从8月初开始,360安全卫士监测到沉寂已久的CVE-2014-6332漏洞挂马忽然“重出江湖”,全国有数十款软件和 站出现此漏洞挂马攻击,其中还包括用户量上亿的音乐播放器软件。
此漏洞挂马之所以会大规模爆发,根本原因是有广告联盟投放了包含恶意代码的广告,“带毒广告”便会随机展示在加入联盟的数十家 站和软件客户端上,试图触发微软CVE-2014-6332漏洞自动下载和运行木马,主要影响2014年已停止补丁更新的Windows XP系统。据统计,近期360安全卫士“XP盾甲”对此漏洞挂马的拦截量日均超过10万次。目前360已通 被挂马的软件厂商,提醒对方尽快清除恶意广告。
挂马分析
以下就是“带毒广告”的样式,表面上只是申请信用卡,暗地里却在寻找系统中的安全漏洞进行攻击。
通过对广告代码分析,可以发现它带有CVE-2014-6332漏洞的攻击代码,没有安装相应补丁或开启360安全防护的电脑会受到影响。
漏洞触发之后,会通过命令行在本地写入一个vbs脚本,是一个典型的下载者:
脚本功能很简单,执行之后,下载一个名为dd8_date.exe的下载者木马。该木马带有反虚拟机的功能,意图逃避一些自动检测工具。
木马开始运行,它的作用是访问黑客指定的一个地址去下载安装各种推广软件。
下载器的云控地址在 m.020kangfu.com/s.ini
攻击者对云控配置也做了加密处理:
不过,可以从木马样本中找到解密的key与解密方法
之后解出来的结果包括推广的软件列表,url列表,检测的环境列表等。图中显示的是界面出来的环境检测列表,包括是否是虚拟机,安装的杀毒软件情况,是否是 吧环境等:
再之后木马开始真正工作,修改受害者浏览器首页:
进行打点统计和软件推广等。
木马强制在受害者电脑安装软件以赚取推广费用,推广的软件包括金山桌面、QQ电脑管家、瑞星杀毒等。不良渠道利用非法手段进行推广获利,这是长期困扰中国 民的顽疾,希望各大软件商严格规范渠道行为,尽量避免此类情况发生。对于严重侵害 民权益的不良渠道,应使用法律武器严厉打击。
安全建议
对普通用户来说,应及时安装Windows和Adobe Flash Player等系统和常用软件补丁,切莫被“打补丁会拖慢电脑”的谣言误导,这样就可以自动免疫黑客针对已知漏洞的挂马攻击。已经停止安全更新的Windows XP系统,应安装使用具备漏洞防护能力的360安全卫士“XP盾甲”,能够把木马入侵的风险降到最低。
实验吧是国内最大的在线虚拟机实验IT教育平台,无需配置任何本地安装环境,即可流畅的在线进行实验操作,平台拥有国内最好的信息安全实验课程、视频课程、CTF训练营,以及用户活跃的问答 区,能够让平台用户实现一站式IT在线学习!
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!