| 转帖:东方卫士网站挂马事件
1月25日,安天实验室反病毒监测网发现,东方卫士网站(www.i110.com)被黑客植入病毒,用户如果访问该网站,会被病毒感染,东方卫士,是一款国产免费杀毒软件,其网站,有一定的用户访问量,同时,此次攻击中,攻击者开始利用新出现的MS07-004漏洞,安天实验室CERT认为,在今后的一段时间内,使用该漏洞进行攻击的恶意事件,可能增多。对此应该引起警惕。
攻击者利用MS06-014漏洞来传播木马,该网站的页面上,被添加了如下代码,。使的当用户访问网站时,系统会在用户不知情的情况下,访问带毒网页。
在恶意网页http://532.ch/ook.html(服务器地址为60.215.129.100)中包含利用MS07-004漏洞的代码。使的系统自动下载http://532.ch/xia.exe (Trojan-Downloader.Win32.agent.ddz)到本地,并运行。
一旦运行,该木马复制自身到%system32%目录下,命名为wdfmg1r32.exe并运行,运行后下载http://532.li/2.exe(Backdoor.Win32.Hupigon.cpb)复制自身到%system32%目录下,命名为system32.exe运行,运行后,下载http://lxn2wyf8899.3322.org/ip.txt到本地系统临时目录下。
ip.txt包含的内容为:
http://221.215.170.192:5600/wwwroot/(该IP对应地址为:山东省青岛市(李沧区)网通ADSL)
MS07-004漏洞的起因是Microsoft公司多个版本的操作系统对矢量标记语言(VML)的支持存在整数溢出,导致可以执行任意指令,使的远程攻击者可以利用此漏洞控制用户机器。
Microsoft公司已经为此漏洞发布了一个安全公告(MS07-004)以及相应补丁:
地址为:
http://www.microsoft.com/china/technet/security/bulletin/MS07-004.mspx
该漏洞可能引发严重的安全问题,请广大用户及时通过使用微软自动更新服务或在微软更新网站上下载更新程序的方式,安装该漏洞的补丁.安天实验室为了方便广大木马防线用户,已经在木马防线2005+中,提供了这些更新程序的下载链接,请用户及时下载并升级您的木马防线,保护系统的安全。
相关链接请参见:http://www.antiy.com/security/alarm/20070125.htm
|
