手机之家论坛被黑客置入木马

来源:岁月联盟 编辑:zhuzhu 时间:2010-02-13
     今日,超级巡警反病毒小组监测到国内知名网站手机之家的论坛(http://bbs.imobile.com.cn/)被黑客置入木马。所有访问论坛的用户都将受到此次挂马事件的影响。被嵌入到网页中的恶意代码利用多个漏洞来传播木马,当计算机有漏洞的用户浏览到受影响页面时,将激活木马链接,自动下载木马病毒并运行。 
 
  一、事件分析: 
         
   手机之家论坛首页首页(http://bbs.imobile.com.cn/)内包含脚本*****_**.js,****_**.js被黑客插入加密的恶意代码。解密后得知是以框架的形式嵌入了网页木马(http://aa.***.net/ww/new280.htm)。网页木马new280.htm内嵌四个漏洞利用的脚本和一个统计脚本。四个漏洞利用脚本分别利用系统漏洞MS06014、暴风影音漏洞、PPStream漏洞和百度搜霸的漏洞来传播木马,当用户触发漏洞后网页木马将在后台自动连接网络(http://down.****.net/bb/014.exe)下载木马并运行。统计脚本用以统计受害者数量。 
 

  下载的木马地址为:http://down.****.net/bb/014.exe,此木马会连接网络下载大量的木马并运行。所下木马大部分为Trojan-PSW.Win32.OnLineGames家族的木马。如: 


      木马程序 Trojan-PSW.Win32.OnLineGames.fgr 文件: 1.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.fjr 文件: 10.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.fjw 文件: 11.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.dzq 文件: 12.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.fjd 文件: 13.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.eoa 文件: 14.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.eqr 文件: 15.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.dzs 文件: 16.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.eav 文件: 18.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.fhs 文件: 2.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.fdy 文件: 4.exe


      木马程序 Trojan-PSW.Win32.OnLineGames.fdi 文件: 5.exe
      木马程序 Trojan-PSW.Win32.Lmir.bnx 文件:        6.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.fhz 文件: 8.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.fhm 文件: 9.exe
   以上木马运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。
  
 二、解决方案
       1、推荐安装超级巡警监测查杀以上木马。
       2、请广大用户及时更新常用应用软件,防止漏洞攻击。 
       3、建议用户不要使用IE内核的浏览器。
       4、对于已经中毒用户,建议及时修改自己的QQ/网游账号密码。 
注:此挂马事件已通知手机之家,官方尚未对此事做出反映。