新浪、搜狐汽车频道多页面带毒
一些挂马页面地址:(用 xx 已防误点连接)
hxxp://price.auto.sohu.com/Bitauto_Search/search/VendorCommend.aspx
hxxp://bj.auto.sohu.com/
hxxp://jn.auto.sohu.com/
hxxp://ucar.auto.sohu.com/
hxxp://price.auto.sohu.com/
hxxp://price.auto.sohu.com/dealer/sohu-sjkx/index.shtml
hxxp://auto.sohu.com/gouchezixun.shtml
hxxp://buycar.auto.sina.com.cn/
hxxp://buycar.auto.sina.com.cn/Bitauto_Search/search/VendorCommend.aspx
hxxp://buycar.auto.sina.com.cn/aspnet_client/system_web/1_1_4322/WebUIValidation.js
这些页面都引用了恶意网页:
hxxp://admince.ce.net.cn/07pk/htm.htm
hxxp://admince.ce.net.cn/tat/wolf.htm。
目前,上面2个恶意网页都利用MS06-014下载执行hxxp://admince.ce.net.cn/tat/1.exe。
1.exe是个盗QQ号的木马(Trojan/PSW.QQPass.pmu)。运行后,将创建下列文件:
%WinDir%\netsvr32.exe, 38544字节
%WinDir%\systask.dll, 12939字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"StubPath" = %WinDir%\netsvr32.exe
修改.com文件关联:
[HKEY_CLASSES_ROOT\comfile\shell\open\command]
"" = c:\windows\netsvr32.exe %1 %*
新浪、搜狐两家网站的汽车频道同时挂马,可能是因为他们委托了同一家内容提供商(易车网?)来维护各自的汽车频道。挂马的事实说明,这种外包式的服务需要安全检验。类似的挂马现象已经出现过多次了,比如以前的51.la计数器脚本挂马牵连N家网站的事。
百度快照页面不安全
百度快照类似于Google的网页快照,在"无法打开某个搜索结果, 或者打开速度特别慢"的情况下,通过访问快照可以解决问题。一个接踵而来的问题是,如果原页面被挂了木马,访问快照页面时会不会中毒?答案是肯定的,至少目前是这样的。
今天收集到的几个挂马报告,证明百度快照显然没有过滤原页面代码中类似"iframe"这样的危险标签(抓图),而的确有用户通过访问快照页面而下载了恶意脚本。
至于示例快照页面地址,我也先给出3个(普通用户不要访问),不过相信它们很快会被删除或更新了
(1) hxxp://cache.baidu.com/c?word=%C3%F1%B9%FA%3B%CE%E5%C4%EA%2C%D2%BC%3B%B7%D6&url=http%3A//www%2Edashoucang%2Ecom/bbs/dispbbs%2Easp%3Fboardid%3D67%26id%3D29499&p=b462c64ad5c916e508e29778114d93&user=baidu
(2) hxxp://cache.baidu.com/c?word=%CD%F5%3B%CE%AC%3B%B5%C4%3B%C9%BD%CB%AE%3B%CA%AB&url=http%3A//www%2Edayuwen%2Ecom/Article/jiaoyuwenzhai/qita/200611/54015%2Ehtml&p=8d66c64ad5c81eff57ee933561059c&user=baidu
(3) hxxp://cache.baidu.com/c?word=%BB%C6%3B%CA%B7%3B%B5%A4&url=http%3A//www%2Etyswx%2Ecom/archiver/%3Ftid%2D20842%2Ehtml&p=ce34c54ad5c552b10be2973b4f5e&user=baidu
通过简单的分析发现,有些被黑网站在发现自己页面挂马后迅速删除了恶意代码,但它的快照却没那么快更新,仍然带毒。Alexa对Baidu.com的分析数据显示,快照占了百度大约1%的流量,乘以每天数以亿计的基数,百度快照也有几百万的日访问量。这足以成为一个不能忽视的安全隐患。希望官方能够改进快照的安全性,比如先从过滤掉iframe做起。
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
