安天监控到中国远程医疗网挂马

    2010年1月26日，安天实验室发现，中国远程医疗网(www.chthn.com)，被黑客植入恶意代码，用户如果访问该网站，系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制，盗取用户敏感信息。甚至导致死机。
中国远程医疗网被挂马页面：

该挂马网页利用以下漏洞进行传播：
MS09-032

具体漏洞描述与解决方案请参见：
http://www.antiy.com/cn/security/2009/solution.htm

当用户访问挂马网站，系统会自动下载病毒文件：
    当用户访问中国远程医疗网(www.chthn.com)时，含有漏洞的系统会自动从恶意网站下载病毒文件，并在本机上运行，病毒文件主要以网络游戏盗号类木马为主，病毒的具体描述信息如下：
网页木马直接下载的病毒文件：
http://www.qt***.cn/swf/host.exe 病毒名：Trojan/Win32.Vilsel.dey
病毒描述：
“地下城与勇士[DNF]”的盗号木马。修改系统文件名%system32%\comres.dll为comresreal.dll，在%Windir%目录下创建病毒文件comres.dll，该文件为病毒体；由于comres.dll为COM Services服务用到的一个系统动态链接库文件，系统启动时会自动加载该文件，在%system32%下无法找到该文件，便会在%Windir%下找，以便加载该病毒文件。拷贝%system32%\sfc_os.dll文件到%windir%下，并命名为my_sfc_os.dll，hedgepig.dat为病毒配置文件。
衍生文件：
c:\WINDOWS\comres.dll
c:\WINDOWS\hedgepig.dat
c:\WINDOWS\my_sfc_os.dll
c:\WINDOWS\system32\comresreal.dll

安天反病毒工程师建议：
1. 使用安天防线2009或锐甲可以有效防范此挂马网页。
2. 用安天防线2009可以查杀此挂马网页下载的病毒文件。
3. 请及时更新安天防线2009，以确保您的计算机安全，防止计算机病毒入侵。如未安装安天防线请点击此处（http://www.antiyfx.com），免费下载最新版安天防线2009。