VeryCD首页受广告页面牵连被黑客挂木马
今日,超级巡警团队监控到VeryCD首页因为第三方的广告页面被被黑客植入木马。此次挂马事件除利用了以前黑客常用的第三方漏洞如flash漏洞和realplayer漏洞以外,还利用了最近刚刚曝光了的Access Oday漏洞。当计算机有漏洞的用户浏览到VeryCD首页时将触发漏洞利用代码,在后台下载木马并运行。畅游巡警用户不受本次挂马事件的影响。
一、事件分析:
VeryCD首页以框架的形式嵌入试尚网的广告页面(cimg.*******.cn/verycd/websrc/home/p1_760.htm),而试尚网的广告页面内却被黑客置入恶意代码(),直接导致VeryCD首页被挂马。
黑客挂马 src="/d/file/20100225/5f8b80ee622713b89a7825c44cd15d42.jpg">
图1:恶意代码
222.37.134.***/*******/adtools/index.htm内嵌入了va9sdhu***.cn/jj1.htm,jj1.htm内嵌了va9sdhu***.cn/xi/xx.htm页面,而xx.htm为一个漏洞的综合利用页面,该页面通过判断机器内置的ActiveX控件来分别调用不同的漏洞利用代码。其中的漏洞利用代码包括以下漏洞:系统漏洞MS06014、RealPlayer ierpplug.dll ActiveX控件播放列表名称栈溢出漏洞、联众世界GLIEDown2.dll Active控件任意代码执行漏洞、flash漏洞以及最近刚刚曝光的Access Oday漏洞。当计算机有漏洞的用户浏览到该页面时将触发漏洞,在后台自动下载木马并运行。
畅游巡警用户不受本次挂马事件的影响:
黑客挂马 src="/d/file/20100225/27bbca37e156511caf3fbab85f96bef2.jpg">
图2:畅游巡警监测出的木马
二、解决方案
1、推荐安装畅游巡警以应对网页木马的威胁。
2、推荐使用超级巡警补丁检查功能修复系统及第三方程序漏洞。
3、对于已经中毒用户,建议及时修改自己的QQ/网游账号密码。
4、建议广大站长谨慎嵌入第三方提供的广告页面。
5、超级巡警团队已通知Verycd官方此次挂马事件,Verycd官方已撤掉广告页面,目前大家可以放心访问Verycd。
关键字:黑客挂马
