apsb08-11.html

中国游戏中心游戏大厅ActiveX远程栈溢出漏洞

受影响版本：

中国游戏中心游戏大厅2009

描述和解决方案：

请参看安天实验室提供的具体解决方案：

链接：http://www.antiy.com/cn/security/2009/s090504_003.htm

Qvod Player QvodInsert.dll ActiveX控件远程代码执行漏洞

受影响版本：

Qvod Player 2.x

描述和解决方案：

升级到最新版本：

链接：http://update.qvod.com/QvodSetup.exe

Microsoft Internet Explorer未初始化的内存损坏漏洞(MS09-002)

受影响版本：

Microsoft Internet Explorer 7.0

描述和解决方案：

Microsoft已经发布了安全公告和相应补丁：

链接：http://www.microsoft.com/china/technet/security/bulletin/MS09-002.mspx

MS09-002 IE7 漏洞原理分析：

链接：http://www.antiy.com/cn/security/2009/s090220_002.htm

暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞

受影响版本：

暴风影音2009 <=[3.09.04.17]

描述和解决方案：

请参看安天实验室提供的具体解决方案：

http://www.antiy.com/cn/security/2009/s090504_003.htm

Real Networks RealPlayer 'rmoc3260.dll' ActiveX控件内存破坏漏洞

受影响版本：

Real Networks rmoc3260.dll 6.0.10 45

Real Networks RealPlayer 11

描述：

Real Networks RealPlayer是一款流行的媒体播放程序。Real Networks RealPlayer包含的'rmoc3260.dll' ActiveX控件存在内存破坏问题，远程攻击者可以利用漏洞以应用程序进程权限执行任意指令。问题存在于'rmoc3260.dll' ActiveX控件，版本为6.0.10.4。可能导致在释放后修改堆块，并覆盖部分寄存器，允许任意代码执行。

目前没有官方解决方案提供：

http://www.real.com/

当用户访问挂马网站，系统会自动下载病毒文件：

1、网页木马直接下载的病毒文件：

http://4534rr232323***.cn/z8.exe 病毒名：Trojan/Win32.Geral.adf[Downloader]

2、病毒读取网络下载列表地址：

http://9mckde3.cn/xx8/ttnew.txt

3、由下载者木马下载的其他病毒文件：

http://5yttrre***.cn/xx1.exe 病毒名：Trojan/Win32.Magania.bfuc[Stealer]

http://5yttrre***.cn/xx2.exe 病毒名：Trojan/Win32.Magania.bfwc[Stealer]

http://5yttrre***.cn/xx3.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx4.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx5.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx6.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx7.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx8.exe 病毒名：Trojan/Win32.OnLineGames.bmfk[Stealer]

http://5yttrre***.cn/xx9.exe 病毒名：Trojan/Win32.LdPinch.agma[Stealer]

http://5yttrre***.cn/xx10.exe 病毒名：Trojan/Win32.Magania.bful[Stealer]

http://5yttrre***.cn/xx11.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx12.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx13.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx14.exe 病毒名：Trojan/Win32.Magania.bfdq[Stealer]

http://5yttrre***.cn/xx15.exe 病毒名：Trojan/Win32.Magania.bful[Stealer]

http://5yttrre***.cn/xx16.exe 病毒名：Trojan/Win32.Magania.bfwc[Stealer]

http://5yttrre***.cn/xx17.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx18.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx19.exe 病毒名：Trojan/Win32.Agent.aruu[Dropper]

http://5yttrre***.cn/xx20.exe 病毒名：Trojan/Win32.Agent.aruu[Dropper]

http://5yttrre***.cn/xx21.exe 病毒名：Trojan/Win32.Magania.beaa[Stealer]

http://5yttrre***.cn/xx22.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx23.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx24.exe 病毒名：Trojan/Win32.Magania.bfws[Stealer]

http://5yttrre***.cn/xx25.exe 病毒名：Trojan/Win32.Magania.bffe[Stealer]

http://5yttrre***.cn/xx26.exe 病毒名：Trojan/Win32.Magania.bfsy[Stealer]

http://5yttrre***.cn/xx27.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx28.exe 病毒名：Trojan/Win32.Magania.bfrp[Stealer]

http://5yttrre***.cn/xx29.exe 病毒名：Trojan/Win32.LdPinch.guz[Stealer]

http://5yttrre***.cn/xx30.exe 病毒名：Trojan/Win32.Magania.bful[Stealer]

http://5yttrre***.cn/xx31.exe 病毒名：Trojan/Win32.Magania.bful[Stealer]

http://5yttrre***.cn/xx32.exe 病毒名：Trojan/Win32.Magania.bful[Stealer]

http://5yttrre***.cn/xx39.exe 病毒名：Trojan/Win32.Magania.bfun[Stealer]

http://5yttrre***.cn/xx40.exe 病毒名：Trojan/Win32.Magania.bfun[Stealer]

http://5yttrre***.cn/xx42.exe 链接失效

以上病毒文件为下载者木马和游戏盗号木马，自动运行后将会，盗取用户敏感信息，甚至导致死机。由于下载数量太多，这里不一一分析。

• ·赵丹阳天价追星 与巴菲特共进211万美元午餐
• ·谷歌中国就“涉黄”事件道歉 表示正在整改
• ·中国青年报:互联网是不是让人变得愚昧
• ·腾讯否认QQ拼音存在不正当竞争行为
• ·叫醒“打盹”的谷歌乃共赢之举
• ·“黑板报”上的谷歌文化生存之道
• ·央视连续曝光谷歌 谁是受益者？
• ·九城 请让原魔兽团队员工体面地离开
• ·损网易不利己 客服成魔兽利益牺牲品
• ·中国限制谷歌中国搜索链接国外网站