驱动之家部分页面被黑客植入盗号木马

来源:岁月联盟 编辑:zhuzhu 时间:2010-02-13

今日,DSW Lab Avert小组监测到国内知名网站驱动之家被黑客置入木马,挂马方式采用JS脚本的方式,当用户浏览到相关页面时就会触发。被挂马页面为:http://drivers.mydrivers.com/search。
   鉴于近期多起国内知名网站被挂马事件,超级巡警团队提醒广大互联网用户注意计算机安全,及时检测系统漏洞,下载最新补丁。

 一、事件分析:        页面http://drivers.mydrivers.com/search中包含一个七彩红的广告脚本,脚本的链接为:
http://11.mydrivers.com/drivers/dd23.js,脚本中内嵌了http://qa.qicaihong.com/colorful/97.htm页面,97.htm内又
以脚本的方式内嵌了http://qa.colorful.cn/Show/Script.aspx?Guid=4f806c36-d799-4ab2-95c1-3ee7c8ac17a8页面,查看
该页面可以看到内置了http://md55.net/soft7/lk.htm页面,而lk.htm即为网页木马,当用户浏览到包含此页面的网页的时
候就会激活木马链接,自动下载病毒并运行。

被挂马的页面源码截图:


lk.htm代码截图:


   下载的木马地址为:http://md55.net/soft7/vip.exe,此木马会下载大量的病毒木马并运行。下载的大部分
为Trojan-PSW.Win32.OnLineGames家族的木马。如:
      木马程序 Trojan-PSW.Win32.Delf.aat            文件: tl.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.ccv       文件: wd.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.bos       文件: wl.exe
      木马程序 Trojan-PSW.Win32.Delf.zn             文件: zx.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.cda       文件: zz.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.bow       文件: gg.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.bmj       文件: gm.exe
      木马程序 Trojan-PSW.Win32.OnLineGames.bou       文件: hx.exe
      木马程序 Trojan-PSW.Win32.Delf.zm             文件: mh.exe
      病毒 Worm.Win32.QQPass.r                    文件:qq.exe
      木马程序 Trojan-Spy.Win32.Delf.agp            文件: rx.exe
      木马程序 Trojan-Dropper.Win32.Killav.f         文件: sj.exe

   以上程序运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。此次挂马事件与IT168.COM网站被挂马事件极为相似,网页木马非常隐蔽,木马名称同样为vip.exe,被疑为同一作者所为。该木马操作手段十分狡猾,并不在运行后立刻下载木马,而是运行后等一段时间后下载木马,以此隐蔽自己的真实来源。 

二、解决方案
       1、推荐安装超级巡警监测查杀以上木马。
       2、请广大用户及时使用超级巡警的补丁检查功能,检查并安装系统补丁,预防更多的IE漏洞攻击。
       3、对于已经中毒用户,建议及时修改自己的QQ/网游账号密码。
       4、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽http://md55.net/。

       9月8日最新消息:驱动之家网站已经清除木马,用户可放心浏览该网站。

 关于驱动之家:国内知名的IT网站,以硬件资讯及驱动下载为主要特色。