|
DSW Lab Avert小组监测到诺顿中国使用者(nortoncn.com)首页被黑客置入病毒。此次挂马事件利用了ANI光标漏洞和和MS06014等漏洞,当计算机有漏洞的用户浏览到受影响页面时,将激活木马链接,自动下载病毒并运行。此病毒会感染非系统盘的所有exe文件,危害较大。 |
|
|
一、事件分析:
|
|
|
诺顿中国使用者的首页被黑客以框架的形式嵌入了挂马页面(http://www.smsunionmm.com/***/)。此页面中又以框架的形式内置以下五个网页木马页面,其中001.htm利用ANI光标漏洞挂马,002.htm、003.htm和1.htm利用MS06014漏洞挂马,另外还在1.htm内嵌嵌入了利用百度搜霸和PPStream等漏洞的脚本:
http://www.smsunionmm.com/***/111/001.htm http://www.smsunionmm.com/***/222/002.htm http://www.smsunionmm.com/***/333/003.htm http://www.smsunionmm.com/***/ok.asp(无法打开) http://www.smsunionmm.com/***/1.htm 诺顿中国使用者首页源码截图:  网页木马源码截图:  下载的病毒地址为:http://www.smsunionmm.com/***/1.exe,此病毒会感染非系统盘中的EXE文件,并连接网络下载大量木马并运行。所下木马大部分为Trojan-PSW.Win32.OnLineGames家族的木马。如: 木马程序 Trojan-PSW.Win32.OnLineGames.gxd 文件: 10.exe 木马程序 Trojan-PSW.Win32.OnLineGames.eop 文件: 11.exe 木马程序 Trojan-PSW.Win32.OnLineGames.hgw 文件: 12.exe 木马程序 Trojan-PSW.Win32.OnLineGames.hgx 文件: 13.exe 木马程序 Trojan-PSW.Win32.OnLineGames.hix 文件: 15.exe 木马程序 Trojan-PSW.Win32.OnLineGames.gvw 文件: 16.exe 木马程序 Trojan-PSW.Win32.OnLineGames.hfs 文件: 17.exe 木马程序 Trojan-PSW.Win32.OnLineGames.hfw 文件: 2.exe 木马程序 Trojan-PSW.Win32.OnLineGames.hgy 文件: 3.exe 木马程序 Trojan-PSW.Win32.OnLineGames.gtf 文件: 4.exe 木马程序 Trojan-PSW.Win32.OnLineGames.hgz 文件: 5.exe 木马程序 Trojan-PSW.Win32.OnLineGames.hfs 文件: 7.exe 木马程序 Trojan-PSW.Win32.OnLineGames.hej 文件: 8.exe 木马程序 Trojan-PSW.Win32.OnLineGames.gwy 文件: 9.exe 以上木马运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。 |
|
|
|
|
|
二、解决方案 |
|
警惕:诺顿中国使用者(nortoncn.com)首页被黑客置入木马责任编辑:gxis_admin |
最新文章更多推荐文章更多热点文章更多
|