发帖
扫码访问
 注册
 登录
首页 资讯 安全 查看内容

安天监控到天涯社区挂马

2009-10-22 10:07 1038 0

摘要:   2009年10月21日,安天实验室发现,天涯社区-天涯美食(http://food.tianya.cn/)众多页面,被黑客植入恶意代码,并且挂马手段一致,很显然是同一挂马团伙所为。我们拿其中一挂马...
关键词: 病毒 WINDOWS http 衍生 木马 文件 Trojan GameThief 150 system

  2009年10月21日,安天实验室发现,天涯社区-天涯美食(http://food.tianya.cn/)众多页面,被黑客植入恶意代码,并且挂马手段一致,很显然是同一挂马团伙所为。我们拿其中一挂马页面(http://food.tianya.cn/diy/view_info.jsp?idWriter=0&key=0&changeProvincePid   =22&changeCityPid=64&articlePid=17508&channelPid=1)举例进行分析,用户如果访问该网站,系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。   天涯社区挂马页面:   安天防线2009拦截图:   挂马层次结构:   [wdie]http://food.tianya.cn/diy/view_info.jsp?idWriter=0&key=0&changeProvincePid   =22&changeCityPid=64&articlePid=17508&channelPid=1 (被挂马页面)   [script]http://z***.net (恶意跳转链接)   [iframe]http://z***.net/0.htm (恶意跳转链接)   [iframe]http://ddyyb.2***.org/fkzd/16.htm (恶意跳转链接)   [iframe]http://0o***.cn/x150/xx.html (集成网马页面)   [iframe]http://0o***.cn/x150/td14.htm (MS06-014漏洞)   [script]http://0o***.cn/x150/14.js   [script]http://0o***.cn/x150/15.js   [script]http://0o***.cn/x150/17.js   [script]http://0o***.cn/x150/16.js   [script]http://0o***.cn/x150/18.js   [iframe]http://0o***.cn/x150/yt.htm (MS09-032漏洞)   [script]http://0o***.cn/x150/pps.webp   [script]http://0o***.cn/x150/url.webp   [script]http://0o***.cn/x150/c.webp   [script]http://0o***.cn/x150/d.webp   [script]http://0o***.cn/x150/e.webp   [script]http://0o***.cn/x150/f.webp   [iframe]http://0o***.cn/x150/td09.htm (MS09-002漏洞)   [script]http://0o***.cn/x150/01.js   [script]http://0o***.cn/x150/02.js   [iframe]http://0o***.cn/x150/yut.htm (子集成网马页面)   [iframe]http://0o***.cn/x150/ytfl1.htm (Adobe Flash Player SWF文件漏洞)   [iframe]http://0o***.cn/x150/x1.htm   [script]http://0o***.cn/x150/swfobject.js   [flash]http://0o***.cn/x150/./x1.swf   [flash]http://0o***.cn/x150/./x3.swf   [flash]http://0o***.cn/x150/./x4.swf   [flash]http://0o***.cn/x150/./x2.swf   [iframe]http://0o***.cn/x150/x2.htm   [script]http://0o***.cn/x150/swfobject.js   [flash]http://0o***.cn/x150/./x7.swf   [flash]http://0o***.cn/x150/./x9.swf   [flash]http://0o***.cn/x150/./x10.swf   [flash]http://0o***.cn/x150/./x8.swf   [iframe]http://0o***.cn/x150/x1.htm   [iframe]http://0o***.cn/x150/of.htm (OWC10.Spreadsheet漏洞)   [script]http://0o***.cn/x150/of.js   [script]http://0o***.cn/x150/of3.webp   [script]http://0o***.cn/x150/of.webp   [script]http://0o***.cn/x150/of2.webp   [iframe]http://0o***.cn/x150/ytu.htm (Adobe Reader PDF文件漏洞)   [iframe]http://0o***.cn/x150/ytfl.htm   [iframe]http://0o***.cn/x150/ff.html   [script]http://0o***.cn/x150/ff.js   [iframe]http://0o***.cn/x150/ie.html   [script]http://0o***.cn/x150/ie.js   [iframe]http://0o***.cn/x150/ff.html   [iframe]http://0o***.cn/x150/ie.html   [iframe]http://0o***.cn/x150/ff.html   [iframe]http://0o***.cn/x150/ff.html   该挂马网页利用以下漏洞进行传播:   MS06-014漏洞   MS09-032漏洞   MS09-002漏洞   Adobe Flash Player SWF文件漏洞   Adobe Reader PDF文件漏洞   OWC10.Spreadsheet msDataSourceObject Method Stack Overflow Exploit   具体漏洞描述与解决方案请参见:   http://www.antiy.com/cn/security/2009/solution.htm   当用户访问挂马网站,系统会自动下载病毒文件:   当用户访问挂马网站,系统会自动下载病毒文件:   当用户访问天涯社区(http://food.tianya.cn/diy/view_info.jsp?idWriter=0&key=0&changeProvincePid   =22&changeCityPid=64&articlePid=17508&channelPid=1)时,含有漏洞的系统会自动从恶意网站下载大量病毒文件,并在本机上运行,病毒文件主要以网络游戏盗号类木马为主,病毒的具体描述信息如下:   1、网页木马直接下载的病毒文件:   http://d.io***.com/xx/x150.css 病毒名:Trojan/Win32.Servill.ol[Downloader]   病毒描述:   连接网络,读取病毒下载列表进而下载病毒文件,并在本机运行   衍生文件:   c:\Documents and Settings\Administrator\Local Settings\Temp\~185309.exe   c:\WINDOWS\system32\pBDYS.exe   2、下载者木马读取下载列表地址:   http://txt.iu***.com/xx.txt   3、由下载者木马下载的其他病毒文件:   http://1.ix***.com/img/1.exe 病毒名:Trojan/Win32.OnLineGames.bmtc[GameThief]   病毒描述:DNF游戏盗号木马   衍生文件:   c:\WINDOWS\system32\dfc8ac3ed7da.dll   c:\WINDOWS\system32\comres.dll   c:\WINDOWS\Tasks\kZdWDEpQcNC2NwDe.ico   http://1.ix***.com/img/2.exe 病毒名:Trojan/Win32.Scar.acgo   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\Fonts\Encionc_ch.dat   c:\WINDOWS\Fonts\AeioFs.dat   c:\WINDOWS\Fonts\kb016165152.dll   http://1.ix***.com/img/3.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\system32\AMNCZw74h8gwd6CpYGkrZDy8.inf   c:\WINDOWS\Downloaded Program Files\hyxqXj4ENYN8PTavg.Ttf   http://1.ix***.com/img/4.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\Tasks\EkKXXTKa2TVmc6XM.ico   c:\WINDOWS\Tasks\SbrmpxjdCrgRAFhz4gHh.inf   http://1.ix***.com/img/5.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]   病毒描述:大话西游 ii游戏盗号木马   衍生文件:   c:\WINDOWS\Tasks\ThGkkhVnR6Dhf3eN.ico   c:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf   http://1.ix***.com/img/6.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]   病毒描述:封神榜网路版游戏盗号木马   衍生文件:   c:\WINDOWS\system32\pwd4Xpm8KYzkcbqcaKT.inf   c:\WINDOWS\Downloaded Program Files\uV3EJDxwpnAPwFyP.Ttf   http://1.ix***.com/img/7.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]   病毒描述:QQ三国游戏盗号木马   衍生文件:   c:\WINDOWS\Tasks\vC6ykXbjUGCVeCJa.ico   c:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur   http://4.ix***.com/img/8.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\Tasks\x7j7yet9WK9FdYSD.ico   c:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf   http://4.ix***.com/img/9.exe 病毒名:Trojan/Win32.Magania.bwyr[GameThief]   病毒描述:封神榜网络版游戏盗号木马   衍生文件:   c:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.inf   c:\WINDOWS\Downloaded Program Files\HXxfduw9KeQTCeP6Z.Ttf   http://4.ix***.com/img/10.exe 病毒名:Trojan/Win32.Magania.bwsi[GameThief]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\Downloaded Program Files\SvS2DJAqqTvtTYEU.Ttf   c:\WINDOWS\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur   http://2.ix***.com/img/11.