今年7月����,愛拍網(wǎng)等國內(nèi)知名網(wǎng)站曾遭遇大規(guī)模掛馬致使敲詐者病毒大肆傳播�����。近日���,360互聯(lián)網(wǎng)安全中心監(jiān)測到愛拍網(wǎng)掛馬事件的幕后黑手再一次出招�,雖然手法非常相似���,但顯然該組織這一次的行動胃口更大——不再針對某些特定網(wǎng)站進行掛馬���,而是玩起了網(wǎng)絡(luò)劫持,導(dǎo)致河南某運營商的8萬多用戶遭遇惡意推程序的攻擊�����。
由于網(wǎng)絡(luò)劫持并不針對特定網(wǎng)站�����,所以此次掛馬事件中�����,包括IE瀏覽器、愛奇藝客戶端���、迅雷��、搜狗等在內(nèi)的任何帶有展示網(wǎng)頁功能的客戶端都存在中招可能��。具體掛馬行為詳見7月中旬的分析報告(http://bobao.#/news/detail/3302.html)�。
與此前愛拍網(wǎng)掛馬事件相似�����,此次利用的也是EK(Exploit kits)黑客攻擊包實現(xiàn)掛馬操作�。從帶有惡意代碼的Flash動畫到下載回來的執(zhí)行惡意腳本的js代碼都與之前的情況出奇的相似,唯一有區(qū)別的是執(zhí)行js腳本的命令行參數(shù):
根據(jù)js代碼��,第二個參數(shù)為木馬下載地址����,第一個參數(shù)為解密秘鑰。
由于換了參數(shù)����,所以此次傳播的木馬本體也出現(xiàn)了變化——不再是威力大但“來錢慢”的敲詐者病毒���,而變成了簡單粗暴“來錢快”的廣告推廣程序��。
樣本解碼后被釋放到“Documents and Settings”文件夾下的當(dāng)前用戶根目錄中�����,并獲取了一個隨機的名稱再運行該木馬�。
木馬運行后會將自己隱藏:
之后打開注冊表,將自己添加為啟動項:
實現(xiàn)自啟動后�,程序便去連接遠端頁面:
拼接后可見訪問的頁面為:hxxp://b.zhongqiulipin.com/jiating.html,直接用瀏覽器打開看起來更直觀:
獲取到推廣列表后���,木馬便會依次下載并運行這些推廣程序以賺取傭金
更惡劣的是����,下載列表中不僅有商業(yè)推廣性質(zhì)的程序�,還帶有一些含有惡意代碼的程序,而巧合的���,這些惡意代碼恰恰就是最近剛剛興起的Ramnit感染型木馬:
Ramnit感染型木馬顯著的特點是入口點在一個含有惡意代碼的.rmnet節(jié)中�,一旦運行則會感染全盤所有可執(zhí)行程序���。該木馬的更多分析內(nèi)容詳見:
根據(jù)360互聯(lián)網(wǎng)安全中心的數(shù)據(jù)顯示�����,僅昨天(8月23日)一天����,該掛馬事件影響到的用戶量就已超過8萬,今天這一數(shù)量還在增加��。目前����,360安全衛(wèi)士已對該掛馬行為實現(xiàn)全面攔截。
