163 及 126 郵箱掛馬事件分析
本公司 WebAlert 網頁內容風險掃描系統今天偵測到大陸的 126 及 163 郵箱偶有被掛馬的情形發生,但經過進一步追查後發現,在透過某 ISP 的 proxy 做連線時,此狀況尤為明顯。插入的掛馬網址為 http://59.124.60.XX/ad.htm 。
此掛馬網址針對日前被揭露的 IE 弱點(編號CVE-2010-0249、MS10-002)攻擊,觸發之後會下載 http://59.124.60.XX/msupdate.exe 後門並執行。
經過分析發現,此後門會反連至 zero.freeXXX.biz:443 (亦指向 59.124.60.XX,現已改為指向 127.0.0.1)。
此後門程式上傳至 VirusTotal 掃描結果如下:
稍晚,此網站上又多了一個後門程式 calc.exe :
此後門執行後會反連至 video.myXXXXX.net:443 (指向 211.21.202.XXX,現已改為指向 127.0.0.1)。
此後門程式上傳至 VirusTotal 掃描結果如下:
而根據木馬的反連方式研判,我們推測此攻擊屬於「鬼網」 (Ghostnet) 一系列攻擊。
目前微軟已針對此漏洞放出了修補程式,我們建議所有使用者儘速根據這裡所列出的資訊,對照自己所使用的作業系統及 IE 版本下載並安裝最新的 IE 修補程式。
目前微軟已針對此漏洞放出了修補程式,我們建議所有使用者儘速根據這裡所列出的資訊,對照自己所使用的作業系統及 IE 版本下載並安裝最新的 IE 修補程式。
Subscribe to:
Post Comments (Atom)
0 comments:
Post a Comment