新闻快车:猖狂木马入侵安全厂商主页

    【新闻快车】

    今日，数据安全实验室向小编爆料说，国内某知名安全网站主页被挂木马。小编急忙找了台测试专用机打开其主页，卡巴斯基果然立刻响起了杀猪的声音。

卡巴斯基提示

    通过查看页面源码，可以看到网页底部被插入了一条<iframe>指令。该指令将隐藏打开一个新的页面，并利用了流行的VML漏洞，使浏览者在不知不觉的情况下下载一个名为Trojan-Downloader.Win32.small.kk下载器，该下载器则会进一步连接到532.li(IP：60.215.129.100)下载一个木马并执行。

网页源码

    木马分析：

    [文件信息]

    病毒名: Trojan-Downloader.Win32.small.kk
    大 小: 0x142D (5165), (disk) 0x142D (5165)
    SHA1 : F76F4E9A21C38432500BD33818ACA2FCBAB5DA16
    壳信息: 未知
    危害级别：中

    病毒名: Backdoor.Win32.Hupigon.dzy
    大 小: 0x5D200 (381440), (disk) 0x5D200 (381440)
    SHA1 : FF359B600CE0B1ECF7C4AACBE76EA6264DE1005C
    壳信息: 未知
    危害级别：中

    [病毒行为]

    Trojan-Downloader.Win32.small.kk下载了Backdoor.Win32.Hupigon.dzy后，执行该后门，后门文件解析读取lxn2wyf8899.3322.org上面的一个ip.txt文件，根据IP内容，木马反弹连接到攻击者控制主机接受控制。

    同时两个木马分别添加了注册表启动项目和系统服务：

    键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    键名：wdfmgr32
    键值："C:WINDOWS\system32\wdfmgr32.exe"

    系统服务名称：Net work nois
    显示名称：Net work nois
    服务描述：Net work nois
    对应文件路径：C:\windows\svchost.exe

    解决方案：

    1、安装杀毒软件并开启实时监控以防中毒。
    2、及时升级系统补丁，预防更多的VML漏洞攻击。
    3、在事件解决前请暂时不要访问受感染网站。