安全警钟 挂马网站页面分析及防范

;据调查表明百分之九十以上的病毒传播途径都是以网页木马为主,其实网页木马就是将木马和网页结合在一起,打开网页的同时也会运行木马 。最初的网页木马原理是利用IE 浏览器的ActiveX控件,运行网页木马后会弹出一个控件下载提示,只有点击确认后才会运行其中的木马。后来IE浏览器被发现了MS06-014漏洞,此漏洞可以制作一个绝对隐蔽的网页木马在运行的时候没有丝毫提示,因此隐蔽性极高 。网页木马分析
考虑到安全问题,此处在分析木马的时使用了影子系统,详情请查看:www.powershadow.com 官方网站下载最新版 。
一、网页快速弹过播放器
首先启动影子系统并切换到全盘保护模式,然后访问带病毒的网址:http://games.enet.com.cn/article/A6720071227003_6.html#showpic,刚发现其网站的游戏资讯部分网页存在木马,当访问http://games.enet.com.cn/article/A6720071227003_6.html#showpic页面时,浏览器突然卡住造成页面停顿,过了一会有一个播放器页面一闪而过(注:由于太快没法截图),但通过查看页脚发现如下图一
经验分析应该是一个JS文件套用的网马,此时查看源代码找到其中的JS下载分析,其中:/zhuanti/gallery/includes/showing.js 引起注意 。图二
将其下载下来查看里面内容如下:图三
>/p> 二、病毒下载地址源码
其关键在:http://www.loveyoushipin.com//pic//695.htm网址,很显然 是网马,此时使用下载软件把695.htm下载回来 得到源码如图四
下载http://www.loveyoushipin.com/14.htm得到源码如图五
下载http://www.loveyoushipin.com/web.htm得到源码如图六
图七
三、利用漏洞下载病毒木马
分析其源代码得知页面中包含有多个网页木马以及两个统计链接 。网页木马所利用到的漏洞有: RealPlayer ierpplug.dll ActiveX控件播放列表名称栈溢出漏洞、系统漏洞 MS06-014、PPStream; PowerPlayer.DLL ActiveX 控件栈溢出漏洞、联众ConnectAndEnterRoom ActiveX控件栈溢出漏洞、超星阅览器Pdg2 ActiveX控件栈溢出漏洞、迅雷ActiveX控件DownURL2方式远程缓冲区溢出漏洞、Web迅雷 ThunderServer.webThunder.1控件任意文件下载漏洞、百度超级搜霸BaiduBar.dll ActiveX控件远程代 码执行漏洞等 。当计算机有漏洞的用户浏览到被挂马的页面后将在后台自动下载木马并运行,解密后发现下载http://www.loveyoushipin.com/vv.exe文件后,该木马会连接网络获取一个文本文件,并根据其中的地址从mmpp.lovemmll.cn站点下载大量的木马并运行 。其木马大部分为Trojan-PSW.Win32.OnLineGames家族的木马,通过巡警的启发预警功能监听VV.EXE(下载者)图八
得出其分别下载:vv0.exe、vv1.exe、vv2.exe、vv3.exe、vv4.exe、vv5.exe、vv6.exe、vv7.exe、vv8.exe、 vv9.exe、vv10.exe、vv11.exe、vv12.exe、vv14.exe、vv15.exe、vv16.exe、vv17.exe、vv18.exe、 vv19.exe、vv20.exe、vv21.exe、xx.exe、vv23.exe等可执行程序,以上木马运行后将监视用户系统,窃取用户的QQ账 号/网游账号等,其中一部分木马还做了免杀处理以逃避杀毒软件的查杀 。
网马防范
网页木马的运行原理利用了IE浏览器的漏洞,正常情况下只要及时更新系统补丁就可以让网页木马失效了,但是由于现在镶入IE的插件越来越多,比如:迅雷、百度搜霸 、暴风影音等常用软件相继爆出漏洞,因此单单为系统打入补丁是不够的,还需做好下列两点:
一、打开系统自动更新功能:右键点击"我的电脑",选择"属性",切换到"自动更新"标签,选中其中的"自动(推荐)"即可。如图九
二、清楚多余浏览器插件:使用金山清理专家清楚多余浏览器插件,在线系统诊断----浏览器修复----隐藏所有已知安全项 --勾选所有---点击修复选择项如:图十

推荐阅读