[分享]威锋论坛挂马分析

     超级巡警安全中心在2011年6月7日检测到威锋网被黑客恶意挂马，黑客利用系统漏洞对用户进行攻击。威锋网及旗下的论坛均出现了恶意代码，二者的攻击手法类似，应该是同一批黑客所为。下面是对威锋论坛的挂马分析。一、挂马分析[root] hxxp:// bbs.weiphone.com    [iframe]hxxp://bbs.weiphone.com/map.php?positionx=p_x&;positiony=        [iframe] hxxp://56yhj.3322.org:987/wm/hs.htm        [iframe] hxxp://56yhj.3322.org:987/wm/fl.htm             [exp] hxxp://121.12.168.129:987/ss.exe        [iframe]hxxp://56yhj.3322.org:987/wm/ff.htm            [exp] hxxp://121.12.168.129:987/ss.exe二．漏洞描述      这个漏洞存在于以下平台版本：Windows、Mac、Linux和Solaris平台最新Adobe Flash Player 10.2.152.33版本以及更早版本,Chrome谷歌浏览版Flash Player10.2.154.18以及更早版本；Android版Flash Player 10.1.106.16及更早版本；Windows和Mac平台包含authplayl.dll组件的Adobe Reader/Acrobat X（10.0.1）及更早版本。挂马页内容（图1），解密后内容（图2）：图1图2三、病毒分析病毒相关分析：病毒标签：病毒名称： Trojan-Downloader.Win32.Samll.4A850C      病毒别名：病毒类型： 下载者危害级别： 4感染平台： Windows病毒大小： 28,866 bytesSHA1  :    4a850c8c174ff4227b7a31d2f96b0578d4756f52加壳类型:   UPX壳开发工具： Delphi四．病毒行为：1）释放病毒副本：%SystemRoot%svhost.exe2）运行svhost.exeSvhost.exe 会发送网卡信息到hxxp://98.126.14.171:321/toj/count.asp3）在注册表中添加svhost.exe的自动启动项     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\dd4) 下载木马从hxxp://121.12.168.129:987/cc.txt下载木马     hxxp://121.12.168.129:987/yuyu/bho2.exehxxp://121.12.168.129:987/yuyu/bho3.exe     hxxp://121.12.168.129:987/yuyu/bho4.exehxxp://121.12.168.129:987/yuyu/bho5.exehxxp://121.12.168.129:987/yuyu/bho6.exehxxp://121.12.168.129:987/yuyu/bho7.exehxxp://121.12.168.129:987/yuyu/bho8.exehxxp://121.12.168.129:987/yuyu/bho22.exehxxp://121.12.168.129:987/yuyu/bho23.exehxxp://121.12.168.129:987/yuyu/bho24.exehxxp://121.12.168.129:987/yuyu/bho25.exe五．事件总结：       威锋网自建立之日起一直是最具人气的中文iPhone社区，给广大iPhone爱好者提供了一个自由交流，探讨，学习的平台，为iPhone在中国的应用及普及发挥了领军作用！具有相当大的用户基数和网络流量。此次攻击虽然在短时间内就被发现并且恢复了正常，不过据超级巡警数据中心显示也已经有上万的用户浏览过该页面。今日中越黑客大战，也致使网络挂马的状况有所上升。       超级巡警安全中心提醒您及时安装畅游精灵和超级巡警对木马进行有效的拦截。对于已经中毒的用户，巡警安全中心建议您立刻使用超级巡警云查杀进行有效的木马查杀，以此保证自己的系统的安全。