您现在的位置是:首页 > 行业 > 金融 >

2009年上半年度挂马网站案例分析之二

2009-09-04 05:08:00作者: 来源:

摘要2009年上半年度挂马网站案例分析之二 5、微软DirectShow爆严重漏洞,黑客利用该漏洞挂马 ...

2009年上半年度挂马网站案例分析之二

5、微软DirectShow爆严重漏洞,黑客利用该漏洞挂马

2009年6月,微软公司向MAPP伙伴公布其DirectShow软件中存在的一个严重漏洞,利用该漏洞的挂马网站已经在互联网上出现,用户浏览这些网站后就会中毒。作为中国大陆地区的MAPP合作伙伴,瑞星公司在收到微软提供的相关技术资料后,针对此漏洞进行了紧急分析,并通过“云安全”系统成功截获了利用该漏洞的挂马网站。

据了解,微软DirectShow漏洞在播放某些经过特殊构造的QuickTime媒体文件时,可能导致远程任意代码执行。攻击者可随意查看、更改或删除数据或者创建拥有完全用户权限的新帐户。其中Windows 2000 Service Pack 4、Windows XP和 WindowsServer 2003容易受攻击,Windows Vista和 Windows Server 2008的所有版本不容易受影响。

6、PDF网马成为国内近期较为流行的挂马趋势

在以往的网马解密分析中,恶意网址利用pdf漏洞网马寥寥无几。偶尔零星的也是在国外网马分析中有pdf网马身影。但是根据近期针对国内网马分析,发现了多起pdf网马身影。

根据6月份的瑞星每日安全播报分析的恶意网址来看,像类似http://2.hffangchan.com(合肥房产网)、http://bbs.skyhu.com(火狐游戏网)、http://www.china228.com/(好得网)等被挂马网站,在所挂恶意链接中均有pdf网马,以http://xxx.xxx/xx/pef.pdfhttp://xxx.xxx/xx/pd.pdf等两个链接出现频率最高,且出现有一个pdf网马,使用网马解密工具分析,出现截然两种不同的网马下载地址,使用相关的下载工具验证下载,解密出网马地址均为真实有效的可以下载的地址。虽然这个漏洞大概在2008年左右出现,也是在近期分析国内所挂恶意链接地址中,出现pdf网马。这也充分说明了pdf网马应该会在2009年下半年国内网页挂马中,增加黑客牟利成功的砝码。

 

7、微软最新视频控件漏洞导致木马爆发

7月7日,瑞星公司发布橙色安全警报,微软视频控件(Microsoft Video ActiveX Control)漏洞导致的挂马网站攻击大幅增加,7月5日凌晨瑞星“云安全”系统首次监控到利用该漏洞的攻击代码出现,随后的5日6日短短两天内,监测到130万用户遭到利用该漏洞的攻击。

瑞星安全专家分析,产生漏洞的原因是用户系统中的msvidctl.dll组件不正确读取持久化的字节数组,攻击者可随意覆盖SEH或者RET,将EIP 设置成任意数值,结合javascript堆喷射方式可远程执行任意代码,黑客不必让用户运行被恶意修改的视频文件就可以进行挂马攻击。用户一旦访问被挂马的网站后,就会自动触发MPEG-2视频组件的msvidctl.dll组件,然后运行黑客植入的网页木马,最终下载大量盗号木马病毒,导致用户电脑系统异常甚至蓝屏,并盗取用户网游账号密码等个人信息。

8、微软Office漏洞导致大量挂马网站

7月13日,继微软视频控件漏洞出现之后,微软Office网络组件远程控制漏洞被黑客利用,进行挂马攻击。根据瑞星“云安全”系统监测,5日内已有133余万台电脑遭攻击。北京时间14日凌晨,微软已经发布了针对该漏洞的通告。

该漏洞危害全系列Windows系统,黑客可利用该漏洞来构建挂马网站,用户访问这些网站后即会被感染,植入木马下载器、盗号木马等恶意程序。目前该漏洞没有官方补丁,瑞星杀毒软件2009、瑞星全功能安全软件2009中的独有“网页防挂马”模块,采用“网页脚本行为分析技术”,无需补丁即可有效拦截利用该漏洞的挂马网站。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们