一、事件分析:
今日,DSW Lab Avert小组监测到网络广告商麒润网(keyrun.com),其提供的广告链接中被插入木马,
麒润网的用户和合作伙伴会在网页中插入类似如下的代码来增加广告条:
| 以下为引用的内容: ;//<script>document.write('<iframe src="http://u.keyrun.com/k.html?id=1111" marginheight=0 marginwidth=0 frameborder=0 scrolling=no height="60" width="468" ></iframe>');</script> |
在该被引用的广告条中,被嵌入<iframe src=../../指令,打开一个恶意网站
| 以下为引用的内容: http://*****.cn/admin/help.htm width=0 height=0 frameborder=0></iframe> |
该页面利用IE漏洞下载了一个名为HELP.EXE的文件,为:Trojan-PSW.Win32.Delf.qc
| 以下为引用的内容: http://*****.cn/template/basic/gg.exe http://*****.cn/template/basic/zz.exe http://*****.cn/template/basic/gm.exe http://*****.cn/template/basic/wl.exe http://*****.cn/template/basic/mh.exe |
木马运行后,将监视用户系统,窃取用户的QQ账号/网游账号等。
二、木马分析:
在该链下载生成的木马文件高达20多个:
| 以下为引用的内容: 文件:gm.exe 病毒:Trojan-PSW.Win32.OnLineGames.jj 文件:help.exe 病毒:Trojan-PSW.Win32.Delf.qc 文件:mh.exe 病毒:Trojan-PSW.Win32.OnLineGames.jj 文件:ms.exe 病毒:Trojan-PSW.Win32.OnLineGames.es 文件:avp.exe 病毒:Trojan-PSW.Win32.OnLineGames.ez 文件:cmdbcs.dll 病毒:Trojan-PSW.Win32.OnLineGames.lc 文件:cmdbcs.exe 病毒:Trojan-PSW.Win32.OnLineGames.lc 文件:iexpl0re.exe 病毒:Trojan-PSW.Win32.OnLineGames.jl 文件:ldmedia3.dll 病毒:Trojan-PSW.Win32.OnLineGames.aa 文件:LgSy0.dll 病毒:Trojan-PSW.Win32.OnLineGames.ez 文件:mppds.dll 病毒:trojan-PSW.Win32.OnLineGames.es 文件:mppds.exe 病毒:trojan-PSW.Win32.OnLineGames.ea 文件:qq.exe 病毒:Trojan-PSW.Win32.OnLineGames.ed 文件:system2.jmp 病毒:Trojan-PSW.Win32.OnLineGames.es 文件:system2.jmp 病毒:Trojan-PSW.Win32.OnLineGames.ec 文件:SystemKb.sys 病毒:Trojan-PSW.Win32.OnLineGames.ej 文件:upxdnd.dll 病毒:Trojan-PSW.Win32.OnLineGames.jj 文件:wsttrs.dll 病毒:trojan-PSW.Win32.OnLineGames.es 文件:wsttrs.exe 病毒:Trojan-PSW.Win32.OnLineGames.jj 文件:zz.exe 病毒:Trojan-PSW.Win32.OnLineGames.ek 文件:Ghook.dll 病毒:Trojan-PSW.Win32.OnLineGames.ea 文件:svchost.exe 病毒:Trojan-PSW.Win32.OnLineGames.ec |
文件:gg.exe 病毒:Trojan-PSW.Win32.OnLineGames.jj
以下为引用的内容:
|