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]   病毒描述:口袋西游游戏盗号木马   衍生文件:   c:\WINDOWS\system32\122B901E.dll   c:\WINDOWS\Fonts\cFDPmh3MDPjcHMPd.Ttf   http://2.ix***.com/img/12.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf   c:\WINDOWS\Downloaded Program Files\WD2B9pAnWGBjB2sz.Ttf   http://2.ix***.com/img/13.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\system32\SCEVFJRCmaB7.dll   c:\WINDOWS\Fonts\G8qZ5hBX7H.Ttf   http://2.ix***.com/img/14.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\system32\CDuAUVkGy9.dll   c:\WINDOWS\Fonts\2knxWtVjbWXmUdGG.Ttf   http://2.ix***.com/img/15.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf   c:\WINDOWS\Downloaded Program Files\BcHCMJEEXFxaCm3q.Ttf   http://2.ix***.com/img/16.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll   c:\WINDOWS\Fonts\eSEWZRdrSK3NeEJVy4.Ttf   http://2.ix***.com/img/17.exe 病毒名:Trojan/Win32.Magania.bwyr[GameThief]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf   c:\WINDOWS\Downloaded Program Files\uMub3WCE6aZ3nFgrYRX.Ttf   http://2.ix***.com/img/18.exe 病毒名:Trojan/Win32.OnLineGames.thoc[GameThief]   病毒描述:Dropper类木马连接kcs.cn/web6/images/xw2.exe下载木马,删除360、QQ安全软件   衍生文件:   c:\WINDOWS\system32\cmd.bat   c:\Program Files\Internet Explorer\PLUGINS\mfc.bat   http://2.ix***.com/img/19.exe 病毒名:Trojan/Win32.Magania.bful[GameThief]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\Fonts\RCZbVbjCY6wYszD3.Ttf   c:\WINDOWS\Fonts\A97CRaCB.fon   http://2.ix***.com/img/20.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]   病毒描述:诛仙、口袋西游游戏盗号木马   衍生文件:   c:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf   c:\WINDOWS\Downloaded Program Files\WQKrDGnXQQb3Mgjk.Ttf   http://3.ix***.com/img/21.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\Tasks\kTS4JJGUYtVagxPs.ico   c:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf   http://3.ix***.com/img/22.exe 病毒名:Trojan/Win32.Scar.aeuc   病毒描述:木马   衍生文件:   c:\WINDOWS\system32\msinet32.dll   http://3.ix***.com/img/23.exe 病毒名:Trojan/Win32.Magania.bwsi[GameThief]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\Downloaded Program Files\u8w23uRSuevxt2VP.Ttf   c:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur   http://3.ix***.com/img/24.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\system32\CWcQnWxHjWqtE6PsYyEe.inf   c:\WINDOWS\Downloaded Program Files\DdrDVWV49HPgHP9kh.Ttf   http://3.ix***.com/img/25.