【IT专家网独家】5月12号,四川汶川发生特大地震以来,无数的中国人民为在地震中死去的亲人而悲痛。成千上万的中国人民向灾区献出了援助之手,捐钱捐物,同时部分网民选择通过网络来表达他们的祝福和悲伤。不幸的是,在如此悲伤的气氛下,一些穷凶极恶的人正在借地震灾难来牟取私利。
地震后的数周内,总部设在成都的赛门铁克安全响应小组发现一个用来纪念地震中失去生命的哀悼页面(www.85163.cn/q,已删除),被攻击者插入恶意的IFRAME代码。
这些恶意代码指向攻击者制定的URL并打开执行。在这个攻击页面中包含的JavaScript代码将试图利用包含如下的众多漏洞:
(BID 25751) Xunlei Web Thunder ActiveX Control DownURL2 Method Remote Buffer Overflow Vulnerability
(BID 25121) Baidu Soba Search Bar BaiduBar.DLL ActiveX Control Remote Code Execution Vulnerability
(BID 26130) RealPlayer ierpplug.dll ActiveX Control Import Playlist Name Stack Buffer Overflow Vulnerability
(BID 28157) RealNetworks RealPlayer 'rmoc3260.dll' ActiveX Control Memory Corruption Vulnerability
(BID 17462) Microsoft MDAC RDS.Dataspace ActiveX Control Remote Code Execution Vulnerability
(BID 29118) Ourgame 'GLIEDown2.dll' ActiveX Control Remote Code Execution Vulnerability
一旦一台计算机被攻陷,它将从一个特殊的WEB域中自动下载一个附加的TXT文件。这个文件内容包含了35个指向其他可执行文件的URL列表,这些文件存在于另外的WEB域服务器中。这些威胁将尝试去下载并执行所有URL所连接的恶意代码。所有已下载的文件会尝试去获取用户的在线游戏帐号,赛门铁克将其命名为Infostealer.Gampass.
这些攻击事件表明,攻击者并不会估计用户的感情,用户必须时刻保持警惕,尤其当用户正处于脆弱群体时。本文中提到的安全漏洞列表都是真实存在的,恶意代码可以影响并利用这些漏洞来突破用户的安全防线。在这种情况下,希望用户可以浏览可信赖的网站。总之,用户需要确保计算机已经修补了最新补丁,同时反病毒软件和个人防火墙升级的及时升级也是十分必要的。
更多的恶意代码相关参考:
Downloader
http://www.symantec.com/security_response/writeup.jsp?docid=2002-101518-4323-99
Backdoor.Trojan
http://www.symantec.com/security_response/writeup.jsp?docid=2001-062614-1754-99
Infostealer.Gampass
http://www.symantec.com/security_response/writeup.jsp?docid=2006-111201-3853-99
IT专家网原创文章,未经许可,严禁转载!
