dragon1030 2008-6-13 13:46
中国地震引发的Web安全余震
5月12号,四川汶川发生特大地震以来,无数的中国人民为在地震中死去的亲人而悲痛。成千上万的中国人民向灾区献出了援助之手,捐钱捐物,同时部分网民选择通过[url=http://networking.ctocio.com.cn/]网络[/url]来表达他们的祝福和悲伤。不幸的是,在如此悲伤的气氛下,一些穷凶极恶的人正在借地震灾难来牟取私利。
地震后的数周内,总部设在成都的赛门铁克[url=http://security.ctocio.com.cn/]安全[/url]响应小组发现一个用来纪念地震中失去生命的哀悼页面([url]www.85163.cn/q[/url],已删除),被[url=http://whatis.ctocio.com.cn/searchwhatis/308/7333808.shtml]攻击[/url]者插入恶意的IFRAME代码。
这些恶意代码指向攻击者制定的[url=http://whatis.ctocio.com.cn/searchwhatis/125/5949125.shtml]URL[/url]并打开执行。在这个攻击页面中包含的JavaScript代码将试图利用包含如下的众多漏洞:
(BID 25751) Xunlei Web Thunder ActiveX Control DownURL2 Method Remote Buffer Overflow Vulnerability
(BID 25121) Baidu Soba Search [url=http://whatis.ctocio.com.cn/searchwhatis/228/5946728.shtml]Bar[/url] BaiduBar.DLL ActiveX Control Remote Code Execution Vulnerability
(BID 26130) RealPlayer ierpplug.dll ActiveX Control Import Playlist Name Stack Buffer Overflow Vulnerability
(BID 28157) RealNetworks RealPlayer 'rmoc3260.dll' ActiveX Control Memory Corruption Vulnerability
(BID 17462) [url=http://whatis.ctocio.com.cn/searchwhatis/251/5948751.shtml]Microsoft[/url] MDAC [url=http://whatis.ctocio.com.cn/searchwhatis/26/6093526.shtml]RDS[/url].Dataspace ActiveX Control Remote Code Execution Vulnerability
(BID 29118) Ourgame 'GLIEDown2.dll' ActiveX Control Remote Code Execution Vulnerability
一旦一台计算机被攻陷,它将从一个特殊的WEB[url=http://whatis.ctocio.com.cn/searchwhatis/194/7352194.shtml]域[/url]中自动下载一个附加的TXT文件。这个文件内容包含了35个指向其他可执行文件的URL列表,这些文件存在于另外的WEB域[url=http://server.ctocio.com.cn/]服务器[/url]中。这些威胁将尝试去下载并执行所有URL所连接的恶意代码。所有已下载的文件会尝试去获取用户的在线游戏帐号,赛门铁克将其命名为Infostealer.Gampass.
这些攻击事件表明,攻击者并不会估计用户的感情,用户必须时刻保持警惕,尤其当用户正处于脆弱群体时。本文中提到的安全漏洞列表都是真实存在的,恶意代码可以影响并利用这些漏洞来突破用户的安全防线。在这种情况下,希望用户可以浏览可信赖的网站。总之,用户需要确保计算机已经修补了最新补丁,同时反病毒软件和个人防火墙升级的及时升级也是十分必要的。
[b]更多的恶意代码相关参考[/b]:
Downloader
[url]http://www.symantec.[url=http://whatis.ctocio.com.cn/searchwhatis/307/5947307.shtml]com[/url]/security_response/writeup.jsp?docid=2002-101518-4323-99[/url]
[url=http://whatis.ctocio.com.cn/searchwhatis/204/5946704.shtml]Backdoor[/url].Trojan
[url]http://www.symantec.com/security_response/writeup.jsp?docid=2001-062614-1754-99[/url]
Infostealer.Gampass
[url=http://www.symantec.com/security_response/writeup.jsp?docid=2006-111201-3853-99][color=#0000ff]http://www.symantec.com/security_response/writeup.jsp?docid=2006-111201-3853-99[/color][/url]
yuanlaini 2008-6-27 12:06
这个攻击者有点儿操蛋..
wglin1228b1390 2008-7-2 14:44
同意2L的同志!!!