网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。
    根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。
  当前位置:首页 - 安全响应中心 -> 病毒预警

安天监控到国家商务部--短信商务网挂马
出处:安天实验室 时间:2010年7月28日
 

    2010年7月27日,安天实验室发现,国家商务部--短信商务网(http://mobile.mofcom.gov.cn/news/198d5a7f0bf77a19.html)页面,被黑客植入恶意代码,用户如果访问该网站,系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
国家商务部--短信商务网被挂马页面:

挂马层次结构:

[root]http://mobile.mofcom.gov.cn/news/198d5a7f0bf77a19.html(被挂马页面)
    [iframe]http://www.anmo-tianjin.com/wow/wow27.htm(MS10-018漏洞)
        [exe]http://www.zhajin***.cc/xiazai/1.exe

该挂马网页利用以下漏洞进行传播:
MS10-018漏洞

具体漏洞描述与解决方案请参见:
http://www.antiy.com/cn/security/2009/solution.htm

当用户访问挂马网站,系统会自动下载病毒文件:

    当用户访问国家商务部--短信商务网(http://mobile.mofcom.gov.cn/news/198d5a7f0bf77a19.html)页面时,含有漏洞的系统会自动从恶意网站下载病毒文件,并在本机上运行,病毒文件主要以网络游戏盗号类木马为主,病毒的具体描述信息如下:

网页木马直接下载的病毒文件:

http://www.zhajin***.cc/xiazai/1.exe 病毒名:Trojan/Win32.OnLineGames.bnqi[GameThief]
描述:网络游戏“魔兽世界”盗号木马
衍生文件:
c:\WINDOWS\system32\gz29048.dll
c:\WINDOWS\system32\gz29048.ini
c:\WINDOWS\system32\rpcss.dll
c:\WINDOWS\system32\trpcss.dll
c:\Documents and Settings\Administrator\Local Settings\Temp\51925718.dll
c:\Documents and Settings\Administrator\Local Settings\Temp\www.dll
c:\Documents and Settings\Administrator\Local Settings\Temp\~1d6709.~~~

安天反病毒工程师建议:
1. 使用安天防线2009或锐甲可以有效防范此挂马网页。
2. 用安天防线2009可以查杀此挂马网页下载的病毒文件。
3. 请及时更新安天防线2009,以确保您的计算机安全,防止计算机病毒入侵。如未安装安天防线请点击此处(http://www.antiyfx.com),免费下载最新版安天防线2009。