惡意網站地址:x.360nmb.cn
投訴人數:3920
危害程度:★★★★★
IP地址:59.60.155.22
定位:福建省漳州市電信
惡意網站特征:站內含有大量嵌毒網頁。
惡意網站目的:利用常用軟件漏洞散播病毒,盜取網游賬號
盛夏即將來臨,伴隨著炎熱的天氣,各類惡意網站數量再次出現大幅增長,特別是利用常用軟件漏洞進行掛馬又有抬頭之勢(其中利用Realplayer漏洞的病毒最多)。其中x.360nmb.cn異常活躍,多個網站黑客入侵後都留下遠程調用該網站病毒的鏈接,其中不乏一些小型的門戶網站,受到很多讀者舉報,影響極為惡劣。
HOSTS反黑文件下載
最新版本:2008.05.12
文件大小:12KB
累計下載次數:98427(截至2008年5月5 日)
全球唯一下載地址:http://www.cpcw.com/web/f/host.html
使用方法:解壓後將HOSTS文件直接覆蓋至C:\Windows\System32\Drivers\Etc即可。為防止某些惡意網站或病毒竄改HOSTS,請確保此文件屬性為“只讀”。
新收錄的惡意網站
賭博網站:4個
釣魚/詐騙網站:14個
色情淫穢網站:37個
惡意下載網站:43個
傳播病毒網站:162個
接到讀者舉報後,我們立即對x.360nmb.cn展開調查。tW.wingwiT.COM剛打開該網站,殺毒軟件就連續彈出三個報警窗口,檢測到JS/Agent.ES、Js/Dldr.Agent、HTML/Shellcode.Gen三個病毒,查看源代碼發現頭部有用來強行修改系統時間,破壞卡巴斯基殺毒軟件的攻擊代碼,而上述病毒則分別是由real.htm、14.htm、lz.htm調用的。
小知識:計算機漏洞通常是指操作系統或應用軟件存在邏輯架構的缺陷或程序代碼的編寫錯誤,從而可以被黑客利用木馬、病毒等方式破壞電腦或控制電腦以便竊取電腦中重要資料和私密信息。
我們通常說的Realplayer漏洞是指Realplayer播放器允許有問題的文件導入播放列表,當用戶訪問由該文件彈出的惡意網頁時,就會遠程執行黑客的命令,例如下載木馬等,嚴重危害系統安全。
順籐摸瓜,我們果然從real.htm頁面中發現了利用Realplayer播放器漏洞的攻擊代碼(見圖),細心的讀者也許會問此代碼尾部怎麼出現了系統聲音的路徑——C:\\Program Files\\NetMeeting\\TestSnd.wav。
原來病毒侵入系統後,要觸發Realplayer漏洞必須調用音頻文件,於是病毒就將調用路徑直接指向Windows系統聲音目錄,此招盡管笨拙,但因絕大多數用戶系統都在C盤安裝,因此得手的概率很大。
再來看14.htm、lz.htm,它們也存在Realplayer漏洞攻擊代碼,且內容經過編碼加密。
乘勝追擊,逆向查詢該站IP地址後收獲頗豐,該主機還存放有987255.com、791224.com等多個臭名昭著的惡意網站,涉及包括ARP病毒在內的數十種惡性病毒。
建議大家務必做好系統和常用軟件的漏洞修補工作,如開啟Windows Update及時下載安裝最新系統補丁,升級Realplayer至11.6.0.14.738版等。這樣即使不慎浏覽了上述惡意網站,因無法觸發漏洞病毒也不會運行。
小新點評:近期多部火爆大片和熱門美劇輪番上映,眾多看客都迫不及待的下載新片一睹為快。而一些不法分子早已利用此大好時機在這些熱門電影中嵌入了木馬。
當用戶興致勃勃地觀看大片時殊不知藏匿在影片中的病毒正在等待時機將用戶網游賬號洗劫一空,這也是近期利用播放器漏洞的惡意網站爆發原因之一。《黑榜》也將密切監視此類網站的最新動向,希望大家積極提供舉報線索,我們將第一時間予以曝光屏蔽。
舉報網站鑒定
讀者 lx_0112:最近我在玩《魔獸世界》時總會彈出http://ts.fddoow932.cn/css.htm頁面,很煩人,請問專家這是怎麼回事?我該如何解決這個問題?
小新分析:此站index.htm、css.htm等頁面含有EXP/Realplayer.AG病毒,病毒侵入系統後會下載其他盜號木馬。請使用本期HOSTS反黑文件屏蔽該站,並斷開網絡用殺毒軟件全盤掃描。
鑒定結果:不安全
讀者 車子:我收到一封郵件,邀請我到http://www.t555666.cn/index.htm網站上浏覽,說是有驚喜,我想知道這個網站是否安全?我可以放心登錄嗎?
小新分析:t555666.cn是近幾周較為囂張的一個惡意網站,首頁嵌有HERU/HTML.Malware病毒,變種更新頻繁,可逃脫多款殺毒軟件的檢測。建議你使用本期HOSTS反黑文件屏蔽此網站,並斷開網絡用殺毒軟件全盤掃描。
鑒定結果:不安全
From:http://tw.wingwit.com/Article/Network/201309/136.html