安天监控到新农村商报挂马

    网络信息安全是一个博大精深的技术体系，安天将自己的注意力专注于主要矛盾，即计算机网络病毒问题。
    根据有关机构统计，全球超过80%的安全事件均与病毒有关，网络病毒是信息社会面临的主要安全挑战之一，因此，安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合，形成了自身的产品内涵。


	当前位置：首页 - 安全响应中心 -> 病毒预警

安天监控到新农村商报挂马

出处：安天实验室时间：2009年12月18日

    2009年12月18日，安天实验室发现，新农村商报(http://xncsb.mofcom.gov.cn/)，被黑客植入恶意代码，用户如果访问该网站，系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制，盗取用户敏感信息。甚至导致死机。
新农村商报挂马页面：

安天防线2009拦截图：

挂马层次结构：
[wide]http://xncsb.mofcom.gov.cn/ （被挂马页面）
    [iframe]http://xncsb.mo****.gov.cn/count/vote1.asp （恶意跳转链接）
        [script]http://a.ll***.cn （恶意跳转链接）
            [iframe]http://c.8***.ss.la/4/google.htm （恶意跳转链接）
                [iframe]http://c.8***.ss.la/4/search.htm （集成网马页面）
                    [script]http://c.8***.ss.la/4/google_ad.js （恶意跳转链接）
                        [iframe]http://c.8***.ss.la/4/cqqmp.htm （MS09-032漏洞）
                            [script]http://c.8***.ss.la/4/cqqskin.css
                            [script]http://c.8***.ss.la/4/show.jpg
                            [script]http://c.8***.ss.la/4/shows.jpg
                    [script]http://c.8***.ss.la/4/google_ads.js （子集成网马页面）
                        [iframe]http://c.8***.ss.la/4/ec1.htm （MS06-014漏洞）
                            [script]http://c.8***.ss.la/4/ec4.js
                        [iframe]http://c.8***.ss.la/4/fyfl.htm
                        [iframe]http://c.8***.ss.la/4/ecof.htm （MS09-043漏洞）
                            [script]http://c.8***.ss.la/4/off.css
                        [iframe]http://c.8***.ss.la/4/fydvd.htm （Qvod Player漏洞）
                        [iframe]http://c.8***.ss.la/4/fycry.htm （中国游戏中心游戏大厅漏洞）
                            [script]http://c.8***.ss.la/4/cry.css
                    [script]http://c.8***.ss.la/4/google_adx.js （子集成网马页面）
                        [iframe]http://c.8***.ss.la/4/cqq0.htm （MS09-002漏洞）
                            [script]http://c.8***.ss.la/4/cqq2s.css
                            [script]http://c.8***.ss.la/4/cqq2.css
                        [iframe]http://c.8***.ss.la/4/ecb.htm （暴风影音漏洞）
                            [iframe]http://c.8***.ss.la/4/ecbbb.htm
                                [script]http://c.8***.ss.la/4/ecfff.js
                        [iframe]http://c.8***.ss.la/4/fyr.htm
                            [script]http://c.8***.ss.la/4/rr.js （RealPlayer漏洞）
                                [iframe]http://c.8***.ss.la/4/evilr.htm
                                    [script]http://c.8***.ss.la/4/evilrr.js
                                [iframe]http://c.8***.ss.la/4/fyre1.htm
                                    [script]http://c.8***.ss.la/4/fyr1.js
                            [script]http://c.8***.ss.la/4/zz.js （联众世界漏洞）
                                [iframe]http://c.8***.ss.la/4/fylz.htm
                                    [script]http://c.8***.ss.la/4/xxxxz.js
                        [iframe]http://c.8***.ss.la/4/ecfox.htm （Mozilla Firefox 3.5漏洞）
                            [iframe]http://c.8***.ss.la/4/ecffx.htm
                                [script]http://c.8***.ss.la/4/ecfox.js
                    [script]http://c.8***.ss.la/4/music.js （Adobe reader PDF漏洞）
                        [iframe]http://c.8***.ss.la/4/sfpf.htm
                            [iframe]http://c.8***.ss.la/4/sf.pdf
            [iframe]http://www.seses****.cn/?ee893429 （恶意跳转链接）
                [iframe]http://df455****.3322.org/xp/360.html?chunjie123 （集成网马页面）
                    [iframe]http://df455****.3322.org/xp/yt.htm （MS09-032漏洞）
                        [script]http://df455****.3322.org/xp/nop.jpg
                        [script]http://df455****.3322.org/xp/ml.jpg
                        [script]http://df455****.3322.org/xp/rl.jpg
                        [script]http://df455****.3322.org/xp/kl.jpg
                    [iframe]http://df455****.3322.org/xp/ytu.htm
                        [frame]http://df455****.3322.org/xp/of.htm （MS09-043漏洞）
                            [script]http://df455****.3322.org/xp/rl.jpg
                            [script]http://df455****.3322.org/xp/nop.jpg
                            [script]http://df455****.3322.org/xp/fq.jpg
                        [iframe]http://df455****.3322.org/xp/yut.htm
                            [frame]http://df455****.3322.org/xp/ytfl1.htm
                    [iframe]http://df455****.3322.org/xp/t9.htm
                        [script]http://df455****.3322.org/xp/rl.jpg
                [script]http://www.seses****.cn/dl1.js
                [script]http://www.seses****.cn/images/dl2.js
该挂马网页利用以下漏洞进行传播：
MS06-014漏洞
MS09-002漏洞
MS09-032漏洞
MS09-043漏洞
Qvod Player漏洞
中国游戏中心游戏大厅ActiveX远程栈溢出漏洞
暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞
联众世界GLIEDown2.dll ActiveX控件多个缓冲区溢出漏洞
RealPlayer播放器IERPCtl.IERPCtl.1漏洞
Real Networks RealPlayer 'rmoc3260.dll' ActiveX控件内存破坏漏洞
Mozilla Firefox 3.5 字体标签远程缓存溢出漏洞
Adobe Reader PDF漏洞

