国内某知名门户网站被挂马 百万用户面临病毒威胁

    据overeXpose安全组织的报告，国内著名的新闻门户网站千龙网近日被黑客注入了恶意代码。瑞星公司互联网攻防实验室也监测到了此次事件，此次注入的恶意代码利用了瑞星互联网攻防实验室5月28号警告的flash漏洞等多个漏洞。



    报告中显示，千龙网首页调用的一个页面：http://nb.qianlong.com/js/diaoyong.asp被注入了恶意代码。时间大概是在2008年6月13日02:54:28之前，之后在6月15日的23:00检查时，确认代码已经被清除。在此期间注入的恶意代码至少发生过3次升级。



    由于千龙网是门户型网站，访问量较大，根据alexa的统计信息，估计此挂马事件有可能造成近百万用户的机器被病毒威胁。



    报告中对恶意代码的检查结果是：



    http://user1.l0ve-360.cn/ms06014.js

    Exploit.MS06014.RDS [CVE-2006-0003]



    http://user1.12-32.net/bak.css

    Virus



    http://user1.l0ve-360.cn/versionie.swf

    Redirector.AdobeFlashPlayer.PV



    http://user1.l0ve-360.cn/versionff.swf

    Redirector.AdobeFlashPlayer.PV



    http://user1.l0ve-360.cn/GLWORLD.html

    Exploit.GlobalLink.HanGamePluginCn18 [CVE-2008-0647]



    http://user1.l0ve-360.cn/real.js

    Exploit.RealPlayer.MPAMedia [CVE-2007-5601]



    http://user1.l0ve-360.cn/Real.html

    Exploit.RealPlayer.rmoc3260 [CVE-2008-1309]



    http://user1.l0ve-360.cn/Thunder.html

    Exploit.Thunder.pplayer [CVE-2007-6144]



    其中Redirector.AdobeFlashPlayer.PV病毒利用的就是瑞星互联网攻防实验室于5月28号公布的flash漏洞来传播的。



    瑞星公司互联网攻防实验室立即对恶意代码进行了跟踪分析，发现同样的恶意URL还注入到了其他的网站，目前已知的有：



    中国鞋网(http://www.cnxz.cn）



    中国酒营销网(http://www.c9m.cn)



    中国客户关系管理研究中心（http://www.crmforum.org)



    海南生活信息网  (http://www.hnsk.net.cn)



    在此，瑞星互联网攻防实验室建议广大网民，如果您在近日内访问过上述网站，请将杀毒软件升级到最新版本后，仔细检查自己的系统是否被病毒感染。



    另外请及时更新系统和第三方应用程序的安全补丁，以免被病毒感染利用。