前兩天有網友反映國內知名的安全網站東方衛士再次被掛載木馬,這已經是東方衛士第二次暴露出存在安全隱患。
回顧
在此之前就曾發生過一次東方衛士網站首頁(hxxp://www.i110.com)存在惡意代碼引用的事件,如果用戶沒有安裝過微軟的MS07-004補丁程序,并且使用IE瀏覽器訪問上述頁面的話,就會感染木馬病毒。
技術分析:
1. 東方衛士網站首頁代碼中,包含了一處對惡意網頁的引用語句:
|
如圖1:
2.這個被引用的惡意網頁中包含了利用MS07-004漏洞的代碼,使得系統能夠自動下載hxxp://***.ch/xia.exe(Trojan-Downloader.Win32.agent.ddz)到本地,并運行。
3.xia.exe是個木馬下載器,該木馬復制自身到%system32%目錄下,命名為wdfmg1r32.exe,運行后下載灰鴿子病毒hxxp://***.li/2.exe(Backdoor.Win32.Hupigon.cpb)。
4.2.exe是灰鴿子病毒最新變種,采用RootKit技術編寫,隱藏進程。它復制自身到%system32%目錄下,命名為system32.exe,該病毒運行后會釋放文件到 %WinDir%\svchost.exe,文件大小為381440字節,并創建下面服務:
|
另外還會下載hxxp://lxn2wyf8899.3322.org/ip.txt到本地系統臨時目錄下。ip.txt包含的內容為:
|
染毒電腦將被黑客遠程完全控制,這些操作可能是任意文件操作、注冊表操作、鍵盤記錄、下載執行遠程程序、任意網絡操作甚至遠程開機攝像頭監控等。
再次被掛馬
而這一次,在東方衛士主頁上,通過查看頁面源代碼,可以看到網頁中被插入一條“[ iframe src=”指令,該指令將隱藏打開一個新的頁面,這個頁面偽造了瀏覽器無法開的錯誤網頁,并在后臺隱藏打開三個頁面,進行木馬下載。
打開的隱藏頁面代碼:
|
在打開的偽造錯誤頁面中會打開三個網頁:
|
下載木馬:
|
再一卻又再二,是否還會再三再四
我們常說“再一再二,不可再三再四”。作為防護先鋒的安全網站,其在用戶心目中的可信度、影響度都是極高的,他們任何一次疏忽所帶來的危害性都遠大于木馬病毒自身所造成的破壞。第一次發生網站被掛載木馬的事件后,相信東方衛士應該已經采取了相應的措施。但掛馬事件卻能夠再次發生,這就需要引起我們的警惕與反思了。
再次掛馬,說明在“矛”與“盾”的斗爭中,“矛”又一次的占據了上風。同時,東方衛士網站一而的再被掛馬,除了系統自身依然存在尚未發現的漏洞外,其在自身網站的安全監控上也應當還存在著一定的、可被利用的缺陷。
在以前的文章中我們曾提到CNN由于未能及時更新它的防毒軟件,遭到了一種“本可以被及時檢測到”蠕蟲病毒的攻擊。“矛”與“盾”永遠都是并存的,不可能出現某一個完全蓋過另一個的情況,只能是或者二者并存、或者二者同消失。也就是說,二次掛馬事件的出現,除了是因為出現了新的“矛”,更是因為“盾”的上面再一次出現了漏洞,給了“矛”以可乘之機。
有則改之,出現了問題并不可怕,怕的是不知道這個問題是如何出現的,怕的是我們不知道如何去防范、避免問題的再次出現。
安全網站它代表的不僅僅是一個公司、一個集團,它更是網絡安全斗爭的最前沿。當它連自身的安全都無法保證時,又讓普通用戶去如何面對日趨危險的網絡世界,又讓普通用戶去如何知道除了自己還有誰能來幫助他抵御網絡威脅的入侵。
當安全網站也被擊倒了,我們還能信任誰!安全網站的安全誰來保證?
相關資料
MS07-004漏洞:是Microsoft公司多個版本的操作系統對矢量標記語言(VML)的支持存在整數溢出,導致可以執行任意指令,使的遠程攻擊者可以利用此漏洞控制用戶機器。
東方衛士:交大銘泰信息安全公司,國內知名信息安全廠商,該公司提供《東方衛士》系列防病毒產品、數據保護、無毒網關產品、防垃圾郵件產品、網絡設備及系統集成和 OEM 定制服務。
