2009年12月18日,安天实验室发现,中国自考网(http://www.chinazikao.com/one/com8/),被黑客植入恶意代码,用户如果访问该网站,系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
中国自考网挂马页面:
安天防线拦截图:
挂马层次结构:
[wide] http://www.chinazikao.com/one/com8/ (被挂马页面)
[css] http://www.cyc****.com/style.css (恶意跳转链接)
[iframe] http://zy.gz***.cn/db/ (MS09-032漏洞)
[iframe] http://zy.gz***.cn/db/oa.htm (MS09-043漏洞)
[script] http://zy.gz***.cn/db/oa.js
该挂马网页利用以下漏洞进行传播:
MS09-032漏洞
MS09-043漏洞
具体漏洞描述与解决方案请参见:
http://www.antiy.com/cn/security/2009/solution.htm
当用户访问挂马网站,系统会自动下载病毒文件:
当用户访问中国自考网(http://www.chinazikao.com/one/com8/)时,含有漏洞的系统会自动从恶意网站下载病毒文件,并在本机上运行,病毒文件主要以网络游戏盗号类木马为主,病毒的具体描述信息如下:
网页木马直接下载的病毒文件:
http://www.07***.com/data/w.exe 病毒名:Trojan/Win32.OnLineGames.bmzp[GameThief]
病毒描述:
该病毒是盗取网络游戏“魔兽世界”的木马。衍生文件%Temp%\随机文件名.TMP,该文件为病毒副本;%Temp%\随机文件名.dll,该文件为病毒功能主体,注入应用程序进程,监视用户的操作消息,以获取账号密码,发送到病毒作者指定地址
衍生文件:
c:\Documents and Settings\Administrator\Local Settings\Temp\TW9454.tmp
c:\Documents and Settings\Administrator\Local Settings\Temp\wfsjowfdsaw.dll
安天反病毒工程师建议:
1. 使用安天防线或锐甲可以有效防范此挂马网页。
2. 用安天防线可以查杀此挂马网页下载的病毒文件。
3. 请及时更新安天防线,以确保您的计算机安全,防止计算机病毒入侵。如未安装安天防线请点击此处(http://www.antiyfx.com/download.htm),免费下载最新版安天防线。
| 
