【新朋友】点击标题下面蓝字「皮鲁安全之家」关注 【老朋友】点击右上角,分享或收藏本页精彩内容 【公众号】搜索公众号:皮鲁安全之家,或者ID :piluwill
从8月初开始,360安全卫士监测到沉寂已久的CVE-2014-6332漏洞挂马忽然“重出江湖”,全国有数十款软件和网站出现此漏洞挂马攻击,其中还包括用户量上亿的音乐播放器软件。
此漏洞挂马之所以会大规模爆发,根本原因是有广告联盟投放了包含恶意代码的广告,“带毒广告”便会随机展示在加入联盟的数十家网站和软件客户端上,试图触发微软CVE-2014-6332漏洞自动下载和运行木马,主要影响2014年已停止补丁更新的Windows XP系统。据统计,近期360安全卫士“XP盾甲”对此漏洞挂马的拦截量日均超过10万次。目前360已通报被挂马的软件厂商,提醒对方尽快清除恶意广告。
挂马分析
以下就是“带毒广告”的样式,表面上只是申请信用卡,暗地里却在寻找系统中的安全漏洞进行攻击。
通过对广告代码分析,可以发现它带有CVE-2014-6332漏洞的攻击代码,没有安装相应补丁或开启360安全防护的电脑会受到影响。
漏洞触发之后,会通过命令行在本地写入一个vbs脚本,是一个典型的下载者:
展开全文
脚本功能很简单,执行之后,下载一个名为dd8_date.exe的下载者木马。该木马带有反虚拟机的功能,意图逃避一些自动检测工具。
木马开始运行,它的作用是访问黑客指定的一个地址去下载安装各种推广软件。
下载器的云控地址在 m.020kangfu.com/s.ini
攻击者对云控配置也做了加密处理:
不过,可以从木马样本中找到解密的key与解密方法
之后解出来的结果包括推广的软件列表,url列表,检测的环境列表等。图中显示的是界面出来的环境检测列表,包括是否是虚拟机,安装的杀毒软件情况,是否是网吧环境等:
再之后木马开始真正工作,修改受害者浏览器首页:
进行打点统计和软件推广等。
木马强制在受害者电脑安装软件以赚取推广费用,推广的软件包括金山桌面、QQ电脑管家、瑞星杀毒等。不良渠道利用非法手段进行推广获利,这是长期困扰中国网民的顽疾,希望各大软件商严格规范渠道行为,尽量避免此类情况发生。对于严重侵害网民权益的不良渠道,应使用法律武器严厉打击。
安全建议
近年来客户端挂马事件频繁发生,主要是广告联盟的审核机制存在疏漏,恶意代码得以趁虚而入。对此软件客户端应加强对广告代码的审核。
对普通用户来说,应及时安装Windows和Adobe Flash Player等系统和常用软件补丁,切莫被“打补丁会拖慢电脑”的谣言误导,这样就可以自动免疫黑客针对已知漏洞的挂马攻击。已经停止安全更新的Windows XP系统,应安装使用具备漏洞防护能力的360安全卫士“XP盾甲”,能够把木马入侵的风险降到最低。
本文由 安全客 原创发布
回复
获得以下图文等信息
论坛
可进入微论坛畅谈
任意
官方机器人陪聊
首页
查看技术文档(逐步更新中)
留言
进入留言板
相册
国内外大牛真容
