域名預(yù)訂/競價，好“米”不錯過

360云安全系統(tǒng)日前監(jiān)測到一起大規(guī)模軟件掛馬攻擊事件。受影響軟件包括國內(nèi)多款視頻播放器，部分輸入法及新聞類客戶端。攻擊團(tuán)伙通過頁面廣告，向軟件內(nèi)插入攻擊代碼，進(jìn)而在用戶設(shè)備上植入后門，后續(xù)進(jìn)行勒索、挖礦、軟件推廣等多種惡意操作。目前，360安全衛(wèi)士單日攔截的掛馬攻擊已達(dá)10萬余次，且攻擊情況還在蔓延，請用戶盡快使用360安全衛(wèi)士做好防護(hù)。

360云安全系統(tǒng)發(fā)現(xiàn)國內(nèi)多款軟件的廣告頁遭到掛馬攻擊。攻擊團(tuán)伙通過頁面廣告，向大量客戶端軟件資訊和新聞窗中插入帶有CVE-2016-0189漏洞利用代碼的掛馬頁面，漏洞利用代碼執(zhí)行后，在設(shè)備上植入后門，后續(xù)可能進(jìn)行投放推廣軟件、植入挖礦木馬或勒索病毒等惡意操作。

圖1攜帶漏洞攻擊代碼的廣告頁面

受影響的軟件包括暴風(fēng)影音、風(fēng)行播放器、SohuNews、萬能看圖王、智能云輸入法等大量客戶端軟件，360安全衛(wèi)士今日對該掛馬攻擊的攔截量已超過10萬次。

以暴風(fēng)影音為例進(jìn)行分析，暴風(fēng)影音的廣告頁hxxp://pop.baofeng.net/popv5/html/baofeng/shishangtext.html中插入了一個站長統(tǒng)計頁面hxxp://139.224.225.117/haohao.htm，而該頁面中被插入了指向hxxp://107.150.50.34的iframe標(biāo)簽，hxxp://107.150.50.34最終會跳轉(zhuǎn)到hxxp://222.186.3.73:8181/index.html執(zhí)行漏洞利用代碼。

圖2 廣告頁面被插入鏈接為hxxp://139.224.225.117/haohao.htm的站長統(tǒng)計頁面

圖3 站長統(tǒng)計頁面指向hxxp://107.150.50.34

圖4 hxxp://222.186.3.73:8181/index.html中的漏洞利用代碼

漏洞利用代碼將執(zhí)行如下圖所示命令，從hxxp://222.186.3.73:8591/wp32@a1edc941.exe下載惡意程序到Temp文件夾并命名為winrar.exe執(zhí)行。

圖4 漏洞利用代碼執(zhí)行的命令

WinRAR.exe本質(zhì)上是個Downloader，它會從hxxp://222.186.3.73:8591/QQExternal.exe下載文件到計算機(jī)上執(zhí)行，該程序是個后門程序，會加載惡意驅(qū)動并實現(xiàn)持續(xù)駐留，后續(xù)可能用于往受害者計算機(jī)中植入其他惡意軟件。

經(jīng)分析發(fā)現(xiàn)，該掛馬事件與之前國內(nèi)發(fā)生的多起廣告頁面掛馬事件為同一團(tuán)伙所為，該團(tuán)伙在去年就曾通過暴風(fēng)影音廣告頁面進(jìn)行掛馬攻擊，向受害者計算機(jī)中強(qiáng)制安裝流氓推廣軟件。而今年初，該團(tuán)伙還曾通過同樣的掛馬攻擊往受害者計算機(jī)中植入挖礦木馬牟利。

對此類掛馬攻擊，安全專家建議廣大網(wǎng)民及時更新系統(tǒng)補(bǔ)丁，并使用安全軟件防護(hù)。目前，360安全衛(wèi)士無需升級就可完美攔截此類掛馬攻擊。

360安全衛(wèi)士下載地址：http://dl.360safe.com/setup.exe

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！