三、利用漏洞下载病毒木马
分析其源代码得知页面中包含有多个网页木马以及两个统计链接。网页木马所利用到的漏洞有: RealPlayer ierpplug.dll ActiveX控件播放列表名称栈溢出漏洞、系统漏洞 MS06-014、PPStream; PowerPlayer.DLL ActiveX 控件栈溢出漏洞、联众ConnectAndEnterRoom ActiveX控件栈溢出漏洞、超星阅览器Pdg2 ActiveX控件栈溢出漏洞、迅雷ActiveX控件DownURL2方式远程缓冲区溢出漏洞、Web迅雷 ThunderServer.webThunder.1控件任意文件下载漏洞、百度超级搜霸BaiduBar.dll ActiveX控件远程代 码执行漏洞等。当计算机有漏洞的用户浏览到被挂马的页面后将在后台自动下载木马并运行,解密后发现下载http://www.loveyoushipin.com/vv.exe文件后,该木马会连接网络获取一个文本文件,并根据其中的地址从mmpp.lovemmll.cn站点下载大量的木马并运行。其木马大部分为Trojan-PSW.Win32.OnLineGames家族的木马,通过巡警的启发预警功能监听VV.EXE(下载者)图八
得出其分别下载:vv0.exe、vv1.exe、vv2.exe、vv3.exe、vv4.exe、vv5.exe、vv6.exe、vv7.exe、vv8.exe、 vv9.exe、vv10.exe、vv11.exe、vv12.exe、vv14.exe、vv15.exe、vv16.exe、vv17.exe、vv18.exe、 vv19.exe、vv20.exe、vv21.exe、xx.exe、vv23.exe等可执行程序,以上木马运行后将监视用户系统,窃取用户的QQ账 号/网游账号等,其中一部分木马还做了免杀处理以逃避杀毒软件的查杀。
标签:
