南方周末主站被挂马分析
来源:超级巡警 2011年3月27日超级巡警安全中心26号检测到南方周末主站被黑客恶意挂马,黑客试图利用CVE-2010-1423漏洞(根据分析,发现还有另一个网马地址,可是地址已经失效),对浏览网页的用户进行攻击。一旦攻击成功,黑客将获得该用户系统的完全控制权。
一、挂马分析
hxxp://www.infzm.com/
hxxp://images.infzm.com/js/assemble.js
hxxp://www.skwndb.org/cls/index.htm(失效)
hxxp://180.178.42.246/java/jre.htm(CVE-2010-1423)
hxxp://180.178.42.246/java/hello.jar
hxxp://www.cfajax.com/tmp/p.exe
hxxp://images.infzm.com/js/com/infzm/topic/index.js
hxxp://images.infzm.com/medias/2011/0314/42917.swf
hxxp://servedby.adsfactor.cn/adj.php?ts=&sid=83470461250
hxxp://www.google-analytics.com/urchin.js
二、漏洞描述
CVE-2010-1423
运行在windows及linux操作系统下的Java开发工具包及Java NPAPI插件URL参数存在变量注入漏洞,攻击者通过javaws.exe文件的(1) -J (2) -XXaltjvm 参数执行任意代码。
受影响系统或软件:
oracle,jdk,1.6.0,update_10
oracle,jre,1.6.0,update_10
oracle,jdk,1.6.0,update_19 以及更早的版本
oracle,jre,1.6.0,update_19 以及更早的版本
在此次攻击中,分析发现,攻击者利用了常规的CVE-2010-1423攻击代码,下图分别是储存jar包的解析代码(图1)和木马的存放地址(图2)。
http://www.sucop.com/uploadfiles/image/20110328/1.jpg
图1
http://www.sucop.com/uploadfiles/image/20110328/2.jpg
图2
三、事件总结
分析发现,此次的攻击南方周末的是经验丰富的黑客,不但将目标瞄向了用户量颇大的主流媒体主站,使攻击的成功率大大的提高。并且,采用了类似DNS劫持的攻击方式,让使用不同DNS的用户登陆网页,获取到的数据不同,增加了自身的隐蔽性,同时也增加了病毒分析人员分析的难度。截止目前为止,南方周末依然没有解决挂马问题。
目前畅游精灵已经可以完美拦截该网马的攻击,超级巡警云查杀可以有效识别该木马。超级巡警安全中心提醒用户安装畅游精灵和超级巡警,对木马进行有效的拦截。对于已经中毒的用户,巡警安全中心建议您立刻使用超级巡警云查杀进行有效的木马查杀,以此保证自己的系统的安全。
http://www.sucop.com/uploadfiles/image/20110328/3.jpg
超级巡警云查杀识别该木马
同时,我们希望广大的主流媒体网站在做好传媒工作的同时,也应该对自己的网站进行实时的安全监控,给用户一片安全的天空。
页:
[1]