网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。
    根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。
  当前位置:首页 - 安全响应中心 -> 病毒预警

安天监控到全国大学四、六级考试网挂马
出处:安天实验室 时间:2010年2月23日
 

    2010年2月23日,安天实验室发现,全国大学四、六级考试网(http://www.cet.edu.cn/),被黑客植入恶意代码,用户如果访问该网站,系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
    全国大学四、六级考试网被挂马页面:

安天监控到全国大学四、六级考试网挂马

挂马层次结构:
[wide]http://www.cet.edu.cn/(被挂马页面)
    [script]http://www.cet.***.cn/menu.js(跳转链接)
        [script]http://bbs.xcd****.net/include/log.js?RDCMOPQF(跳转链接)
            [iframe]http://bbs.xcd****.net/uc/data/tmp/h.htm?人0219(MS10-002)
                [script]http://bbs.xcd****.net/uc/data/tmp/XIGUA.GIF
该挂马网页利用以下漏洞进行传播:
MS10-002漏洞

具体漏洞描述与解决方案请参见:
http://www.antiy.com/cn/security/2009/solution.htm

当用户访问挂马网站,系统会自动下载病毒文件:
    当用户访问全国大学四、六级考试网(http://www.cet.edu.cn/)时,含有漏洞的系统会自动从恶意网站下载大量病毒文件,并在本机上运行,病毒文件主要以网络游戏盗号类木马为主,病毒的具体描述信息如下:
1、网页木马直接下载的病毒文件:
http://bbs.xcd****.net/uc/js/x.exe 病毒名:Trojan/Win32.Genome.aiwl[Downloader]
描述:下载者木马,通过读取自身包含的病毒下载地址,进而下载病毒文件到本地并运行
衍生文件:无
2、由下载者木马下载的其他病毒文件:
http://bbs.xcd****.net/uc/js/dn.exe 病毒名:Trojan/Win32.OnLineGames.wbfq[GameThief]
描述:“地下城与勇士”游戏盗号木马
衍生文件:
c:\WINDOWS\system32\shadowsafe.sys
c:\WINDOWS\system32\zydxc.dat
c:\WINDOWS\system32\zydxc0207.dll
c:\WINDOWS\system32\zydxc2.dat

http://bbs.xcd****.net/uc/js/hx.exe 病毒名:Trojan/Win32.Agent.dbgt[Downloader]
描述:下载者木马。替换hosts文件,删除安全模式对应的注册表键值,映像劫持多款安全软件
衍生文件:
c:\WINDOWS\system32\drivers\etc\hosts

http://bbs.xcd****.net/uc/js/ow.exe 病毒名:Trojan/Win32.WOW.xbw[GameThief]
描述:“魔兽世界”游戏盗号木马
衍生文件
c:\WINDOWS\system32\t329148.dll
c:\WINDOWS\system32\t329148.ini
c:\WINDOWS\system32\t3rpcss.dll
c:\Documents and Settings\Administrator\Local Settings\Temp\~~1ba5e1.~~~

安天反病毒工程师建议:
1. 使用安天防线或锐甲可以有效防范此挂马网页。
2. 用安天防线可以查杀此挂马网页下载的病毒文件。
3. 请及时更新安天防线,以确保您的计算机安全,防止计算机病毒入侵。如未安装安天防线请点击此处(http://www.antiyfx.com),免费下载最新版安天防线。