恶意网站地址:x.360nmb.cn投诉人数:3920危害程度:★★★★★IP地址:59.60.155.22定位:福建省漳州市电信恶意网站特征:站内含有大量嵌毒网页。恶意网站目的:利用常用软件漏洞散播病毒,盗取网游账号盛夏即将来临,伴随着炎热的天气,各类恶意网站数量再次出现大幅增长,特别是利用常用软件漏洞进行挂马又有抬头之势(其中利用Realplayer漏洞的病毒最多)。其中x.360nmb.cn异常活跃,多个网站黑客入侵后都留下远程调用该网站病毒的链接,其中不乏一些小型的门户网站,受到很多读者举报,影响极为恶劣。HOSTS反黑文件下载最新版本:2008.05.12文件大小:12KB累计下载次数:98427(截至2008年5月5 日)全球唯一下载地址:http://www.cpcw.com/web/f/host.html使用方法:解压后将HOSTS文件直接覆盖至C:\Windows\System32\Drivers\Etc即可。为防止某些恶意网站或病毒窜改HOSTS,请确保此文件属性为“只读”。新收录的恶意网站赌博网站:4个钓鱼/诈骗网站:14个色情淫秽网站:37个恶意下载网站:43个传播病毒网站:162个接到读者举报后,我们立即对x.360nmb.cn展开调查。tW.wingwiT.COM刚打开该网站,杀毒软件就连续弹出三个报警窗口,检测到JS/Agent.ES、Js/Dldr.Agent、HTML/Shellcode.Gen三个病毒,查看源代码发现头部有用来强行修改系统时间,破坏卡巴斯基杀毒软件的攻击代码,而上述病毒则分别是由real.htm、14.htm、lz.htm调用的。小知识:计算机漏洞通常是指操作系统或应用软件存在逻辑架构的缺陷或程序代码的编写错误,从而可以被黑客利用木马、病毒等方式破坏电脑或控制电脑以便窃取电脑中重要资料和私密信息。我们通常说的Realplayer漏洞是指Realplayer播放器允许有问题的文件导入播放列表,当用户访问由该文件弹出的恶意网页时,就会远程执行黑客的命令,例如下载木马等,严重危害系统安全。顺籐摸瓜,我们果然从real.htm页面中发现了利用Realplayer播放器漏洞的攻击代码(见图),细心的读者也许会问此代码尾部怎么出现了系统声音的路径——C:\\Program Files\\NetMeeting\\TestSnd.wav。
原来病毒侵入系统后,要触发Realplayer漏洞必须调用音频文件,于是病毒就将调用路径直接指向Windows系统声音目录,此招尽管笨拙,但因绝大多数用户系统都在C盘安装,因此得手的概率很大。再来看14.htm、lz.htm,它们也存在Realplayer漏洞攻击代码,且内容经过编码加密。乘胜追击,逆向查询该站IP地址后收获颇丰,该主机还存放有987255.com、791224.com等多个臭名昭着的恶意网站,涉及包括ARP病毒在内的数十种恶性病毒。建议大家务必做好系统和常用软件的漏洞修补工作,如开启Windows Update及时下载安装最新系统补丁,升级Realplayer至11.6.0.14.738版等。这样即使不慎浏览了上述恶意网站,因无法触发漏洞病毒也不会运行。小新点评:近期多部火爆大片和热门美剧轮番上映,众多看客都迫不及待的下载新片一睹为快。而一些不法分子早已利用此大好时机在这些热门电影中嵌入了木马。当用户兴致勃勃地观看大片时殊不知藏匿在影片中的病毒正在等待时机将用户网游账号洗劫一空,这也是近期利用播放器漏洞的恶意网站爆发原因之一。《黑榜》也将密切监视此类网站的最新动向,希望大家积极提供举报线索,我们将第一时间予以曝光屏蔽。举报网站鑒定读者 lx_0112:最近我在玩《魔兽世界》时总会弹出http://ts.fddoow932.cn/css.htm页面,很烦人,请问专家这是怎么回事?我该如何解决这个问题?小新分析:此站index.htm、css.htm等页面含有EXP/Realplayer.AG病毒,病毒侵入系统后会下载其他盗号木马。请使用本期HOSTS反黑文件屏蔽该站,并断开网络用杀毒软件全盘扫描。鑒定结果:不安全读者 车子:我收到一封邮件,邀请我到http://www.t555666.cn/index.htm网站上浏览,说是有惊喜,我想知道这个网站是否安全?我可以放心登录吗?小新分析:t555666.cn是近几周较为嚣张的一个恶意网站,首页嵌有HERU/HTML.Malware病毒,变种更新频繁,可逃脱多款杀毒软件的检测。建议你使用本期HOSTS反黑文件屏蔽此网站,并断开网络用杀毒软件全盘扫描。鑒定结果:不安全
