黑客发起大规模网络攻击，互联网数万个网页被挂马!

出处：超级巡警 时间：2008年3月21日
3月14日左右，黑客发起大规模网络攻击，导致互联网上数万个网页被挂马，其中就包括著名安全厂商趋势科技的的网站。虽然大部分网站都已经移除了恶意代码，但是仍有部分网站上的恶意代码还没有被清除。恶意代码试图利用三个系统漏洞和两个应用程序漏洞在用户电脑上置入木马。超级巡警团队提醒大家注意网络安全，及时打补丁。
一、恶意网站2117966.net分析
3月14日的网络攻击中，大部分网址被插入了这个脚本：http://www.2117966.net/******.js。该脚本中内嵌网页木马http:\\count.lljy.org\*，http:\\count.lljy.org\*内置有5个网页木马，一个统计脚本和另外一个恶意挂马网页。
http:\\count.lljy.org\*页面截图：

5个网页木马明分别利用MS06014系统漏洞、MS06067系统漏洞、MS07004系统漏洞、RealPlayer ierpplug.dll ActiveX控件播放列表名称栈溢出漏洞和Yahoo! Music Jukebox AddImage函数ActiveX远程栈溢出漏洞试图在用户机器上置入木马Worm.Win32.AutoRun.das，木马地址：http://count.lljy.org/*/a.exe。另外一个恶意挂马网页利用了同样的五个漏洞试图在用户机器上置入木马Trojan-PSW.Win32.OnLineGames.uzi，木马地址：http://biej8fanwo.a141.71one.com/***/wow.exe。值得一提的是，此次挂事件的网页木马中大量使用了Cuteqq作为变量名，此变量名为暗黑网马常用的变量名。
暗黑网马生成器截图：


二、Worm.Win32.AutoRun.das分析：
病毒标签：
病毒名称：Worm.Win32.AutoRun.das
        病毒别名：无
        病毒类型：蠕虫
        危害级别：3
        感染平台：Windows
        病毒大小：25,485(字节)
        MD5　　：B7A14F272EA455E969125CA7B01B2E83
        加壳类型：FSG v2.0 -> bart/xt
        开发工具：Delphi
病毒行为：
1、复制%System%\urlmon.dll为%System%\XFlower.dll。
        2、拷贝自身到以下路径：
                %System%\drivers\disdn\Flower.exe
                %System%\Flower.exe
        3、添加IFEO映像劫持项，被劫持的软件有瑞星，金山，nod32等。
        4、下载木马并运行。木马地址：
                http://count.lljy.org/*/myself.exe
                http://count.lljy.org/*/servstr.exe
                http://count.lljy.org/*/8.exe
三、解决方案
推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　    　  　  超级巡警下载地址：http://www.dswlab.com/d1.html
手工清除方法：
1，使用超级巡警暴力删除工具直接杀死该病毒。
　　        2、修复文件映象劫持。打开超级巡警，点工具，选择系统修复，选中修复映象劫持，修复即可。
　　        3、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽count.lljy.org、www.2117966.net和
　　      　　 biej8fanwo.a141.71one.com。
四、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　    2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　    3、使用超级巡警的补丁检查功能，及时安装系统补丁及第三方应用程序补丁。
　　    4、及时更新常用软件，尤其是聊天工具。
　　    5、不要使用IE内核的浏览器。
　　    6、不要随便打开不明来历的电子邮件，尤其是邮件附件。
　　    7、不要随便登陆不明网站，特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。建议使用超
　　    　　级巡警屏蔽恶意网站。
　　    8、不要轻易打开即时通讯工具中发来的链接或可执行文件。
注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变
　　 量指%Windir%\System32。其它：
　　    %SystemDrive% 　　    　　 系统安装的磁盘分区
　　    %SystemRoot% = %Windir% 　　WINDODWS系统目录
　　    %ProgramFiles%　 　 　　　　应用程序默认安装目录
　　    %AppData% 　　    　　    应用程序数据目录
　　    %CommonProgramFiles%　　    公用文件目录
　　    %HomePath% 　　    　　    当前活动用户目录
　　    %Temp% =%Tmp% 　　    　　 当前活动用户临时目录
　　    %DriveLetter% 　　    　　 逻辑驱动器分区
　　    %HomeDrive% 　　　    　　 当前用户系统所在分区
超级巡警：彻底查杀各种木马，全面保护系统安全。
    更多免费工具下载：http://www.dswlab.com
    专业的桌面与内容安全产品：http://www.unnoo.com
Copyright(c) DSW Lab All rights reserved