诺顿中国使用者论坛被挂毒

woai_jolin

2007-11-11 10:05:31        HTTP filter        file        http://www.smsunionmm.com/117/MPS.js        JS/Exploit.BO.NAE trojan        connection terminated - quarantined        C3EF58622174424\Administrator        Threat was detected upon access to web by the application: c:\program files\internet explorer\iexplore.exe.
2007-11-11 10:05:27        HTTP filter        file               a variant of Win32/TrojanDownloader.Ani.Gen trojan        connection terminated - quarantined        C3EF58622174424\Administrator        Threat was detected upon access to web by the application: c:\program files\internet explorer\iexplore.exe.

jiejievs

hljdqzr

原帖由 jehovah_king 于 2007-11-11 07:51 发表

备案
诺顿中国使用者 所有版权归美国symantec赛门铁克公司所有,如有侵权,
请及时与我们联系



这是指什么？

我查了一下,这个论坛好像还在备案中,能否给一下那个连接.而且,这里有很多破解诺顿的资源,想来不会出现于官方站点.最后,我冒着枪林弹雨冲了进去,论坛斑竹已认识到问题,正在解决,好像是那个病毒网页连接到了这个论坛上,使服务器的问题.

hljdqzr

原帖由 jiejievs 于 2007-11-11 10:29 发表

友情提示下,纯表情回复是被认为灌水,会被扣分的.呵呵,你还不知道吧?欢迎来到卡饭论坛.

enation

杀软大集合

fang05114

的确是有毒

袋鼠吱吱

诺顿自己不报，只有靠微软补丁。。诺顿啊诺顿，个人版又不稳定又懒惰。。。真成了弱盾

capsshift

来晚了，已经解除了。

bjprogrammer

今日，DSW Lab Avert小组监测到诺顿中国使用者(nortoncn.com)首页被黑客置入病毒。此次挂马事件利用了ANI光标漏洞和和MS06014等漏洞，当计算机有漏洞的用户浏览到受影响页面时，将激活木马链接，自动下载病毒并运行。此病毒会感染非系统盘的所有exe文件，危害较大。   　诺顿中国使用者被嵌入的网页木马域名为www.smsunionmm.com，且近日有多个网站被黑客入侵并被置入此网站的网页木马，超级巡警团队建议大家将此网站屏蔽。
	一、事件分析：
	诺顿中国使用者的首页被黑客以框架的形式嵌入了挂马页面(http://www.smsunionmm.com/***/)。此页面中又以框架的形式内置以下五个网页木马页面，其中001.htm利用ANI光标漏洞挂马，002.htm、003.htm和1.htm利用MS06014漏洞挂马，另外还在1.htm内嵌嵌入了利用百度搜霸和PPStream等漏洞的脚本：   　http://www.smsunionmm.com/***/111/001.htm   　http://www.smsunionmm.com/***/222/002.htm   　http://www.smsunionmm.com/***/333/003.htm   　http://www.smsunionmm.com/***/ok.asp（无法打开）   　http://www.smsunionmm.com/***/1.htm 诺顿中国使用者首页源码截图： 网页木马源码截图： 　　 下载的病毒地址为：http://www.smsunionmm.com/***/1.exe，此病毒会感染非系统盘中的EXE文件，并连接网络下载大量木马并运行。所下木马大部分为Trojan-PSW.Win32.OnLineGames家族的木马。如： 　　    木马程序 Trojan-PSW.Win32.OnLineGames.gxd 文件: 10.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.eop 文件: 11.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.hgw 文件: 12.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.hgx 文件: 13.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.hix 文件: 15.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.gvw 文件: 16.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.hfs 文件: 17.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.hfw 文件: 2.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.hgy 文件: 3.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.gtf 文件: 4.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.hgz 文件: 5.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.hfs 文件: 7.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.hej 文件: 8.exe 　　    木马程序 Trojan-PSW.Win32.OnLineGames.gwy 文件: 9.exe 　　 以上木马运行后将监视用户系统，窃取用户的QQ账号/网游账号等。其中一部分木马做了免杀处理以逃避杀毒软件的查杀。
	二、解决方案 　　     1、推荐安装超级巡警监测查杀以上木马。 　　     2、已经中毒的用户请下载专杀工具查杀病毒修复exe文件， 　　     　 下载地址：http://bbs.sucop.com/thread-13448-1-1.html 　　     3、请广大用户及时打补丁并更新常用应用程序，预防更多漏洞攻击。 　　     4、建议用户不要使用IE内核的浏览器。 　　     5、对于已经中毒用户，建议及时修改自己的QQ/网游账号密码。 　　     6、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽www.smsunionmm.com。

LjhEARTH

并非诺顿官方网的网站服务器被挂马也没什么，网站刚被挂马的前天用着nis个人版一进该网站就报警了，虽然木马还未入病毒库。报警的信息直接指明攻击来源于www.smsunionmm.com。