网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。
    根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。
  当前位置:首页 - 安全响应中心 -> 病毒预警

安天监控到39健康网挂马
出处:安天实验室 时间:2010年3月5日
 

    2010年3月5日,安天实验室发现,39健康网(http://zxk.39.net/zx/xiangmu/69679.html),被黑客植入恶意代码,用户如果访问该网站,系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
39健康网被挂马页面:

挂马层次结构:
[root]http://zxk.39.net/zx/xiangmu/69679.html(被挂马页面)
    [script]http://w212.2.****.us/images/css/swf.swf(集成网马页面)
        [iframe]http://liudidi.9***.org/images/css/mepeg.htm(MS09-032)
        [iframe]http://liudidi.9***.org/images/css/ff.htm(MS09-002)
        [iframe]http://liudidi.9***.org/images/css/of.htm(MS09-043)
        [iframe]http://liudidi.9***.org/images/css/dom.htm(MS10-002)
        [iframe]http://liudidi.9***.org/images/css/bf.htm(暴风影音)
该挂马网页利用以下漏洞进行传播:
MS09-032漏洞
MS09-002漏洞
MS09-043漏洞
MS10-002漏洞
暴风影音2(mps.dll)ActiveX控件远程栈溢出漏洞

具体漏洞描述与解决方案请参见:
http://www.antiy.com/cn/security/2009/solution.htm

当用户访问挂马网站,系统会自动下载病毒文件:
    当用户访问39健康网(http://zxk.39.net/zx/xiangmu/69679.html)时,含有漏洞的系统会自动从恶意网站下载大量病毒文件,并在本机上运行,病毒文件主要以网络游戏盗号类木马为主,病毒的具体描述信息如下:
1、网页木马直接下载的病毒文件:
http://vwv.w***.us/images/css/css.swf 病毒名:Trojan/Win32.Agent.bcqw[Downloader]
描述:下载者木马,通过读取自身包含的病毒下载地址,进而下载病毒文件到本地并运行
衍生文件:
c:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\1.exe
c:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\2.exe
2、下载者木马读取下载列表地址
http://wwomy.w***.us/images/css/updates/1.swf
3、由下载者木马下载的其他病毒文件:
http://xcv.222.w***.us/images/css/updates/ie.exe 病毒名:Trojan/Win32.Delf.aqt[Downloader]
描述:恶意广告木马,创建多个URL快捷方式文件到收藏夹和桌面
衍生文件:
c:\Documents and Settings\a\「开始」菜单\色情网站.url
c:\Documents and Settings\a\Favorites\色情网站.url
c:\Documents and Settings\a\桌面\色情网站.url
c:\Program Files\Common Files\Microsoft Shared\MSInfo\iejore.exe

http://xcv.233.w***.us/images/css/updates/tan.exe 病毒名:Trojan/Win32.Delf.bfu[Downloader]
描述:木马下载器,连接http://144423.xicp.net/backdoor.wmv下载病毒文件保存到Temp\myexe1.exe
衍生文件:
c:\WINDOWS\system32\xydzyh.exe

http://xcv.24.w***.us/images/css/updates/82.exe 病毒名:Trojan/Win32.Dialer.bkm
描述:远程控制后门类木马
衍生文件:
c:\WINDOWS\system32\drivers\beep.sys
c:\WINDOWS\system32\dllcache\beep.sys
c:\WINDOWS\system32\6to4ex.dll

http://xcv.235.w***.us/images/css/updates/13.exe 病毒名:Worm/Win32.AutoRun.ajo
描述:后门类木马,试图连接61.135.253.14请求数据
衍生文件:
c:\WINDOWS\CTFM0N.exe

http://liumeimei.9***.org/images/css/updates/tan.exe 病毒名:Trojan/Win32.Delf.bfu[Downloader]
描述:木马下载器,连接http://144423.xicp.net/backdoor.wmv下载病毒文件保存到Temp\myexe1.exe
衍生文件:
c:\WINDOWS\system32\xydzyh.exe

http://xcv.21.w***.us/images/css/updates/hosts.exe 病毒名:Trojan/Win32.Qhost.c
描述:修改本地hosts文件添加大量域名统一指向IP地址61.164.73.122
衍生文件:

http://xcv.211.w***.us/images/css/updates/ie.exe 病毒名:Trojan/Win32.Delf.aqt[Downloader]
描述:恶意广告木马,创建多个URL快捷方式文件到收藏夹和桌面
衍生文件:
c:\Documents and Settings\a\「开始」菜单\色情网站.url
c:\Documents and Settings\a\Favorites\色情网站.url
c:\Documents and Settings\a\桌面\色情网站.url

安天反病毒工程师建议:
1. 使用安天防线或锐甲可以有效防范此挂马网页。
2. 用安天防线可以查杀此挂马网页下载的病毒文件。
3. 请及时更新安天防线,以确保您的计算机安全,防止计算机病毒入侵。如未安装安天防线请点击此处(http://www.antiyfx.com),免费下载最新版安天防线。