残留的Ramnit埋伏中国热门网站后台

华盟学院山东省第二期线下学习计划

  这次发生在我们国家的五大新闻网站之一。那些通过IE浏览器浏览该网站的用户们可能接触到了一个能在感染的机器里不断自我复制的VBScript蠕虫病毒。虽然这个病毒的始作俑者已经被控制住了,但是曾注入的恶意软件依然偷偷进入到了中国热门网站之一。

  FireEye的动态威胁情报(DTI)在今年的1月28日首次发现一个网站遭到了破坏并执行VBS /Ramnit,而且现在还存在这问题。如果用户浏览了特定的网页并单击“是”运行了ActiveX那么很可能受到威胁。

  正如下图所示,在HTML正文之后追加了一个恶意的VBScript。点击进入这个页面后,浏览器像平时一样加载新闻内容,而后台开始执行ActiveX控件。

  残留的Ramnit埋伏中国热门网站后台

  下面两张图中,VBScript在TEMP文件夹中停止了一个名为“svchost.exe”的二进制文件并成功执行ActiveX。即使该系统被破坏了,它依然试图连接到之前曾和这个木马相关的CNC服务器——fget-career.com。

  残留的Ramnit埋伏中国热门网站后台

  残留的Ramnit埋伏中国热门网站后台

  VBScript的执行和W32.Ramnit的传递取决于用户的浏览器及浏览器的设置。由于Chrome和Firefox并不支持VBScript客户端,因此只有IE用户很容易受到这种攻击。

  幸运的是,最近的IE版本不会自动运行代码。当浏览器显示存在类似于ActiveX组件的潜在危险时就会弹出两个警告。

  残留的Ramnit埋伏中国热门网站后台

  残留的Ramnit埋伏中国热门网站后台

  只有当受害者点击“是”,浏览器执行阻止的时候,IE开始在后台执行VBScript,而用户只能看到和平时一样的页面而已。

  只要用户点击“否”禁止ActiveX组件,它们就会防止W32.Ramnit的侵入。然而,为什么这种侵入会成功?往往一个有着良好的名声的合法网站被攻破攻击或被恶意软件盯上时,用户会想当然地信任这个网站而点击“Yes”进而被病毒感染。因此一些国际上Alexa 上排名前100的最常访问的网站以及中国排名前25位最受欢迎的网站常常会受到这种潜在的威胁。

  我们多方位检测到了这种感染。 FireEye的多流检测跟踪出一条完整的攻击链以及CnC通讯。虽然CnC主机已经暂停了很长一段时间,但是蠕虫病毒的存在依然祸害着用户,不仅仅是因为它把自己添加到所有可以访问的HTML文件中,还把自己添加到注册表影响着机器的性能。

  因此,在浏览这些网页的时候仍不能掉以轻心,小心病毒感染~

www.idc126.com

原文地址:https://news.77169.com/HTML/20160228093130.shtm

0

发表评论