DSWLAB::警惕：泡泡网(pcpop.com)首页被黑客置入木马

警惕：泡泡网(pcpop.com)首页被黑客置入木马

出处：DSW Avert 时间：2007年10月5日   　今日，DSW Lab Avert小组监测到国内知名网站泡泡网首页被黑客置入木马。被挂马的网页为泡泡网内嵌的一个广告页，将影响到所有展示此广告的网页，如http://www.pcpop.com/。此次挂马事件利用暴风影音缓冲区漏洞和MS06014漏洞这两个漏洞，当计算机有漏洞的用户浏览到受影响页面时，将激活木马链接，自动下载木马病毒并运行。   一、事件分析：        　   　泡泡网首页（http://www.pcpop.com/）以脚本的形式调用http://33.pcpop.com/statistic/js/2265.js写入广告， 此脚本中包含了被挂马的广告页面：http://qa./colorful/103.htm，当引用此广告时页面即受到网页木马 的影响。103.htm页面中以脚本的形式内置了http://qa./colorful/103.js脚本，103.js又包含了http:///down8/we.htm页面。we.htm即为利用MS06017漏洞的页面，此页面又以框架的形式嵌套一个利用暴风影音 漏洞的网页木马和一个用以统计受害者数量的统计页面。 2265.js页面源码截图： 103.JS代码截图： 解密后MS06014网页木马截图： 　　 下载的木马地址为：http:///down8/ii.exe，此木马会链接网络获取http:///down5/dn.txt文件， 并根据其中的地址下载大量的木马并运行。所下木马大部分为Trojan-PSW.Win32.OnLineGames家族的木马。如： 　　    木马程序 Trojan-PSW.Win32.OnLineGames.dpd 　　    文件: 10.exe 　　    木马程序 Trojan-PSW.Win32.QQPass.agd 　　    　　 文件: 1.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.efn 　　    文件: 2.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.dzp 　　    文件: 5.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.ecl 　　    文件: 6.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.dzz 　　    文件: 7.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.ebf 　　    文件: 8.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.edv 　　    文件: 9.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.eeh　　     文件: 91.exe 　　    木马程序 Trojan-Spy.Win32.Delf.akg 　　    　　   文件: ii.exe 　　 以上木马运行后将监视用户系统，窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。 　     二、解决方案 　　     1、推荐安装超级巡警监测查杀以上木马。 　　     2、请广大用户及时更新常用应用软件，防止漏洞攻击。 　　     3、建议用户不要使用IE内核的浏览器。 　　     4、对于已经中毒用户，建议及时修改自己的QQ/网游账号密码。 　　     5、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽http:///。 　　     6、目前泡泡网尚未对此事做出反应。 关于泡泡网： 　　     国内提供IT产品资讯的著名网站