卡饭论坛挂马事件分析

a445441

超级巡警安全中心于昨天晚上23时13分检测到国内知名计算机反病毒安全论坛—卡饭论坛(hxxp://www.kafan.cn)遭到恶意攻击，攻击者对网站首页嵌入了恶意的HTML代码，利用了CVE-2010-0806和CVE-2011-0609漏洞对浏览网页的用户进行攻击，一旦攻击成功，攻击者将获得被攻击用户操作系统的最高权限。

一、事件分析：
在2011年5月11日，超级巡警安全中心已经检测到卡饭论坛中带有恶意代码:

[root]hxxp://bbs.kafan.cn/home/zt/content.php?listrj=43&rjid=7845107
    [script]hxxp://www.game163.in/js/rj.js
        [iframe]hxxp://www.game163.in/baike/rj.htm
            [script]hxxp://event.youku.com/dabao/public/images/btn/time.js
                 [exp]hxxp://www.game163.in/baike/rj.html[CVE-2010-0806]
                     [virus]hxxp://www.game163.in/d/rj1.exe
      根据分析发现，5月11日的攻击，攻击者并没有能将恶意的代码直接写入论坛网页中，而是在卡饭内嵌的广告页面中植入了恶意代码，即便如此，也已经有大量的用户中招。
        
      然而此次的攻击，攻击者却直接将恶意代码写在了hxxp://bbs.kafan.cn的首页，可见攻击者已经获得了卡饭论坛的权限。相比上次的攻击，此次攻击面更广，受害用户更多。如果在没有打补丁的情况下登陆卡饭论坛，立即就会中马。下图即为网页中的恶意代码，划红线部分即为挂马地址：




前天 15:55 上传下载附件 (47.57 KB)


                                                                                           图一



二、漏洞描述:
      CVE-2010-0806  综述：
      ======
      Microsoft IE是微软Windows操作系统自带的浏览器软件。  IE在处理非法的对象操作时存在内存破坏漏洞，远程攻击者可能利用此漏洞通过诱使用户访问恶意网页在用户系统上执行指令，从而完全控制用户系统。
      受影响系统：
      ==========================
      Microsoft Internet Explorer 7.0
      Microsoft Internet Explorer 6.0 SP1
      Microsoft Internet Explorer 6.0   

      CVE-2011-0609 综述：
      ======
      Flash Player是一款非常流行的FLASH播放器。  Adobe Flash Player在SWF文件的实现上存在远程内存破坏漏洞，攻击者可以将有漏洞的SWF文件嵌入到XLS、PDF、HTML中进行攻击，利用这些漏洞在受影响应用程序中执行任意代码，获取到用户系统权限

      受影响系统：
      ===========================
      Adobe Acrobat Adobe Acrobat 10.0.1
      Adobe Acrobat 9.x Adobe Acrobat 8.x
      Adobe Flash Player 10.x Adobe Reader 9.x
      Adobe Reader 10.0.1 Adobe Reader 10.0


三、 挂马分析

     [root]hxxp://www.kafan.cn
         [root]hxxp://ads31.3322.org:8832/FM01/index.html
              [exp]hxxp://ads31.3322.org:8832/FM01/ff.htm(CVE-2010-0806)
                  [script]hxxp://ads31.3322.org:8832/FM01/ap.js
                        [virus]hxxp://58.221.36.199:8832/xx/fm01.css
              [exp]hxxp://ads31.3322.org:8832/FM01/fl.htm(CVE-2011-0609)
                   [flash]hxxp://ads31.3322.org:8832/FM01/nb.swf
                         [virus]hxxp://58.221.36.199:8832/xx/fm01.css

      此次攻击，攻击者利用了去年以来挂马者常用的CVE-2010-0806漏洞和今年新爆出的CVE-2011-0609漏洞。攻击者对攻击代码进行了加密，导致大量的反病毒软件无法第一时间发现病毒文件。特别是CVE-2011-0609是一个FLASH利用漏洞，攻击者将恶意代码写入FALSH的Action Script3脚本中，而Action Script脚本经过编译嵌入SWF文件中，这无疑增大了反病毒软件的对这种恶意文件的侦测难度。目前，畅游巡警可以完美拦截两种漏洞的攻击。
图二、图三为分别为CVE-2010-0806和CVE-2011-0609的攻击代码和解密之后的网马地址：




前天 15:55 上传下载附件 (26.06 KB)


                                                                                图二(CVE-2010-0806)






前天 15:55 上传下载附件 (27.34 KB)


                                                                               图三(CVE-2011-0609)