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]   病毒描述:剑网3游戏盗号木马   衍生文件:   c:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf   c:\WINDOWS\Downloaded Program Files\cmE94RUgxBnd2ZWR.Ttf   http://3.ix***.com/img/26.exe 病毒名:Trojan/Win32.Magania.bkii[GameThief]   病毒描述:DNF游戏盗号木马   衍生文件:   c:\WINDOWS\system32\qzp3jTZCSfSh.dll   c:\WINDOWS\Fonts\qWskzsQA6.Ttf   http://3.ix***.com/img/27.exe 病毒名:Trojan/Win32.Magania.bwxz[GameThief]   病毒描述:大话西游3游戏盗号木马   衍生文件:   c:\WINDOWS\system32\ndxq9awMc.dll   c:\WINDOWS\Fonts\CRp3uYCmcxMp3qQn9.Ttf   http://3.ix***.com/img/28.exe 病毒名:Trojan/Win32.Magania.cbws[GameThief]   病毒描述:传奇外传游戏盗号木马   衍生文件:   c:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf   c:\WINDOWS\Downloaded Program Files\jEDR2jykhSujaMqF.Ttf   http://3.ix***.com/img/29.exe 病毒名:Trojan/Win32.Magania.bwxz[GameThief]   病毒描述:武林2游戏盗号木马   衍生文件:   c:\WINDOWS\system32\dhDhwS7fFW.dll   c:\WINDOWS\Fonts\cD9KArZZUHxCqnyM.Ttf   http://3.ix***.com/img/30.exe 病毒名:Trojan/Win32.Magania.biht[GameThief]   病毒描述:赤壁游戏盗号木马   衍生文件:   c:\WINDOWS\system32\jY8sGUnWqbZb3x2BPhY.dll   c:\WINDOWS\Fonts\tBeuadwPppCBnDUPgJH7P6.Ttf   http://4.ix***.com/img/31.exe 病毒名:Trojan/Win32.Magania.bwsi[GameThief]   病毒描述:游戏盗号木马   衍生文件:   c:\WINDOWS\Downloaded Program Files\BcHCMJEEXFxaCm3q.Ttf   c:\WINDOWS\Downloaded Program Files\TFKN5UmfMKAXpQvqR3Vg.cur   http://4.ix***.com/img/32.exe 病毒名:Trojan/Win32.Agent.ayqa[Dropper]   病毒描述:大话西游外传游戏盗号木马   衍生文件:   c:\WINDOWS\Tasks\xbkp74yhxPwfnz6Qc.ico   c:\WINDOWS\Tasks\TQupe3tz9FGwu56yjWvyY4t.inf   http://4.ix***.com/img/33.exe 病毒名:Trojan/Win32.Magania.bwsr[GameThief]   病毒描述:风云之武魂传说游戏盗号木马   衍生文件:   c:\WINDOWS\system32\t5SNSsxGp75apRFtS5Pkuajx.inf   c:\WINDOWS\Downloaded Program Files\cEGxTxaAP4N5ufpry8.Ttf   http://4.ix***.com/img/34.exe 病毒名:Trojan/Win32.Pasta.drb   病毒描述:木马连接http://4.ix***.com/img/34.jpg下载病毒文件   衍生文件:   无   http://4.ix***.com/img/35.exe 病毒名:Trojan/Win32.Small.anro[Downloader]   病毒描述:QQ类木马,删除QQ安全中心、结束QQ进程   衍生文件:   无   http://4.ix***.com/img/36.exe 病毒名:Trojan/Win32.Magania.bfrp[GameThief]   病毒描述:华夏2游戏盗号木马   衍生文件:   c:\WINDOWS\system32\2EF0D734.dll   c:\WINDOWS\Fonts\Qq3qg7RGSp9raxWW.Ttf   http://4.ix***.com/img/37.exe 病毒名:Trojan/Win32.QQPass.muj[PSW]   病毒描述:QQ钓鱼木马伪装QQ中心发布虚拟中奖信息   衍生文件:   c:\WINDOWS\system32\drivers\etc\hosts   http://4.ix***.com/img/38.exe 病毒名:Trojan/Win32.OnLineGames.vqhk[GameThief]   病毒描述:QQ盗号木马   衍生文件:   c:\WINDOWS\system32\drivers\dHook.sys   c:\Program Files\Internet Explorer\sdk.dll   c:\Program Files\Internet Explorer\sdk.tmp   c:\Program Files\Internet Explorer\sdk.bak
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过
雷人
握手
鲜花
鸡蛋
收藏 分享 邀请

最新评论

相关分类

返回顶部