具体漏洞描述与解决方案请参见：
http://www.antiy.com/cn/security/2009/solution.htm

当用户访问挂马网站，系统会自动下载病毒文件：
当用户访问新农村商报(http://xncsb.mofcom.gov.cn/)时，含有漏洞的系统会自动从恶意网站下载大量病毒文件，并在本机上运行，病毒文件主要以网络游戏盗号类木马为主，病毒的具体描述信息如下：
1、网页木马直接下载的病毒文件：
http://x**.ss.la/4.exe 病毒名：Backdoor/Win32.Delf.qio
病毒描述：
连接网络，读取病毒下载列表进而下载病毒文件，并在本机运行
衍生文件：
c:\iDEFENSE\SysAnalyzer\ws2help.dll
c:\Program Files\7-Zip\ws2help.dll
c:\Program Files\Common Files\System\admin.obj
c:\Program Files\Common Files\System\QQjiji.exe
c:\Program Files\IDM Computer Solutions\UltraEdit-32\ws2help.dll
c:\Program Files\WinPcap\ws2help.dll
c:\Program Files\WinRAR\WinRAR.exe
c:\Program Files\WinRAR\ws2help.dll
2、下载者木马读取下载列表地址
http://down.mir2g****.cn:8080/ma8.txt
3、由下载者木马下载的其他病毒文件：
http://122.224.34.***:88/a1.exe 病毒名：Trojan/Win32.QQFish.ep[PSW]
描述：QQ钓鱼木马伪装腾讯中心发布虚假中奖信息
衍生文件：
D:\cconter.exe

http://122.224.34.***:88/a2.exe 病毒名：Trojan/Win32.StartPage
描述：恶意广告插件木马，链接网络记录安装统计信息，修改IE主页，后台隐藏连接广告网站www.opopp.com/iead/
衍生文件：
c:\WINDOWS\system32\gqvod_tv.exe.32
c:\WINDOWS\system32\gqvod_tv.exe

http://122.224.34.***:88/a3.exe 病毒名：Trojan/Win32.Agent.bjmd[Dropper]
描述：未知行为
衍生文件：
未知行为

http://122.224.34.***:88/a4.exe 病毒名：AdWare/Win32.AdMedia.ed[not-a-virus]
描述：广告件类
衍生文件：
c:\WINDOWS\Windows7\Print32.dll

http://122.224.34.***:88/a5.exe 病毒名：Trojan/Win32.Pincav.ndp
描述：木马类，连接网络xwjm.3322.org请求数据信息
衍生文件：
c:\WINDOWS\system32\winldr.dll
c:\WINDOWS\system32\apphelp32.dll
c:\WINDOWS\system32\winoer.dat
c:\WINDOWS\system32\cmp.esi

http://122.224.34.***:88/a6.exe 病毒名：Trojan/Win32.Clicker.g[Downloader]
描述：木马下载器弹出广告网页、连接ad.benz990.cn/ad.txt读取列表下载大量恶意病毒文件
衍生文件：
c:\WINDOWS\aaa\solotan.exe
c:\WINDOWS\aaa\goooke.exe
c:\WINDOWS\aaa\skyxpserver.exe
c:\Documents and Settings\a\Local Settings\Temp\syslive_niu5.exe
c:\Documents and Settings\a\Local Settings\Temp\ope3.tmp

http://122.224.34.***:88/a7.exe 病毒名：Trojan/Win32.Agent.cwnu[Downloader]
描述：连接网络提交安装统计数据，发现Ollydbg进程结束并删除该文件，修改系统库文件。
衍生文件：
c:\WINDOWS\system32\svwxsxjl.dat
c:\WINDOWS\system32\chjrd.dll
c:\WINDOWS\system32\otvdp.dll
c:\WINDOWS\system32\kprzl.dll
c:\Documents and Settings\a\Local Settings\Temp\95.tmp
c:\Documents and Settings\a\Local Settings\Temp\__1.tmp

http://122.224.34.***:88/a8.exe 病毒名：Trojan/Win32.Agent.bdas[Dropper]
描述：连接网络tj.2288.org发送安装统计信息
衍生文件：
c:\WINDOWS\system32\cssys.dat

http://122.224.34.***:88/tj/8.exe 病毒名：Trojan/Win32.Agent.jli[Clicker]
描述：后台连接http://122.224.34.***:88/tj/tj8.htm刷流量
衍生文件：
无

http://122.224.34.***:88/tjn/8.exe 病毒名：Trojan/Win32.Agent.jli[Clicker]
描述：后台连接http://a.games189.com/tjn/tj8.htm刷流量
衍生文件：
无

http://122.224.34.***:88/aa8.exe 病毒名：Trojan/Win32.BHO.acsw
描述：连接1.222233.com/11.txt读取列表下载大量病毒文件，创建IE快捷方式打开指定网站地址
衍生文件：
c:\WINDOWS\PPlayer.2.1.58130.251.(508).dll
c:\Program Files\Internet Explorer\mstcs.exe

安天反病毒工程师建议：
1. 使用安天防线2009或锐甲可以有效防范此挂马网页。
2. 用安天防线2009可以查杀此挂马网页下载的病毒文件。
3. 请及时更新安天防线2009，以确保您的计算机安全，防止计算机病毒入侵。如未安装安天防线请点击此处（http://www.antiyfx.com/download.htm），免费下载最新版安天防线2009。