四、病毒分析:
       攻击者将木马伪装成一个CSS文件上传到服务器，超级巡警安全中心分析发现这实际是一款木马下载者。当木马进入用户系统后，会结束各大杀毒软进程，修改用户HOST文件，阻止用户对反病毒网站的访问。然后下载大量的木马，最后彻底侵占用户电脑。

病毒相关信息：
病毒标签：
      病毒名称：Trojan-Downloader.Win323.Geral.vnk       病毒别名：
      病毒类型：下载者
  　 危害级别：4
  　 感染平台：Windows
      病毒大小：28,672 bytes
  　 S H A 1  ： d829d35856c17931a66ec29142309eb934503558
      加壳类型：UPX
      开发工具： MASM32

病毒行为：
     1）释放病毒副本：
       %System%68.exe  
       %System%\drivers\pcidump.sys
        %Temp% \67.dll
        
     2）加载驱动文件pcidump.sys，创建系统服务；

     3）遍历各大反病毒软件进程，并强行结束结束他们：
             RavMonD.exe、360.rp.exe、360sd.exe、kavstart.exe、avp.exe、egui.exe、ekrn.ee、RsTray.exe  ；

     4）连接网络，从hxxp://ad.wdtx.net:72/hosts.txt获取HOST文件，并修改系统HOST文件，让用户无法访问HOST文件中的反病毒网站；

     5）连接网络，hxxp://Count.wemv.net:88/Count.asp，做成功植入木马的统计；
     6）设置% HOMEPATH%\ Local Settings为隐藏属性，用来隐藏自身；
     7）下载大量木马，其中包括各种盗号木马和广告软件：
                hxxp://ro.efok.info:88/Le10.js  
                hxxp://ro.efok.info:88/Le11.js
                hxxp://ro.efok.info:88/Le12.js
                hxxp://ro.efok.info:88/Le13.js
                hxxp://ro.efok.info:88/Le14.js
                hxxp://ro.efok.info:88/Le15.js
                hxxp://ro.efok.info:88/Le16.js
                hxxp://ro.efok.info:88/Le17.js
                hxxp://ro.efok.info:88/Le18.js
                hxxp://ro.efok.info:88/Le19.js
                hxxp://ro.efok.info:88/Le20.js
                hxxp://ro.efok.info:88/Le21.js
                hxxp://ro.efok.info:88/Le22.js
                     hxxp://rpg.2288.org/360rpg.exe

五、实践总结：
      可以看出，此次的攻击者比5月11日的攻击者拥有更高的技术水平，在网页攻击方面，不但采用常用的CVE-2010-0806漏洞进行攻击，还是用了较新的CVE-2011-0609 FLASH漏洞进行攻击。而且攻击中采用了新式的网马加密技术，可以逃脱大量杀毒软件的查杀。对于木马，攻击者也并没有直接放上盗号木马，而是采用下载者的方式进行木马攻击。此下载者不但具有普通下载者体积小，穿透力强、不易发现的能力，而且还能加载驱动，强制关闭杀毒软件，屏蔽反病毒网站的功能。这给用户的防御和查杀都带来极大的困难。
不但越来越多的政府网站受到攻击，而且现在类似卡饭这种反病毒网站也受到了前所未有的挑战。超级巡警数据中心同时发现，今年以来，有80%以上的挂马攻击源头都来自于第三方的域名提供商。反病毒网站和第三方域名提供商应该在保证用户安全的同时，对自身的安全也进行定时的检查，给用户一片放心上网的空间。
超级巡警安全中心提醒用户，安装超级巡警，及时给系统打全补丁。在您上网冲浪的时候，也请启动畅游精灵，对你的上网环境给予十足的保护。目前超级巡警云查杀已经可以对该类木马进行完美查杀，如果您登陆了卡饭论坛，那么也许你已经中毒了，请尽快使用超级巡警云查杀对系统进行彻底的清查，还系统一片干净的空间。

a445441

cxl81514

说真的！看不懂！
不过很生气！竟然有人攻击卡饭

wuyongliang

确实很生气  害的我好几天都登陆不上  。

XMonster

转的吧

瓜皮猫

dm34343667 发表于 2011-5-28 15:33
转的吧

超级巡警分析的好像。昨天早上我就看到这个分析了。。。

XMonster

三生缘石 发表于 2011-5-28 15:36
超级巡警分析的好像。昨天早上我就看到这个分析了。。。

内容大部分是转的，，，

gikouhaku

后悔当初没转帖啊

瓜皮猫

dm34343667 发表于 2011-5-28 15:38
内容大部分是转的，，，

http://www.sucop.com/news/2011052601.html

晋文2009

看了下病毒的主要行为，HIPS用户表示没压力