Flash漏洞成网页木马“凶器”
网络安全
HOSTS反黑文件下载
最新版本:2008.06.16
文件大小:14KB
累计下载次数:17042 (截至2008年6月9日)
全球唯一下载地址:http://www.shudoo.com/web/f/host.html
使用方法:解压后将HOSTS文件直接覆盖至C:\Windows\System32\Drivers\Etc即可。为防止某些恶意网站或病毒窜改HOSTS,请确保此文件属性为“只读”。
新收录的恶意网站
赌博网站:1个
钓鱼/诈骗网站:6个
色情淫秽网站:5个
恶意下载网站:7个
传播病毒网站:46个
恶意网站地址:www.live322.cn
投诉人数:3819
危害程度:★★★★★
IP地址: 60.190.118.66
定位:浙江省温州市电信
恶意网站特征:利用Flash Player插件漏洞实施恶意攻击。
恶意网站目的:激活系统漏洞下载病毒及盗号木马,破坏系统,盗取网游账号。
最近一段时间,很多朋友的电脑都中了木马,杀毒软件被禁不起作用了。造成这种现象的关键原因之一就是黑客利用Flash新出的漏洞进行攻击,特别是一些此漏洞的木马生成器的出现更是令攻击泛滥成灾。
小知识:这次的Flash漏洞是出现在Flash Player插件 9.0.115和更早版本上。黑客会为该漏洞特别制作一些恶意的.swf,当用户的Flash Player在播放这些.swf时,就会自动下载并执行黑客准备的恶意程序,例如一些木马下载器。
由于Flash Player插件安装的用户众多且该漏洞的杀伤力巨大,黑客对制作针对Flash漏洞的网页木马兴趣大增,根据《黑榜》对最近新增加的恶意网页的分析,Flash漏洞超过Realplayer漏洞成为网页木马最“喜欢”的漏洞。
www.live322.cn是最近读者投诉最多的利用此漏洞作恶的网站,我们随即对它展开了调查。该网站为了掩人耳目,没有放置任何页面,包括首页也提示无权访问。因此我们直接来到http://www.live322.cn/4561.swf。
这是一个空白Flash,提示没有加载任何文件,杀毒软件也无反应,一切看似正常,没有异常。重启电脑后,Windows安全中心提示防火墙已被关闭,任务管理器里出现大量陌生的进程。
同时,杀毒软件不停报警,提示在启动文件夹、TEMP临时文件夹内发现Win32:GaoBot-2437病毒。在网络连接中,发现有来自http://www.live322.cn/test.exe的病毒正源源不断地涌向本机。
我们将http://www.live322.cn/4561.swf中的4561.swf下载后用多种杀毒引擎检测,确认为Exploit.SWF.Downloader.u病毒。原来这空白的Flash正是利用Flash Player漏洞的木马下载器,它侵入系统后会悄悄下载其他病毒,并企图盗取网游账号,大发不义之财。
我们乘胜追击,查询该网站Whois信息。根据注册邮箱和IP地址检索,我们吃惊地发现包括www.fire122.cn、www.fire321.cn、www.pps900.cn、www.xppsdo.cn、www.fast800.cn、www.ftp356.cn等多个近期异常嚣张的恶意网站均是同一人所为,严重扰乱了正常的网络秩序,行为极其恶劣。
本期HOSTS文件已紧急升级屏蔽了上述恶意网站,并将截获的最新样本转发至各大反病毒厂商。目前已经有了修复该漏洞的最新版本Flash Player 9.0.124,请广大读者尽快下载升级(下载地址:http://www.shudoo.com/bzsoft)。
当然也可以禁用Flash Player,这样就一劳永逸地解决问题了。很多安全厂商的产品都没有专门为常用软件进行更新的功能,这会给用户带来潜在的安全隐患,建议安全厂商在设计产品时可以加入常用软件漏洞更新功能。
编辑观点:这段时间挂马的行为十分疯狂,据我们分析大约有六成的恶意网页与Flash漏洞有关,一举超越了Realplayer漏洞成为现在网页木马最喜欢的漏洞。为了增加效率,挂马者会一口气炮制出数十个恶意网站(嵌入各种病毒——包括那些能禁用杀毒软件的病毒),导致上万网民中招,卑劣行径令人发指。我们已经将收集到的线索上报了相关部门。
举报网站鉴定
读者 陈慧敏:我从http://www.sohuvip.com.cn网站下载了一个输入法,安装程序只有几百KB,我怕它是木马,请专家帮我看看这个网站的下载资源安全吗?
小新分析:sohuvip.com.cn并不是搜狐的官方网站,从该网站上下载下来的输入法其实是伪装的百度搜霸。如果已安装该程序,建议用360安全卫士进行卸载。该网站已经收录到HOSTS文件中了。
鉴定结果:不安全
读者 dzl1995:我收到朋友发来的电子邮件,推荐我去一个网址为http://www.ji5298.cn的网站下载资源,不知道这个网站是否安全?
小新分析:该网站存在网页木马Trojan.Win32.KillAV.qs,该病毒运行后会自动关闭杀毒软件,并且盗取多种网络游戏的账号。建议用杀毒软件进行全盘杀毒,然后用HOSTS文件进行屏蔽。
鉴定结果:不安全