网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。
    根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。
  当前位置:首页 - 安全响应中心 -> 病毒预警

安天监控到故乡网挂马
出处:安天实验室 时间:2009年12月22日
 

    2009年12月22日,安天实验室发现,故乡网(http://msgc.guxiang.com/),被黑客植入恶意代码,用户如果访问该网站,系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
故乡网被挂马页面:

安天防线拦截图:

挂马层次结构:
[wide]http://msgc.guxiang.com/ (被挂马页面)
    [script]http://***.net/c.js (恶意跳转链接)
        [iframe]http://7**.net/a.htm (恶意跳转链接)
            [iframe]http://cc.043***.cn/web/13/index.html (MS09-032漏洞)
                [script]http://cc.043***.cn/web/13/a.jpg
                [script]http://cc.043***.cn/web/13/c.jpg
                [script]http://cc.043***.cn/web/13/d.css
                [script]http://cc.043***.cn/web/13/e.jpg
                [script]http://cc.043***.cn/web/13/f.css
该挂马网页利用以下漏洞进行传播:
MS09-032漏洞

具体漏洞描述与解决方案请参见:
http://www.antiy.com/cn/security/2009/solution.htm

当用户访问挂马网站,系统会自动下载病毒文件:
    当用户访问故乡网(http://msgc.guxiang.com/)时,含有漏洞的系统会自动从恶意网站下载大量病毒文件,并在本机上运行,病毒文件主要以网络游戏盗号类木马为主,病毒的具体描述信息如下:
1、网页木马直接下载的病毒文件:
http://go.mo***.cn/ext/my/13.exe 病毒名:Trojan/Win32.Agent.cyaf[Downloader]
病毒描述:
连接网络,读取病毒下载列表进而下载病毒文件,并在本机运行
衍生文件:

2、下载者木马读取下载列表地址
http://safe.el***.cn/user/cocolist.txt
3、由下载者木马下载的其他病毒文件:
http://safe.el***.cn/ext/QQ.exe 病毒名:Trojan/Win32.QQFish.es[Stealer]
病毒描述:QQ钓鱼木马伪装腾讯公司发布假冒中奖信息欺诈用户
衍生文件:
D:\cconter.exe

http://safe.el***.cn/ext/MHXY.exe 病毒名:Trojan/Win32.WOW.vno[GameThief]
病毒描述:梦幻西游盗号木马
衍生文件:
c:\WINDOWS\system32\t3rpcss.dll
c:\WINDOWS\system32\t320045.ini
c:\WINDOWS\system32\t320045.dll

http://safe.el***.cn/ext/MHZX.exe 病毒名:Trojan/Win32.Vilsel.ogc
病毒描述:梦幻诛仙游盗号木马
衍生文件:
c:\WINDOWS\system32\wsconfig.db
c:\WINDOWS\system32\imm32.dll.bak
c:\WINDOWS\system32\imm32.dll

http://safe.el***.cn/ext/QQSG.exe 病毒名:Trojan/Win32.OnLineGames.vwvc[GameThief]
病毒描述:QQ三国游盗号木马
衍生文件:
c:\WINDOWS\system32\DznabsbA.dat
c:\WINDOWS\system32\MEsgGEdjT.dll
c:\WINDOWS\system32\myInsDll.exe
c:\WINDOWS\system32\sfc32.dll
c:\WINDOWS\system32\SysDll.dll
c:\WINDOWS\system32\lpk.dll

http://safe.el***.cn/ext/SGCQ.exe 病毒名:Trojan/Win32.OnLineGames.bnbz[GameThief]
病毒描述:神鬼传奇游盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\d3d9.dll.dat
c:\WINDOWS\system\VGA1.dat

http://safe.el***.cn/ext/LSZT.exe 病毒名:Trojan/Win32.OnLineGames.bnbw[GameThief]
病毒描述:绿色征途游盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\dsound.dllwOPIl
c:\WINDOWS\system\AV2.tmp
c:\Documents and Settings\a\Local Settings\Temp\AV2.tmp

http://safe.el***.cn/ext/10005.exe 病毒名:Trojan/Win32.Pincav.npj
病毒描述:后门类木马
衍生文件:
c:\WINDOWS\system32\winldr.dll
c:\WINDOWS\system32\apphelp32.dll
c:\WINDOWS\system32\winoer.dat

