安天监控到北京市教育委员会挂马

    2009年12月18日，安天实验室发现，北京市教育委员会(http://xjx.bjedu.gov.cn/)，被黑客植入恶意代码，用户如果访问该网站，系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制，盗取用户敏感信息。甚至导致死机。
北京市教育委员会挂马页面：

安天防线2009拦截图：

挂马层次结构：
[wide]http://xjx.bjedu.gov.cn/ （被挂马页面）
    [script]http://a.ll***.cn （恶意跳转链接）
        [iframe]http://c.8***.ss.la/4/google.htm （恶意跳转链接）
            [iframe]http://c.8***.ss.la/4/search.htm （集成网马页面）
                [script]http://c.8***.ss.la/4/google_ad.js （恶意跳转链接）
                    [iframe]http://c.8***.ss.la/4/cqqmp.htm （MS09-032漏洞）
                        [script]http://c.8***.ss.la/4/cqqskin.css
                        [script]http://c.8***.ss.la/4/show.jpg
                        [script]http://c.8***.ss.la/4/shows.jpg
                [script]http://c.8***.ss.la/4/google_ads.js （子集成网马页面）
                    [iframe]http://c.8***.ss.la/4/ec1.htm （MS06-014漏洞）
                        [script]http://c.8***.ss.la/4/ec4.js
                    [iframe]http://c.8***.ss.la/4/fyfl.htm
                    [iframe]http://c.8***.ss.la/4/ecof.htm （MS09-043漏洞）
                        [script]http://c.8***.ss.la/4/off.css
                    [iframe]http://c.8***.ss.la/4/fydvd.htm （Qvod Player漏洞）
                    [iframe]http://c.8***.ss.la/4/fycry.htm （中国游戏中心游戏大厅漏洞）
                        [script]http://c.8***.ss.la/4/cry.css
                [script]http://c.8***.ss.la/4/google_adx.js （子集成网马页面）
                    [iframe]http://c.8***.ss.la/4/cqq0.htm （MS09-002漏洞）
                        [script]http://c.8***.ss.la/4/cqq2s.css
                        [script]http://c.8***.ss.la/4/cqq2.css
                    [iframe]http://c.8***.ss.la/4/ecb.htm （暴风影音漏洞）
                        [iframe]http://c.8***.ss.la/4/ecbbb.htm
                            [script]http://c.8***.ss.la/4/ecfff.js
                    [iframe]http://c.8***.ss.la/4/fyr.htm
                        [script]http://c.8***.ss.la/4/rr.js （RealPlayer漏洞）
                            [iframe]http://c.8***.ss.la/4/evilr.htm
                                [script]http://c.8***.ss.la/4/evilrr.js
                            [iframe]http://c.8***.ss.la/4/fyre1.htm
                                [script]http://c.8***.ss.la/4/fyr1.js
                        [script]http://c.8***.ss.la/4/zz.js （联众世界漏洞）
                            [iframe]http://c.8***.ss.la/4/fylz.htm
                                [script]http://c.8***.ss.la/4/xxxxz.js
                    [iframe]http://c.8***.ss.la/4/ecfox.htm （Mozilla Firefox 3.5漏洞）
                        [iframe]http://c.8***.ss.la/4/ecffx.htm
                            [script]http://c.8***.ss.la/4/ecfox.js
                [script]http://c.8***.ss.la/4/music.js （Adobe Reader PDF漏洞）
                    [iframe]http://c.8***.ss.la/4/sfpf.htm
                        [iframe]http://c.8***.ss.la/4/sf.pdf
        [iframe]http://www.seses****.cn/?ee893429 （恶意跳转链接）
            [iframe]http://df455****.3322.org/xp/360.html?chunjie123 （集成网马页面）
                [iframe]http://df455****.3322.org/xp/yt.htm （MS09-032漏洞）
                    [script]http://df455****.3322.org/xp/nop.jpg
                    [script]http://df455****.3322.org/xp/ml.jpg
                    [script]http://df455****.3322.org/xp/rl.jpg
                    [script]http://df455****.3322.org/xp/kl.jpg
                [iframe]http://df455****.3322.org/xp/ytu.htm
                    [frame]http://df455****.3322.org/xp/of.htm （MS09-043漏洞）
                        [script]http://df455****.3322.org/xp/rl.jpg
                        [script]http://df455****.3322.org/xp/nop.jpg
                        [script]http://df455****.3322.org/xp/fq.jpg
                    [iframe]http://df455****.3322.org/xp/yut.htm
                        [frame]http://df455****.3322.org/xp/ytfl1.htm
                [iframe]http://df455****.3322.org/xp/t9.htm
                    [script]http://df455****.3322.org/xp/rl.jpg
            [script]http://www.seses****.cn/dl1.js
            [script]http://www.seses****.cn/images/dl2.js
该挂马网页利用以下漏洞进行传播：
MS06-014漏洞
MS09-002漏洞
MS09-032漏洞
MS09-043漏洞
Qvod Player漏洞
中国游戏中心游戏大厅ActiveX远程栈溢出漏洞
暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞
联众世界GLIEDown2.dll ActiveX控件多个缓冲区溢出漏洞
RealPlayer播放器IERPCtl.IERPCtl.1漏洞
Real Networks RealPlayer 'rmoc3260.dll' ActiveX控件内存破坏漏洞
Mozilla Firefox 3.5 字体标签远程缓存溢出漏洞
Adobe Reader PDF漏洞

具体漏洞描述与解决方案请参见：
http://www.antiy.com/cn/security/2009/solution.htm

当用户访问挂马网站，系统会自动下载病毒文件：
    当用户访问北京市教育委员会(http://xjx.bjedu.gov.cn/)时，含有漏洞的系统会自动从恶意网站下载大量病毒文件，并在本机上运行，病毒文件主要以网络游戏盗号类木马为主，病毒的具体描述信息如下：
1、网页木马直接下载的病毒文件：
http://fuck.**.la/4.exe 病毒名：Backdoor/Win32.Delf.qio
病毒描述：
此病毒会释放病毒文件ws2help.dll到应用程序所在文件夹，从而在程序启动时抢先调用病毒ws2help.dll，连接网络，读取加密的病毒下载列表进而下载病毒文件，并在本机运行。
衍生文件：
c:\iDEFENSE\SysAnalyzer\ws2help.dll
c:\Program Files\7-Zip\ws2help.dll
c:\Program Files\Common Files\System\admin.obj
c:\Program Files\Common Files\System\QQjiji.exe
c:\Program Files\IDM Computer Solutions\UltraEdit-32\ws2help.dll
c:\Program Files\WinPcap\ws2help.dll
c:\Program Files\WinRAR\WinRAR.exe
c:\Program Files\WinRAR\ws2help.dll
2、下载者木马读取下载列表地址
http://c.mm***.cn/a.jpg
3、由下载者木马下载的其他病毒文件：
http://1.wg****.cn/1.bmp
http://1.wg****.cn/2.bmp
http://1.wg****.cn/3.bmp
http://1.wg****.cn/7.bmp
http://1.wg****.cn/ie.bmp

安天反病毒工程师建议：
1. 使用安天防线2009或锐甲可以有效防范此挂马网页。
2. 用安天防线2009可以查杀此挂马网页下载的病毒文件。
3. 请及时更新安天防线2009，以确保您的计算机安全，防止计算机病毒入侵。如未安装安天防线请点击此处（http://www.antiyfx.com/download.htm），免费下载最新版安天防线2009。