2006年11月22日,江民公司监测到,天涯虚拟社区网站(https://www.tianya.cn)首页带毒。如果用户没有安装过微软的MS06-014安全补丁,在使用IE浏览器访问该网页时,就会感染木马程序Trojan/Hitpop。该木马会在后台点击某些网页,制造虚假流量,并会关闭多款杀毒软件和防火墙。
木马程序具体分析如下:
1、天涯社区首页(https://www.tianya.cn/default.asp)中被嵌入了一条恶意代码,引用位于https://www.jlinside.com上面的恶意脚本(https://www.jlinside.com/MediaPlayer.js)。 后者以隐藏方式打开恶意网页https://www.**78.cn/inc/ad.html。ad.html利用微软的MS06-014漏洞,尝试下载并执行木马程序https://www.**78.cn/inc/op.exe。
2、op.exe运行后,将创建下列文件:
%SystemDir%\alxres061120.exe, 110377字节
%SystemDir%\scrsys061120.scr, 110377字节
%SystemDir%\scrsys16_061120.scr, 24576字节
%SystemDir%\winsys16_061120.dll, 24576字节
%SystemDir%\winsys32_061120.dll, 175104字节
D:\myplay.pif
%WinDir%\winsys.ini, 340字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
"Userinit" = %SystemDir%\userinit.exe,rundll32.exe
c:\windows\system32\winsys16_061120.dll start
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
"AutoRun" = ,d:\myplay.pif
这样,在Windows启动时,病毒就可以自动执行。
3、木马尝试结束多款流行杀毒软件和防火墙,并在后台隐藏启动IE进程,访问https://www.dosboy.com和https://www.selang.com等网站上的页面。
江民公司提醒广大用户,上网浏览时一定要开启杀毒软件的实时监控功能,并要及时升级病毒库、安装微软的安全更新,以免受到病毒侵害。特别是天涯社区用户,请立即更新杀毒软件的病毒库,对系统进行全面扫描。
另据了解,23日天涯首页上的恶意代码已经被删除。 (责任编辑:韩建光) |