http://safe.el***.cn/ext/DHXY.exe 病毒名:Trojan/Win32.WOW.vno[GameThief]
病毒描述:大话西游游戏盗号木马
衍生文件:
c:\WINDOWS\system32\t3rpcss.dll
c:\WINDOWS\system32\t322025.ini
c:\WINDOWS\system32\t322025.dll

http://safe.el***.cn/ext/GoGo.exe 病毒名:Trojan/Win32.Delf.xij[Downloader]
病毒描述:恶意广告件木马,连接www.66bv.com下载安装恶意插件,浏览器需要支持JavaScript
衍生文件:

http://safe.el***.cn/ext/WM.exe 病毒名:Trojan/Win32.Vilsel.ooj
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\wsconfig.db
c:\WINDOWS\system32\imm32.dll.bak
c:\WINDOWS\system32\imm32.dll
c:\WINDOWS\system32\kb182215592.dll

http://safe.el***.cn/ext/YH.exe 病毒名:Trojan/Win32.Vilsel.otm
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\wsconfig.db
c:\WINDOWS\system32\imm32.dll.bak
c:\WINDOWS\system32\imm32.dll
c:\WINDOWS\system32\kb172216026.dll

http://safe.el***.cn/ext/TL.exe 病毒名:Trojan/Win32.Vilsel.ors
病毒描述:游戏盗号木马
衍生文件:
c:\WINDOWS\system32\dllcache\d3d9.dll.dat
c:\WINDOWS\system\VGA1.dat

http://safe.el***.cn/ext/guanggaobao.exe 病毒名:Trojan/Win32.Agent.fgm[Downloader]
病毒描述:木马下载器,连接www.51yxi.com/syc.exe、http://219.148.34.9/mini/qd.exe下载病毒文件
衍生文件:
c:\WINDOWS\1.tmp

http://safe.el***.cn/ext/WOW.exe 病毒名:Trojan/Win32.WOW.iml[GameThief]
病毒描述:魔兽世界游戏盗号木马
衍生文件:
c:\WINDOWS\system32\t3rpcss.dll
c:\WINDOWS\system32\t329087.ini
c:\WINDOWS\system32\t329087.dll

http://safe.el***.cn/ext/tc.exe 病毒名:Trojan/Win32.Murlo.dpq[Downloader]
病毒描述:木马
衍生文件:

http://safe.el***.cn/ext/WD.exe 病毒名:Trojan/Win32.OnLineGames.vwtu[GameThief]
病毒描述:问道游戏盗号木马
衍生文件:
c:\WINDOWS\system32\DXXsbA.dat
c:\WINDOWS\system32\MzxEdAB.dll
c:\WINDOWS\system32\myInsDll.exe
c:\WINDOWS\system32\sfc32.dll
c:\WINDOWS\system32\SysDll.dll
c:\WINDOWS\system32\lpk.dll

http://safe.el***.cn/ext/DNF.exe 病毒名:
文件损坏无法运行

http://safe.el***.cn/ext/WL.exe 病毒名:Trojan/Win32.OnLineGames.vwta[GameThief]
病毒描述:诛仙游戏盗号木马
衍生文件:
c:\Program Files\intitdll.exe
c:\del.bat

http://safe.el***.cn/ext/MXD.exe 病毒名:Trojan/Win32.OnLineGames.vwsa[GameThief]
病毒描述:冒险岛游戏盗号木马
衍生文件:
c:\WINDOWS\system32\oeghedhw.dll
c:\Documents and Settings\a\Local Settings\Temp\epok03.exe
c:\Documents and Settings\a\Local Settings\Temp\1.tmp

http://safe.el***.cn/ext/dl_205496.exe 病毒名:Trojan/Win32.Pincav.vapj
病毒描述:后门类木马
衍生文件:
c:\WINDOWS\system32\wmhzqes.exe
c:\WINDOWS\system32\hgdpltz.bat
c:\WINDOWS\system32\uwchfux.bat
c:\WINDOWS\system32\qmeofc.bat
c:\WINDOWS\system32\wzkmnlghm.bat

安天反病毒工程师建议:
1. 使用安天防线或锐甲可以有效防范此挂马网页。
2. 用安天防线可以查杀此挂马网页下载的病毒文件。
3. 请及时更新安天防线,以确保您的计算机安全,防止计算机病毒入侵。如未安装安天防线请点击此处(http://www.antiyfx.com/download.htm),免费下载最新版安天防线。