作者：趋势科技威胁反应工程师Roland Dela Paz

最近网上出现了一个专门以荷兰用户为目标的恶意网站攻击，黑客将一个在荷兰相当受欢迎的新闻网站 nu.nl 攻破，并修改加入了恶意代码，向访问者的电脑传播 SINOWAL 变种病毒。

趋势科技研究员 Feike Hacquebord 指出，考虑到这次攻击的各种特点，似乎是专门针对荷兰用户设计的。除了被入侵的网站是这个国家最流行的网站外，插入在网站中的恶意脚本正好被设置为在荷兰当地时间午餐时段内启动，而这段时间通常是荷兰用户在办公室内通过电脑浏览新闻或上网的时段。

跟据 nu.nl 发表的声明，他们认为攻击者攻击了该网站内容管理系统的一个漏洞，并借此在网站的子域名内植入了两个恶意脚本。

调查结果显示，这个被趋势科技命名为 JS_IFRAME.HBA 的脚本是一种加密脚本，一旦运行就会将用户重定向到另一个包含各种攻击代码的网站。

这个漏洞攻击包被命名为 JS_BLACOLE.HBA，其实也就是以前提到过的 Nuclear 漏洞攻击包。一旦运行，该攻击包会检查系统中是否有任何可利用的软件漏洞，然后下载适用的漏洞攻击码展开攻击。

根据对该攻击包代码进行分析发现，如果电脑中安装有下列版本，并且未打补丁的程序，那么就很容易被成功感染：

•   Adobe Reader，8-9.3之间版本

• Java，5-6之间版本，此外还有5.0.23-6.0.27之间版本

除了上述软件外，Nuclear 漏洞攻击包还可以攻击微软操作系统漏洞，例如 Microsoft Data Access Components（MDAC）、帮助和支持中心，以及微软 Office Web 组件。

漏洞攻击成功后会继续通过网络下载 TROJ_SMOKE.JH，随后下载 SINOWAL变种：TROJ_SINOWAL.SMF。而在感染前，趋势科技就已经可以检测出 SINOWAL 变种了。

TROJ_SINOWAL.SMF 会在被感染系统中收集系统信息，包括：

•   系统的硬盘序号

•   运行中的的进程

•   所有在HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\Uninstall注册过的如案件信息

此外 TROJ_SINOWAL.SMF 还会下载其他组件，以便感染受影响电脑的 MBR 记录。

从趋势科技云计算安全技术所收集的信息显示，目前被感染的电脑大部分都位于荷兰，其他地区受到的影响并不是很严重：

在这起入侵事件被发现后的几个小时内，nu.nl 就恢复正常了。可悲的是，这次入侵事件已经让一些网站访问者感染了 SINOWAL 病毒。因此建议用户检查可能受到感染的电脑，并根据网上公布的说明执行必要的清除步骤。对于我们的用户，趋势科技产品已经可以检测该攻击中所用的相关文件，并可封锁所有恶意域名，这些保护都直接来自趋势科技云计算安全技术。而且 SINOWAL 变种用于传送数据以及进行远程控制所用的服务器也已经被趋势科技所封锁。

＠原文出处：Dutch Users Served SINOWAL for Lunch

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！