惠州政府网挂马分析报告

惠州政府网挂马分析报告

超级巡警安全中心检测到官方网站中国惠山网被挂马，黑客利用CVE-2011-0609的漏洞（根据分析，发现还有另一个网马地址，可是地址已经失效），对浏览网页的用户进行攻击。一旦攻击成功，黑客将获得该用户系统的完全控制权。

二、挂马分析

[root] hxxp:///website/101064/news/3580.html

[iframe] hxxp:///dan/inc/in.html

[iframe] hxxp:///dan/inc/flash11.htm （已失效）

[iframe] hxxp:///dan/inc/Vip.htm （CVE-2011-0609）

[exe] hxxp:///xz/1.exe

三．漏洞描述

这个漏洞存在于以下平台版本：Windows、Mac、Linux和Solaris平台最新Adobe Flash Player 10.2.152.33版本以及更早版本,Chrome谷歌浏览版Flash Player10.2.154.18以及更早版本；Android版Flash Player 10.1.106.16及更早版本；Windows和Mac平台包含authplayl.dll组件的Adobe Reader/Acrobat X（10.0.1）及更早版本。

下图为被挂马也网马页地址（图一）及解密后的内容（图二）：

图一

图二

四、病毒分析

病毒相关分析：

病毒标签：

病毒名称：Trojan-GameThief.Win32.Magania.efrt

病毒别名：

病毒类型：盗号木马

危害级别：4

感染平台：Windows

病毒大小：23,952 bytes

SHA1 : 8c6234b6bbdd7db541d7f81ca259d7ca67a7dbda

加壳类型：伪装UPX壳

开发工具：Delph

病毒行为：

1)释放病毒副本：

释放31009125n31.dll到%Temp%下； (n31前的数字为随机数字)

释放30680437n31.dll 到%Temp%下并设置系统,隐藏属性；(n31前的数字为随机数字)

释放ctfmon.exe 到%SystemRoot%下；

2)遍历以下进程，并结束他们来进行自我隐藏：

360rp.exe,360sd.exe,360tray.exe,avp.exe,ravmond.exe

3)遍历以下QQ西游的主进程，以便游戏重启时截获用户账号密码：

QQ西游.exe,qy.exe,qqlogin.exe

4）安装全局消息钩子，截获键盘消息

ctfmon.exe HOOK WM_GETMESSAGE

5)进行网络通信，将获取到得账号发送出去。

6）删除自身。

五．事件总结：

分析发现，这次对中国惠山的攻击与往常其他拥有大量用户的网站挂马情况类似，在某个广告页面被ARP攻击。通过分析病毒行为发现这个是个专门针对QQ西游游戏的盗号木马，即便有密保用户也会中招。针对近期出现大量攻击政府网站挂马的行为，希望大家及时更新杀毒软件病毒库，并及时安装软件补丁包防范于未然。

目前畅游精灵已经可以完美拦截该网马的攻击，超级巡警云查杀可以有效识别该木马。超级巡警安全中心提醒用户安装畅游精灵和超级巡警对木马进行有效的拦截。对于已经中毒的用户，巡警安全中心建议您立刻使用超级巡警云查杀进行有效的木马查杀，以此保证自己的系统的安全。