南方周末主站被挂马分析

淡淡体味

南方周末主站被挂马分析

来自：MACD论坛(bbs.macd.cn) 作者：淡淡体味 浏览：2828 回复：0

来源：超级巡警      2011年3月27日

    超级巡警安全中心26号检测到南方周末主站被黑客恶意挂马，黑客试图利用CVE-2010-1423漏洞（根据分析，发现还有另一个网马地址，可是地址已经失效），对浏览网页的用户进行攻击。一旦攻击成功，黑客将获得该用户系统的完全控制权。

一、挂马分析

[root]hxxp://www.infzm.com/
    [script]hxxp://images.infzm.com/js/assemble.js
        [iframe]hxxp://www.skwndb.org/cls/index.htm(失效)
        [iframe]hxxp://180.178.42.246/java/jre.htm(CVE-2010-1423)
            [iframe]hxxp://180.178.42.246/java/hello.jar
                [exe]hxxp://www.cfajax.com/tmp/p.exe
    [script]hxxp://images.infzm.com/js/com/infzm/topic/index.js
    [flash]hxxp://images.infzm.com/medias/2011/0314/42917.swf
    [script]hxxp://servedby.adsfactor.cn/adj.php?ts=&sid=83470461250
[script]hxxp://www.google-analytics.com/urchin.js


二、漏洞描述

      CVE-2010-1423
      运行在windows及linux操作系统下的Java开发工具包及Java NPAPI插件URL参数存在变量注入漏洞，攻击者通过javaws.exe文件的(1) -J (2) -XXaltjvm 参数执行任意代码。

受影响系统或软件：  
oracle,jdk,1.6.0,update_10
oracle,jre,1.6.0,update_10
oracle,jdk,1.6.0,update_19 以及更早的版本
oracle,jre,1.6.0,update_19 以及更早的版本

      在此次攻击中，分析发现，攻击者利用了常规的CVE-2010-1423攻击代码，下图分别是储存jar包的解析代码(图1)和木马的存放地址（图2）。
            
        图1

                     
        图2

三、事件总结

       分析发现，此次的攻击南方周末的是经验丰富的黑客，不但将目标瞄向了用户量颇大的主流媒体主站，使攻击的成功率大大的提高。并且，采用了类似DNS劫持的攻击方式，让使用不同DNS的用户登陆网页，获取到的数据不同，增加了自身的隐蔽性，同时也增加了病毒分析人员分析的难度。截止目前为止，南方周末依然没有解决挂马问题。

    目前畅游精灵已经可以完美拦截该网马的攻击，超级巡警云查杀可以有效识别该木马。超级巡警安全中心提醒用户安装畅游精灵和超级巡警，对木马进行有效的拦截。对于已经中毒的用户，巡警安全中心建议您立刻使用超级巡警云查杀进行有效的木马查杀，以此保证自己的系统的安全。

         
        超级巡警云查杀识别该木马


      同时，我们希望广大的主流媒体网站在做好传媒工作的同时，也应该对自己的网站进行实时的安全监控，给用户一片安全的天空。