恶意网址2117966.net分析及解决方案
一、恶意网站2117966.net分析:
3月14日的网络攻击中,大部分网址被插入了这个脚本:http://www.2117966.net/******.js。该脚本中内嵌网页木马http:\\count.lljy.org\*,http:\\count.lljy.org\*内置有5个网页木马,一个统计脚本和另外一个恶意挂马网页。
http:\\count.lljy.org\*页面截图:
http:\\count.lljy.org\*页面
5个网页木马明分别利用MS06014系统漏洞、MS06067系统漏洞、MS07004系统漏洞、RealPlayer ierpplug.dll ActiveX控件播放列表名称栈溢出漏洞和Yahoo! Music Jukebox AddImage函数ActiveX远程栈溢出漏洞试图在用户机器上置入木马Worm.Win32.AutoRun.das,木马地址:http://count.lljy.org/*/a.exe。另外一个恶意挂马网页利用了同样的五个漏洞试图在用户机器上置入木马Trojan-PSW.Win32.OnLineGames.uzi,木马地址:http://biej8fanwo.a141.71one.com/***/wow.exe。值得一提的是,此次挂事件的网页木马中大量使用了Cuteqq作为变量名,此变量名为暗黑网马常用的变量名。
暗黑网马生成器截图:
暗黑网马生成器
二、Worm.Win32.AutoRun.das分析:
病毒标签:
病毒名称:Worm.Win32.AutoRun.das
病毒别名:无
病毒类型:蠕虫
危害级别:3
感染平台:Windows
病毒大小:25,485(字节)
MD5:B7A14F272EA455E969125CA7B01B2E83
加壳类型:FSG v2.0 -> bart/xt
开发工具:Delphi
病毒行为:
1.复制%System%\urlmon.dll为%System%\XFlower.dll。
2.拷贝自身到以下路径:
%System%\drivers\disdn\Flower.exe
%System%\Flower.exe
4.下载木马并运行。木马地址:
http://count.lljy.org/*/myself.exe
http://count.lljy.org/*/servstr.exe
http://count.lljy.org/*/8.exe
三、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
手工清除方法:
1.使用超级巡警暴力删除工具直接杀死该病毒。
2.修复文件映象劫持。打开超级巡警,点工具,选择系统修复,选中修复映象劫持,修复即可。
3.建议用户使用超级巡警的恶意网站屏蔽功能屏蔽count.lljy.org、www.2117966.net和biej8fanwo.a141.71one.com。
四、安全建议
1.立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2.根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3.使用超级巡警的补丁检查功能,及时安装系统补丁及第三方应用程序补丁。
4.及时更新常用软件,尤其是聊天工具。
5.不要使用IE内核的浏览器。
6.不要随便打开不明来历的电子邮件,尤其是邮件附件。
7.不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。建议使用超级巡警屏蔽恶意网站。
8.不要轻易打开即时通讯工具中发来的链接或可执行文件。
注意:
%System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
